Nous commençons l'examen du titre III, dont la rapporteure est Mme Le Hénanff. Nous avons examiné 374 amendements ; il en reste 298.

Il vise à aligner la définition du service d'informatique en nuage retenue dans le projet de loi sur celle du règlement européen sur les données – le Data Act.

Avis favorable. Je remercie Mme la rapporteure pour la qualité de son travail. Les amendements qu'elle a déposés – auxquels le Gouvernement est favorable – permettront d'enrichir le texte.

Il vise à supprimer le mot « temporaire » à l'alinéa 4, afin d'éviter de créer une voie de contournement de l'encadrement des avoirs d'informatique en nuage, alors que c'est précisément l'alinéa 5 qui a pour objet d'en limiter la durée.

Il vise également à assurer une cohérence rédactionnelle avec le Data Act, dans lequel figure le terme « client », et non pas celui d'« utilisateurs ».

L'amendement tend à introduire le terme de « logiciel d'entreprise » et à en donner une définition. Il vise également à interdire à tout fournisseur de services d'informatique en nuage qui développe également des logiciels d'entreprise d'imposer, dans le cadre de ses contrats de licence logicielle ou de tout autre façon, des conditions empêchant le détenteur de sa licence d'utiliser ce logiciel d'entreprise avec les services d'informatique en nuage d'un fournisseur tiers. L'objectif est d'éviter les ventes liées et de préserver le choix du fournisseur de services infonuagiques : le service de cloud ne doit pas être imposé par les éditeurs de logiciels d'entreprise.

Dans le cadre de la régulation des pratiques anticoncurrentielles, l'Autorité de la concurrence a déjà soulevé ce point plusieurs fois, en particulier à l'occasion de son avis sur le marché du cloud. S'il faudra assurément faire évoluer notre droit, votre amendement comporte des effets de bord, notamment pour la filière française des éditeurs de logiciel. Si je partage votre volonté de réguler les abus des grands opérateurs internationaux, je vous invite à le retirer et à le réécrire.

Même avis. Le problème que vous soulevez est réel. D'ailleurs, la Commission européenne a ouvert, au mois de juillet, une enquête visant à déterminer si l'un des acteurs dominants de ce marché – Microsoft – avait enfreint les règles de la concurrence de l'Union européenne en liant son application de visioconférence avec sa suite de logiciels Microsoft 365. Votre amendement n'a pas exactement le même objet, mais il s'y apparente puisqu'il concerne l'articulation entre les couches matérielles et logicielles du cloud.

De son côté, l'Autorité de la concurrence française a remis un rapport, dans lequel elle soulève cette question. Elle est en train d'examiner l'opportunité d'engager ou non des enquêtes approfondies, assorties, le cas échéant, de sanctions, s'il était avéré que ces pratiques de ventes liées sont déloyales.

Est-il opportun de réguler a priori en imposant des normes d'interopérabilité ou faut-il laisser les autorités de la concurrence intervenir a posteriori, comme cela se faisait avant l'adoption du règlement sur les marchés numériques (DMA) ? L'Union européenne a commencé à interdire a priori certaines pratiques déloyales. On ne l'a pas suffisamment souligné mais, ce faisant, elle a pris une décision historique. Dans l'économie numérique, les abus de position dominante se forment plus rapidement que dans l'économie traditionnelle ; le temps laissé aux autorités de la concurrence pour diligenter les enquêtes et éventuellement prononcer des sanctions est trop long et permet d'étouffer définitivement la concurrence. Sur le segment de l'économie numérique que vous visez, la question d'imposer des normes d'interopérabilité se pose donc, en effet.

Cependant, s'il est souhaitable sur le principe, le dispositif d'interopérabilité que vous proposez risque d'affecter l'écosystème français. Celui-ci est très fortement soutenu par le Gouvernement au travers, en particulier, du volet cloud du plan France 2030 qui apporte un soutien direct aux acteurs, tant au niveau logiciel que matériel, et de la politique de certification conduite par l'Agence nationale de la sécurité des systèmes d'information (Anssi), garantissant des offres d'hébergement présentant un niveau de sécurité et d'immunité aux législations extraterritoriales suffisant. Or votre amendement suscite l'inquiétude d'une partie de la filière française de l'infonuagique – du cloud. Nous devons donc nous assurer que l'interopérabilité, théoriquement souhaitable, ne conduise pas à pénaliser des acteurs émergents ou déjà établis et en forte croissance dans notre pays.

Non seulement je ne retire pas mon amendement, mais j'invite même à l'adopter, pour m'assurer que nous en rediscuterons en séance publique.

Quelles sont les entreprises inquiètes ? Celles que j'ai rencontrées en vue de rédiger l'amendement ne m'ont pas renvoyé un tel écho. Il y a un problème avec des entreprises qui font de la vente liée et prennent les marchés. Pour faire du name and shame de part et d'autre de l'Atlantique, je peux citer l'exemple de SAP, qui a décidé que les mises à jour de son logiciel se feraient non plus on-premise – sur site – mais sur un cloud américain, ou encore de Salesforce qui, avec AWS, prend l'intégralité du marché et héberge les données des clients d'entreprises publiques comme EDF et SNCF. Le combiné Salesforce avec un opérateur tiers rend les choses difficiles ; l'Autorité de la concurrence intervient trop tardivement et peu efficacement, puisque les sanctions sont provisionnées par les entreprises, donc indolores. Le problème doit être réglé en amont ; a posteriori, il est trop tard pour rétablir le marché.

Je le redis, je suis très défavorable à cet amendement. Nous avons des acteurs français qui travaillent dur et investissent beaucoup pour développer des solutions d'infonuagique. Parmi eux, un consortium, déterminant pour notre souveraineté, formé par Dassault Systèmes, La Poste à travers Docaposte, Bouygues Telecom et la Banque des territoires, développe une offre complète de cloud, des briques matérielles jusqu'aux briques logicielles. Il investit beaucoup pour obtenir la certification SecNumCloud et mettre sa solution au service des différents acteurs au plus vite – il me semble d'ailleurs que cela fera l'objet d'un autre de vos amendements.

Or ce consortium, qui va être déterminant pour équiper les administrations, essaie de jouer à armes égales avec les acteurs aux pratiques déloyales que vous dénoncez, en développant, lui aussi, une solution tout-en-un. L'adoption de votre amendement l'obligerait à rendre sa dernière brique logicielle compatible avec les briques matérielles AWS, Microsoft ou Google, et cela lui ferait perdre la bataille. Certes, tous les acteurs français n'ont pas adopté cette stratégie tout-en-un, mais tous ceux qui l'ont fait sont inquiets. Veillons à ne pas faire de cadeau aux géants du numérique.

Notre opinion est exactement inverse. Nous considérons que l'interopérabilité ne constitue pas une menace pour le marché français ; ce serait, au contraire, une vertu. Il n'y aurait pas grand intérêt à remplacer la prédominance de Microsoft par celle de Dassault. Nous revendiquons même une interopérabilité absolue.

Seules 20 % des entreprises françaises étant passées à un système de cloud, il est fâcheux de garder captives certaines de nos entreprises clefs sur des serveurs américains. La justice américaine n'est pas totalement indépendante, puisque soumise à l'Agence nationale de sécurité des États-Unis (NSA) et à l'Agence centrale de renseignement (CIA). Il serait dommage que certains de nos fleurons industriels soient espionnés au profit de puissances étrangères – par exemple, les plans d'Airbus ne sont pas stockés sur des serveurs français.

Nous étions plutôt d'accord avec M. Latombe, puisqu'une grande partie des acteurs français ne développe pas l'intégralité des briques, mais le cas de NumSpot évoqué par M. le ministre délégué est intéressant. Dans une logique de souveraineté, on ne peut pas considérer que passer de Microsoft ou AWS à Dassault revient seulement à échanger un grand groupe capitaliste pour un autre. Nous devons soutenir nos entreprises, soutenir NumSpot, qui sera vraisemblablement le plus gros cloud français. Indubitablement, Dassault c'est mieux qu'AWS.

Madame Amiot, vous semblez encore penser que l'extraterritorialité s'arrête aux États-Unis, alors que ce principe permet d'attaquer les entreprises françaises sur leur juridiction. Les règles que vous voulez imposer en matière d'extraterritorialité auraient pour effet d'empêcher les entreprises d'entrer sur le marché. La question de la souveraineté est bien plus complexe. Au demeurant, vos propos sur la CIA et la justice américaine, outre qu'ils ne sont pas avérés, sont consternants.

En matière de logiciels, les gros opérateurs internationaux augmentent effectivement leur part de marché en France, jusqu'à disposer d'un quasi-monopole – plus de 80 %. La part de marché des entreprises françaises n'augmente pas, certes, mais, depuis quelques années, leur chiffre d'affaires est en hausse ; elles gagnent donc des clients et leur développement économique est en cours.

Si l'amendement était adopté, il aurait un impact sur le modèle économique des entreprises françaises – pour beaucoup, des PME ou ayant une ambition européenne, à l'instar de Dassault et des entreprises regroupées dans le consortium NumSpot.

Enfin, madame Amiot, mesurez vos propos : nous ne sommes pas dans un film américain. L'entreprise Google a communiqué les chiffres : elle s'est opposée avec succès, à vingt-trois reprises, à la saisie des données, seuls trois dossiers étant jugés recevables par la Cour de justice.

Avis défavorable.

Puisque l'amendement CS949 introduira la notion de temporalité dans le décret en Conseil d'État qui précisera les modalités d'encadrement des avoirs d'informatique en nuage, il s'agit de supprimer, à l'alinéa 5, la référence à la durée maximale de validité d'un an.

L'amendement CS179 vise à préciser le régime des avoirs d'informatique en nuage, en limitant leur montant et leur durée, celle-ci ne pouvant excéder un an même si l'avoir est renouvelé. Les conditions d'octroi et de renouvellement d'un avoir seraient précisées par décret en Conseil d'État, et l'Autorité de la concurrence remettrait au Gouvernement un rapport présentant un état des lieux de la consommation de ce type d'avoir. S'agissant d'une pratique parmi celles que l'Autorité de la concurrence considère comme faussant le marché, nous ne pouvons pas nous contenter de ce que nous disent les grands groupes en audition. Nous devons avoir de la visibilité sur son utilisation et son effet, bénéfique ou délétère, sur le marché. Confions ce rôle à l'Autorité de la concurrence dans la loi.

Tel qu'il est rédigé, l'amendement complexifierait le dispositif. L'ajout d'un rapport de l'Autorité de la concurrence et le renvoi des modalités de montant et de durée à un décret en Conseil d'État nous priveraient de la capacité d'envoyer un message fort dans le cadre de nos débats.

Les auditions ont montré que la durée de douze mois introduite par le Sénat était la bonne. Nous ne sommes pas hostiles au renvoi à un décret, mais le champ que vous proposez nous semble excessif. Avis défavorable ou retrait.

Même avis.

L'amendement précise bien que la durée est limitée à douze mois, « y compris si l'octroi de l'avoir est renouvelé ». La limitation du montant, dont les modalités sont précisées par décret, est laissée à la main du Gouvernement. Enfin, l'avis de l'Autorité de la concurrence est sollicité puisqu'elle est elle-même à l'origine de l'article 7, en s'étant autosaisie de la question des avoirs cloud. Rendons à César ce qui est César !

Ne soyez pas trop modeste, monsieur Latombe. L'article 7 émane avant tout d'une recommandation de rapports du Sénat et de l'Assemblée nationale, qui avaient identifié la pratique des crédits cloud. Le Gouvernement a cherché le bon équilibre entre la nécessité d'encadrer ces pratiques et celle de préserver le soutien aux jeunes entreprises innovantes qu'elles constituent.

La multitude des situations rendrait la définition des montants dans l'article 7 trop complexe.

Il vise à étendre à trois ans la possibilité d'octroi des crédits cloud aux jeunes entreprises innovantes, qui ont besoin de se développer.

Nous sommes conscients que les crédits cloud entrent dans le modèle économique d'une jeune entreprise. Néanmoins, de telles pratiques seraient anticoncurrentielles et préjudiciables à la vitalité des acteurs français. La durée de trois ans rendrait, en pratique, le dispositif caduc, sans compter son caractère discriminatoire entre les très petites entreprises (TPE), les start-up et le reste des entreprises, qui emporterait un risque juridique. Avis défavorable.

Même avis.

Dans son avis, l'Autorité de la concurrence évoque uniquement les tests, mais pas la perspective d'un avoir d'ensemble d'une durée de trois ans. Elle souligne d'ailleurs que les start-up, n'étant pas interopérables, sont captives du fournisseur avec lequel elles ont commencé à travailler. À terme, celui-ci peut évaluer la maturité de la solution de la start-up et prendre des participations à son capital, voire l'acheter, ce qui arrive régulièrement ; dès lors, elle est intégrée dans la solution de l'un des trois principaux géants actuels. Trois ans, c'est la durée de vie d'une start-up avant qu'elle se fasse racheter : il ne faudrait pas perdre le soutien de ces start-up dans la construction de notre économie.

Je vous remercie, madame Chassaniol, de prendre en compte le statut très particulier de nos start-up, TPE et PME innovantes. Il y a deux sujets : d'une part, celui de la souveraineté et de la concurrence ; d'autre part, il faut voir que, pour une jeune entreprise innovante, ces crédits cloud sont aussi une forme de financement très utile à l'amorçage.

La proposition à suivre de la rapporteure représente, à mon sens, le bon équilibre, en renvoyant les modalités de renouvellement de ces avoirs à un décret, qui nous permettra d'être flexibles pour suivre l'évolution du marché.

L'amendement vise à rédiger ainsi l'alinéa 7 : « Un décret en Conseil d'État précisera les modalités d'application du II du présent article, notamment les différents types d'avoirs d'informatique en nuage. Il définit pour chacun d'eux une durée de validité maximale, qui ne peut excéder un an, et les conditions de renouvellement de ces avoirs d'informatique en nuage. » La définition par voie réglementaire aura un autre intérêt, celui d'encadrer les différents types d'avoirs et de mener au préalable une consultation approfondie avec l'écosystème.

Pour nous aligner sur le Data Act, l'amendement vise à scinder en deux l'actuel article 7 : le nouvel article 7 sera relatif aux seuls crédits cloud et l'article 7 bis aux frais de transfert de données.

Avis favorable.

Si l'amendement est adopté, il fera tomber plusieurs amendements jusqu'au CS101.

Avant qu'il ne tombe, je tiens à défendre mon amendement CS101. À l'image de ce qui s'est passé lorsque nous avons favorisé la mobilité interbancaire pour les clients, nous avons besoin d'une clarification de l'ensemble des frais applicables au transfert de données. En effet, à l'époque, les établissements bancaires avaient créé de nouvelles catégories de frais dans leurs conditions générales pour essayer de se refaire la cerise sur le dos du consommateur. Je proposais qu'un arrêté du ministre détermine les frais applicables.

L'amendement vise à renforcer le régime de sanctions des fournisseurs, en la définissant en pourcentage du chiffre d'affaires des fournisseurs de services cloud.

Le régime actuel me semble équilibré et évite de multiplier les peines et les amendes en fonction de la situation. En outre, les sanctions sont déjà proportionnelles. Avis défavorable.

Même avis. Pour répondre à M. Latombe, c'est l'amendement CS923 qui traitera des questions de frais de transfert et de changement de fournisseur.

Dans le droit européen de la concurrence, la sanction est de 10 % du chiffre d'affaires. Ce serait bien de s'aligner sur cette logique du pourcentage face à des fournisseurs dont on connaît les pratiques et les abus.

Les 10 % sont un maximum qui sert de point de repère à la Commission européenne, compte tenu de toutes les violations constatées du règlement sur les marchés numériques. Le contexte n'est pas le même ici, puisque la sanction tomberait à chaque conclusion d'un contrat.

Je partage l'avis du ministre : 10 % ce serait trop dans ce contexte. En revanche, au moment de la signature du contrat, les hyperscalers pourraient facturer des frais de modification de services supérieurs à l'amende afin de rester gagnants. C'est pourquoi je propose, pour un contrat conclu en violation des dispositions prévues, une amende de 200 000 euros auxquels s'ajoute le montant des frais facturés, et de 400 000 euros en cas de réitération du manquement auxquels s'ajoute également le montant des frais. Ainsi, l'entreprise fautive aura bien une sanction supérieure à ce qu'elle aura gagné.

Je suis tout à fait favorable à votre amendement. Je vous suggère néanmoins de le retirer dans la mesure où mon amendement CS923 traite de la question après l'article 7.

Même avis.

Ce n'est pas la même rédaction que le mien. Je le maintiens.

Mon amendement est mieux-disant et renvoie à l'article 10. Les sanctions sont exprimées en chiffre d'affaires.

L'amendement vise à étendre le dispositif d'amende pour sanctionner le non-respect de l'interdiction de vente liée, les travaux du Sénat ayant permis d'interdire explicitement ces pratiques.

Le régime de sanctions relatif aux pratiques commerciales trompeuses s'applique déjà, tel que défini au sein du code de la consommation. Avis défavorable.

Même avis.

À quel article du code de la consommation vous référez-vous ?

Il s'agit des articles L. 121-2 et suivants.

Nous voulons que les sanctions soient assez dissuasives pour éviter les pratiques anticoncurrentielles des grandes entreprises du cloud. C'est pourquoi il faut les définir selon un pourcentage du chiffre d'affaires mondial. Cela permet de doser plus finement la sanction et d'éviter que les gros acteurs ne provisionnent les amendes.

Le régime actuel de sanctions est équilibré et permet d'éviter de multiplier les peines et amendes en fonction des pratiques anticoncurrentielles, comme je l'ai déjà dit. En outre, la question de la proportionnalité est satisfaite en l'état du droit. Avis défavorable.

Même avis. L'alinéa 11 concerne toute conclusion d'un contrat. Théoriquement, le montant peut être très élevé s'il est avéré que de très nombreuses infractions ont été commises.

L'amendement CS445 vise à établir une cohérence entre le montant des amendes et l'ampleur du marché du cloud. Les trois plus gros fournisseurs du marché – Amazon, Microsoft et Google – qui se partagent les deux tiers du marché ont un chiffre d'affaires autour de 1 500 milliards d'euros. Nous avons donc cru que le Gouvernement avait oublié trois zéros, pour que l'amende soit vraiment dissuasive.

L'amendement CS446 est un amendement de repli pour ne pas vous effrayer.

Vous avez raison, on peut prendre l'argent là où il est et plus il y en a, mieux c'est. Mais cela paraît tout de même disproportionné !

Même avis.

Je sors de ma réserve : certains osent tout ! Ces amendements échappent à toute rationalité.

En commission des lois, nous entendons sans cesse qu'il faut augmenter les amendes et les peines pour dissuader les gens de ne pas respecter la loi, ce qui ne fonctionne pas. En revanche, l'augmentation des amendes à destination des entreprises fonctionne bien. Nous avons du mal à comprendre pourquoi, quand il s'agit de petits actes délinquants, vous avez tendance à vouloir augmenter les peines de prison, alors que cela ne permet pas d'éviter la délinquance, mais que, quand il s'agit de faire respecter la loi aux entreprises en définissant des amendes d'un montant conséquent pour qu'elles aient intérêt à respecter la loi, vous êtes étrangement laxistes.

L'amendement CS923 va permettre de dissocier deux sujets : celui des avoirs commerciaux, qui vont rester assujettis à des amendes de 200 000 ou 400 000 euros à chaque violation, et celui de la portabilité et de l'interopérabilité, où les sanctions vont être considérablement relevées, comme cela apparaît à l'article 10 – 3 % et 5 % du chiffre d'affaires.

Madame la rapporteure, monsieur le ministre, est-ce que cela signifie que, si un contrat a été conclu en violation des règles, les entreprises qui ont bénéficié de l'avoir tombent sous le coup de la répétition de l'indu ?

Mon amendement vise à ce que les entreprises qui proposent des logiciels le fassent dans des conditions tarifaires et fonctionnelles équivalentes. Ce principe d'équivalence doit devenir la règle.

Je retire mon sous-amendement.

Monsieur Latombe, votre amendement CS160 rejoint le CS176. Je vous propose de le retirer pour nous permettre de proposer d'ici à la séance une nouvelle rédaction afin d'accompagner la filière française des logiciels.

Même avis. L'interopérabilité est toujours théoriquement désirable. Elle l'est en pratique pour les acteurs français qui développent une brique matérielle et pourraient voir des solutions logicielles américaines se brancher sur leur solution ou développent une solution logicielle, qui pourrait être branchée sur une solution matérielle américaine. En revanche, les acteurs français qui ont décidé de lutter à armes égales avec les acteurs dominants du secteur en développant une offre complète s'inquiètent de l'interopérabilité, qui pourrait fragiliser leur développement.

Je ne comprends plus ! Si vous aviez sous-amendé mon amendement, c'est que vous y étiez plutôt favorable.

Par ailleurs, monsieur le ministre, je ne comprends pas comment vous pouvez dire qu'on ne va pas regarder ce point, alors même que l'État incitait à développer des solutions du type Bleu ou S3ns, en disant qu'il fallait que les opérateurs qui allaient offrir les logiciels sous licence devaient maintenir le même niveau d'exigence entre leur solution cloud et la solution cloud sur laquelle ils seraient. Je pense notamment à Microsoft qui avait dit, dès le début, que son logiciel Azure ne serait pas au même niveau que la solution proposée par Bleu. On se tire une balle dans le pied dans un système que nous avons promu et dont nous sommes toujours promoteurs !

Pourquoi ne peut-on pas dire qu'un produit logiciel doit fonctionner de la même façon et à des conditions tarifaires identiques, quel que soit le support cloud ? Malgré ce que vous avez dit sur NumSpot, le signal envoyé à l'écosystème n'est pas bon. Ma définition du logiciel d'entreprise tenait compte de la partie fonction commerciale, qui a été totalement obérée dans la discussion, alors que c'est une limitation. Demandez à Odoo comment ça se passe aujourd'hui face à Salesforce ! Ils perdent des parts de marché et les entreprises publiques françaises vont vers Salesforce, pour du CRM client et pour du CRM RH. Il n'est pas normal que l'éducation nationale aille sur Salesforce pour sa RH.

À l'Assemblée, nous utilisons un petit cloud, Wimi, une entreprise française. Les gros opérateurs du marché n'existeraient pas sans les petits qui poussent derrière avec des solutions alternatives pour lesquelles il faut absolument veiller à l'interopérabilité et éviter une concurrence déloyale qui consisterait à faire la promotion de bundles, d'offres liées entre le cloud et leurs émulateurs. Rendez service aux entreprises dont vous prétendez vouloir promouvoir le développement !

Les entreprises françaises sont en construction. Il faut les accompagner et les aider à se structurer.

La proposition que vous faites dans votre amendement CS160 est intéressante. Néanmoins, en tant que rapporteure, j'ai consulté jusqu'au dernier instant les acteurs du domaine, notamment français, auxquels j'ai demandé si votre amendement représentait pour eux une chance ou un danger. Leur réponse a été claire.

Dans un secteur de spécialistes soit du logiciel, soit du matériel, certains, pour lutter contre les dominants extraeuropéens, ont développé une solution logicielle et matérielle. Les obliger à mettre leur logiciel à disposition de ces géants représenterait pour eux un véritable obstacle. Le consortium français qui s'est construit autour de Docaposte, la filiale numérique du groupe La Poste, a exprimé son inquiétude à ce sujet.

Pour nous aligner sur le Data Act, il est nécessaire de dissocier la partie relative aux crédits cloud de celle concernant les frais de transfert. L'amendement traite spécifiquement de ces derniers et en définit les modalités. Il vise ainsi à : limiter les frais de transfert de données facturés dans le cadre de la migration et les frais de migration aux coûts directement supportés par le fournisseur de service ; permettre au ministre chargé du numérique de définir rapidement un montant de tarification maximal que les frais de transfert de données facturés dans le cadre de la migration et du multicloud ne pourront dépasser ; confier à l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) l'édiction de lignes directrices portant sur les frais de migration ainsi que le contrôle de ces obligations, afin d'assurer à la fois la cohérence avec le règlement européen sur les données et la lisibilité du dispositif pour les fournisseurs et utilisateurs ; créer une obligation de transparence sur les frais de transfert et de migration.

Avis favorable.

Je ne remets pas en cause la scission de l'article 7, imposée par le Data Act, mais un problème demeure sur les frais de transfert. Prenons une solution logicielle qui fait du CRM ou de la gestion RH. Si le fournisseur de logiciel dit qu'au sommet du logiciel cela marche uniquement avec AWS, vous aurez beau dire ensuite qu'il n'y aura pas de frais de transfert en choisissant un cloud français, il n'y aura en réalité pas de transfert tout court, parce que la vente sera liée ! C'est le vrai problème. Nous n'avons pas parlé du logiciel d'exploitation du cloud, seulement des logiciels permettant à une entreprise de gérer sa fonction commerciale et sa fonction RH. Or NumSpot n'est absolument pas sur ce sujet ! On a un vrai problème d'interopérabilité.

Je renvoie ceux qui souhaiteraient creuser ce sujet à une étude intéressante du professeur Jenny qui a étudié les pratiques déloyales des fournisseurs de cloud. Les frais pour sortir de leur cloud sont particulièrement élevés.

L'amendement vise à assurer la cohérence rédactionnelle par rapport au Data Act et à définir ce que sont les actifs numériques.

Avis favorable. Cette définition, pour donner sa pleine dimension à la portabilité, s'entend sous réserve de la protection de la propriété intellectuelle et industrielle, d'ailleurs garantie par l'article 24 du règlement.

L'amendement CS161 vise à définir l'équivalence fonctionnelle en appliquant la dernière version du Data Act.

L'amendement CS663 tend à préciser cette définition en y intégrant une mention aux services qui relèvent du modèle de déploiement IaaS – des services d'infrastructure cloud.

L'amendement CS161 étant satisfait par le CS663, je vous propose de retirer le premier au profit du second.

Même avis.

J'ai déposé deux amendements pour proposer une définition claire qui pourrait être reprise dans de futurs textes sans faire référence à l'intégralité de l'article qui apparaît dans le deuxième amendement.

Toujours dans un souci de cohérence, cet amendement vise à reprendre la définition des « données exportables » figurant dans le Data Act.

Il convient une nouvelle fois de nous aligner pleinement sur le Data Act en distinguant bien les services IaaS (Infrastructure-as-a-Service) des services SaaS (Software-as-a-Service) et PaaS .

Nous souhaitons, là encore, adopter un texte le plus proche possible, si ce n'est quasiment identique au Data Act. Aussi l'amendement CS918 vise-t-il à clarifier la disposition donnant à l'Arcep la possibilité de solliciter l'expertise d'un ou plusieurs organismes de normalisation pour établir des spécifications d'interopérabilité et de portabilité.

Pour s'approcher le plus possible du Data Act, il convient de clarifier la disposition imposant aux fournisseurs de services de cloud de se conformer aux décisions de l'Arcep visant à préciser les exigences de portabilité et d'interopérabilité auxquelles ils sont soumis.

L'offre de référence technique obligatoirement publiée par les fournisseurs de services de cloud doit s'appuyer, le cas échéant, sur les décisions de l'Arcep visant à préciser les exigences essentielles d'interopérabilité et de portabilité.

Par ailleurs, il est souhaitable de laisser à l'Arcep le soin de fixer le délai de mise en œuvre de ses décisions, comme c'est d'ailleurs le cas dans le secteur des télécommunications.

Nous avons tous fait le même travail de bénédictin, avec la volonté d'insérer dans le projet de loi, de la façon la plus complète possible, les dispositions figurant dans la dernière version du Data Act. C'est pourquoi nous proposons de qualifier de « raisonnables » les mesures devant être prises par les fournisseurs de services de cloud pour faciliter l'équivalence fonctionnelle après la migration vers un service tiers.

Il s'agit encore une fois d'assurer la cohérence entre les dispositions que nous nous apprêtons à voter et le Data Act. L'article 26a du règlement européen, introduit dans le cadre des négociations en trilogue, prévoit en effet un régime d'exemption de certaines obligations en matière de portabilité et d'interopérabilité pour deux types de services.

Avis favorable.

On comprend bien que le Data Act ne puisse pas s'appliquer de la même façon dans des environnements de test, hors production. Il faudra cependant que nous nous penchions sur l'avenir du modèle on-premise, que la plupart des fournisseurs de logiciels sont en train d'abandonner alors même que certaines entreprises ont besoin d'installer des logiciels sur leurs propres serveurs. Cette question n'étant pas évoquée dans le Data Act, il faudra absolument l'aborder dans le cadre des négociations à venir. Elle concerne notamment des entreprises de la défense, qui ont besoin de stocker des données sur des serveurs sécurisés, avec les logiciels nécessaires pour les traiter ; or ces logiciels ne sont plus forcément mis à jour par leurs fournisseurs, notamment européens et américains, pour la simple raison qu'ils sont on-premise. Cela pose un certain nombre de problèmes, qui expliquent notamment le refus de la direction générale de la sécurité intérieure (DGSI) de faire appel à Palantir, l'application Foundry n'étant pas mise à jour de la même façon selon qu'elle est utilisée on-premise ou on-line.

Cet amendement vise à étendre les pouvoirs d'enquête et de sanction de l'Arcep à la mise en œuvre du nouveau modèle de gouvernance introduit par l'article 7 bis.

L'article 10 porte notamment sur les sanctions applicables aux fournisseurs de services informatiques en nuage qui ne respecteraient pas leurs obligations en matière de portabilité et d'interopérabilité. Eu égard à l'importance de ces nouvelles obligations, qui visent à pallier la situation déséquilibrée du marché du cloud, il convient d'augmenter les sanctions afin de rendre le dispositif plus coercitif.

Je me suis déjà exprimée à ce sujet : il n'est pas souhaitable de bousculer le régime de sanctions, qui respecte le principe de proportionnalité. Avis défavorable.

Même avis.

Pourquoi porter le plafond de la sanction pécuniaire de 3 % à 5 % du chiffre d'affaires de l'entreprise en cas de réitération, alors que les sanctions sont ordinairement au moins doublées en pareil cas ? Par ailleurs, ce taux n'est-il pas trop bas ? Depuis près d'une dizaine d'années, les sanctions sont systématiquement contestées en justice et provisionnées : dès lors, compte tenu de l'érosion monétaire et des gains de parts de marché permis par les manœuvres frauduleuses, elles paraissent assez indolores.

Il convient de se départir de l'autorité trop invasive de l'Arcep en matière de normalisation des standards d'interopérabilité, que nous souhaitons les plus ouverts possible. Ces standards devraient être conformes aux normes RFC (request for comments), qui permettent une ouverture et une interopérabilité maximales. Au contraire, confier la normalisation à la seule Arcep mettrait en péril les opérateurs européens qui ne seraient pas soumis aux mêmes obligations bien qu'ils soient tout à fait capables de satisfaire à l'exigence d'interopérabilité et d'ouverture logicielle.

L'Arcep, dont nous avons auditionné les représentants, nous montre chaque jour qu'elle réalise un excellent travail, que ce soit dans le domaine des télécoms ou en matière de fibre. Elle n'agit pas seule dans son coin, mais coopère beaucoup avec ses homologues européens, dans le cadre d'un travail collégial. Je donne donc à votre amendement un avis défavorable.

Nous nous réjouissons que l'article 8 pose des principes de transparence pour une interopérabilité effective. Toutefois, l'article 9 risque non seulement d'exclure du marché une dizaine de technologies européennes ou libres de cloud parfaitement interopérables, mais également d'offrir aux fournisseurs de services un moyen de contourner l'article 8 en se conformant aux normes de l'Arcep sur un sous-ensemble de fonctionnalités tout en empêchant l'interopérabilité pour les autres. Nous proposons donc un mécanisme permettant d'étendre rapidement les normes de l'Arcep lorsqu'elles ne suffisent pas à atteindre l'interopérabilité, notamment lorsque certaines fonctions d'un opérateur de cloud ne sont couvertes par aucune norme applicable.

L'Arcep n'a pas l'habitude de travailler seule dans son coin : elle consulte et interroge l'écosystème. J'ai une confiance totale dans sa capacité à préciser ces nouvelles règles d'interopérabilité et de portabilité. Avis défavorable.

Bien que nous partagions tous ici l'ambition de cet article introduit par le Sénat, je propose de le supprimer.

Nous avons déjà débattu de ces sujets lors de l'examen du projet de loi de programmation militaire. Il avait alors été indiqué que des discussions étaient en cours, à l'échelle européenne, en vue d'aboutir à un référentiel souverain et sécurisé de données dans le cadre du schéma européen de cybersécurité des services cloud (EUCS). La France dispose d'un référentiel de confiance, SecNumCloud, et a mis au point la doctrine « Cloud au centre ». Intégrer ces éléments dans la loi risquerait d'affaiblir notre capacité à négocier le référentiel à l'échelle européenne. Donnons-nous au contraire les moyens de pousser les positions françaises dans le cadre de cette discussion européenne, qui n'a pas encore abouti, et de faire en sorte que le contenu du futur référentiel européen soit plus solide.

Du reste, nous n'avons pas encore les moyens d'assumer matériellement le renforcement du cloud de confiance proposé par l'article 10 bis A.

Je souscris entièrement aux propos de Mme Chassaniol, ayant moi-même déposé un amendement de suppression de l'article 10 bis A.

Le fait que les sénateurs aient introduit cet article est une bonne chose, car il est nécessaire que nous débattions de la souveraineté numérique de notre pays. Je suis pourtant arrivée à la conclusion que sa suppression était souhaitable, pour plusieurs raisons.

La première est sans doute la plus essentielle. Vous avez pu constater que, depuis le début de l'examen du titre III, nous nous efforçons de coller le plus possible au Data Act. Il se trouve qu'au niveau européen se tiennent actuellement des discussions très serrées, auxquelles la France prend toute sa part, pour relever le niveau de protection des données sensibles et tendre vers une souveraineté européenne dans ce domaine. Il faut en effet considérer la souveraineté au niveau européen, et non spécifiquement français – j'y reviendrai.

Alors que les discussions sur le Data Act se sont achevées, celles sur l'EUCS, qui correspond à la doctrine de sécurité que nous voulons à l'échelle européenne, sont encore en cours. Pas à pas, grâce notamment à l'engagement exceptionnel de l'Anssi et aux arguments qu'elle avance, la France réussit à imposer le niveau de sécurité que nous attendons dans notre pays, tendant vers la qualification SecNumCloud.

Dans ce contexte, le vote de l'article 10 bis A emporterait des conséquences assez négatives pour notre pays.

Tout d'abord, il isolerait la France car il serait perçu comme un désaveu des discussions en cours avec nos partenaires européens. Ce n'est pas le but de la manœuvre !

Ensuite, il isolerait et même stigmatiserait – je pèse mes mots – les clouders français. Lorsque je leur ai demandé, lors des auditions, quelle était leur ambition commerciale, ils m'ont tous, sans exception, parlé du marché européen. Il est clair que les clouders français ne pourront pas survivre dans un marché spécifique, avec des normes spécifiques marquées par une notion de souveraineté numérique typiquement et exclusivement française : ils n'arriveront pas à atteindre le marché européen, parce qu'ils seront sanctionnés par les acteurs des pays voisins.

Je souligne enfin qu'il existe une politique nationale tendant vers les dispositions introduites par les sénateurs à l'article 10 bis A. Je pense à la qualification SecNumCloud, à certaines normes ISO et à la doctrine « Cloud au centre » voulue par la Première ministre.

Les sénateurs eux-mêmes reconnaissent que, si nous votions cet article, les acteurs français ne disposeraient pas aujourd'hui de la capacité technique ni des structures permettant d'accueillir les données des administrations centrales.

Lors de la discussion générale, Mme Chikirou et plusieurs d'entre vous nous ont appelés à cesser les mesures d'affichage, les effets de communication, à passer à l'action et à faire preuve d'efficacité. Nous accompagnons une filière, nous souhaitons tendre vers une souveraineté, mais si nous votons aujourd'hui cet article 10 bis A, nous nous tirons clairement une balle dans le pied.

Le Gouvernement est favorable à ces deux amendements de suppression très bien défendus par Mme Chassaniol et par Mme la rapporteure. J'aimerais apporter quelques précisions concernant la stratégie de l'État en matière de protection des données sensibles des Français.

La France compte parmi les tout premiers pays à avoir décidé de se doter d'une stratégie de cloud de confiance. Elle a élaboré une certification, délivrée par l'Anssi, qui s'impose à toutes les administrations désireuses d'organiser leur migration vers le cloud. Cette politique de l'État a été fixée dans une circulaire du 5 juillet 2021, qui s'appuie sur une doctrine dénommée « Cloud au centre », récemment actualisée et présentée à l'Assemblée nationale lors des débats sur la loi de programmation militaire.

Aux termes de cette doctrine, qui s'impose à toutes les administrations, « tous les systèmes et applications informatiques traitant des données à caractère personnel, y compris celles des agents publics, doivent être conformes au règlement général sur la protection des données (RGPD). À ce titre, une attention particulière doit être portée à d'éventuels transferts de données à caractère personnel en dehors de l'Union européenne et il est rappelé que l'hébergement sur le territoire de l'Union européenne, de l'Espace économique européen ou d'un pays tiers faisant l'objet d'une décision d'adéquation de la Commission européenne, adoptée en application de l'article 45 du RGPD, permet notamment d'assurer un niveau de protection adéquat aux données. Par ailleurs, même lorsque les données sont localisées dans l'Union, conformément aux articles 28 et 48 du RGPD, ces données doivent être immunisées contre toute demande d'autorité publique d'États tiers – judiciaire ou administrative – en dehors d'un accord international en vigueur entre le pays tiers demandeur et l'Union ou un État membre. Pour les systèmes contenant des données de santé, l'hébergeur doit de plus être conforme à la législation sur l'hébergement de données de santé.

« Si le système ou l'application informatique traite des données, à caractère personnel ou non, d'une sensibilité particulière et dont la violation est susceptible d'engendrer une atteinte à l'ordre public, à la sécurité publique, à la santé et la vie des personnes ou à la protection de la propriété intellectuelle, l'offre de cloud commerciale retenue devra impérativement respecter la qualification SecNumCloud – ou une qualification européenne garantissant un niveau au moins équivalent, notamment de cybersécurité – et être immunisée contre tout accès non autorisé par des autorités publiques d'États tiers. Dans le cas contraire, le recours à une offre de cloud commerciale qualifiée SecNumCloud et immunisée contre tout accès non autorisé par des autorités publiques d'États tiers n'est pas requis.

« Ces données d'une sensibilité particulière recouvrent : les données qui relèvent de secrets protégés par la loi, notamment au titre des articles L. 311-5 et L. 311-6 du code des relations entre le public et l'administration […] ; les données nécessaires à l'accomplissement des missions essentielles de l'État, notamment la sauvegarde de la sécurité nationale, le maintien de l'ordre public et la protection de la santé et de la vie des personnes. »

Cette clarification du périmètre des données sensibles, Bruno Le Maire et moi l'avions annoncée le 12 septembre 2022 lors d'un déplacement dans un centre de données d'OVHcloud.

Bien que ces règles s'appliquent aux administrations, c'est-à-dire à l'ensemble de la sphère de l'État, notre politique ne s'arrête pas là. Aussi Bruno Le Maire a-t-il déclaré, ce même jour : « Je le dis avec beaucoup de gravité : si jamais nos entreprises qui ont des données extraordinairement sensibles ne se saisissaient pas librement de cette offre de sécurisation de leurs données », c'est-à-dire d'une offre qualifiée SecNumCloud, « je ne peux pas exclure que, à un moment ou à un autre, nous en venions à une norme obligatoire pour protéger notre souveraineté industrielle et protéger notre indépendance. »

Pourquoi ne pas imposer dès aujourd'hui cette obligation aux entreprises, en particulier aux opérateurs d'importance vitale et aux opérateurs essentiels ? Au-delà des problèmes rédactionnels, techniques, posés par l'article 10 bis A, sur lesquels je reviendrai dans quelques instants, Mme la rapporteure et Mme Chassaniol ont bien expliqué qu'une négociation très serrée était en cours concernant le schéma européen de certification de cybersécurité pour les services de cloud. Bien que volontaire, ce schéma européen encadrera les schémas de certification et de qualification nationaux.

Si nous gagnons la bataille et réussissons à intégrer dans ce schéma européen, au moins pour le niveau de sécurité le plus élevé, les critères que nous avons déterminés pour la qualification SecNumCloud, ce sera une très bonne nouvelle car nous pourrons continuer d'opérer avec cette qualification ; par ailleurs, les entreprises françaises ayant réalisé des efforts considérables pour l'obtenir auront la possibilité d'exercer directement leurs activités dans le reste de l'Union européenne. Si, au contraire, nous ne parvenons pas à convaincre nos partenaires européens d'intégrer dans ce schéma de certification volontaire le même niveau d'exigence que celui auquel nous avons décidé de nous astreindre, c'est l'existence même de ce niveau d'exigence associé à la qualification SecNumCloud qui se trouvera fragilisée juridiquement, puisqu'il ne sera pas conforme au schéma européen.

Certains d'entre vous considèrent que l'adoption de l'article 10 bis A serait de nature à renforcer la position de nos négociateurs, qui pourraient mettre en avant le fait que les parlementaires français poussent leur gouvernement à aller plus loin. En réalité, comme nous l'a montré l'expérience de ces derniers mois, c'est l'inverse qui se produirait : nos adversaires dans cette discussion européenne prétendraient que, sous prétexte de vouloir protéger les données sensibles, nous essaierions de conquérir leurs marchés. Cet argument est certes de mauvaise foi, mais nos négociateurs l'ont déjà entendu de manière répétée.

Un consensus européen a pu se former s'agissant du règlement sur les données, qui fait l'objet des articles 7, 8 et 9 que vous venez d'examiner et qui impose des règles de concurrence permettant de rouvrir le jeu. Cependant, en matière de protection des données sensibles, ce n'est pas du tout la même musique : les oppositions sont assez fortes. Si nous voulons remporter la bataille et obtenir que le schéma européen corresponde à nos exigences de sécurité, nous devons refréner notre envie d'étendre dès aujourd'hui à d'autres acteurs les obligations pesant sur l'administration. Réservons-nous la possibilité de le faire dans le cadre de prochains textes. Je pense notamment au futur projet de loi de transposition de la directive NIS 2 (Network and Information Security 2) et du règlement Dora (Digital Operational Resilience Act), qui portent sur des sujets très proches et nous amèneront d'ailleurs à redéfinir le périmètre des opérateurs d'importance vitale et des opérateurs essentiels.

Enfin, d'un point de vue purement technique, l'article 10 bis A ne décrit que certaines des dimensions de la certification SecNumCloud. Je comprends ce choix : comme l'a fait remarquer le directeur général de l'Anssi lors de son audition, s'il fallait intégrer l'ensemble des critères de la qualification SecNumCloud dans la loi, cette dernière ferait des milliers de pages ! Cette certification technique, très lourde et complexe, ne se résume pas à des critères d'actionnariat. Dès lors, l'article 10 bis A manque sa cible.

Cet article a été introduit au Sénat par le biais d'un amendement déposé par le groupe Union centriste, soutenu par l'ensemble des groupes politiques et adopté à l'unanimité. Voulons-nous affronter les sénateurs sur ce sujet ? Ne serait-il pas préférable d'en discuter et de chercher à comprendre leur travail ?

Les sénateurs ont entrepris d'intégrer dans le projet de loi, quasiment mot pour mot, la circulaire du 31 mai 2023 relative à l'actualisation de la doctrine « Cloud au centre », notamment sa partie R9 que vous avez citée et qui n'est pas toujours appliquée par l'État. Dans l'éducation nationale et dans les universités, par exemple, on a beau interdire Office 365, il est utilisé partout ! De même, la plateforme des données de santé, également appelée « Health Data Hub », n'est pas soumise à la circulaire, pour de nombreuses raisons – parce qu'une exemption a été accordée aux organismes déjà engagés dans la démarche, et parce qu'en tant que groupement d'intérêt public (GIP) la plateforme n'est pas placée sous la tutelle de l'État. Cela nous a d'ailleurs amenés à déposer un amendement relatif aux hébergeurs de données de santé.

Quoi qu'il en soit, l'article 10 bis A reprend les éléments évoqués dans la circulaire : il s'applique « aux données qui relèvent de secrets protégés par la loi au titre des articles L. 311-5 et L. 311-6 du code des relations entre le public et l'administration, aux données de santé à caractère personnel mentionnées à l'article L. 1111-8 du code de la santé publique ainsi qu'aux données nécessaires à l'accomplissement des missions essentielles de l'État, notamment la sauvegarde de la sécurité nationale, le maintien de l'ordre public et la protection de la santé et de la vie des personnes ». On ne peut pas faire plus régalien. Votons-le !

Je souscris aux propos de M. Latombe, auxquels j'ajouterai trois arguments.

Tout d'abord, nous sommes ici des parlementaires, comme nos collègues sénateurs : nous n'avons donc pas à nous soumettre à une stratégie gouvernementale à laquelle nous sommes d'ailleurs nombreux à ne pas adhérer. En tant que parlementaire, je suis libre de soutenir un autre point de vue, une autre stratégie.

En outre, il faut arrêter de se voiler la face : nous sommes en profond désaccord avec l'Allemagne, dont la stratégie est radicalement opposée à la nôtre. Comment voulez-vous concilier les positions des deux pays ? La meilleure façon de défendre notre souveraineté numérique et de protéger nos données sensibles est de voter cet article.

Vous affirmez enfin que les entreprises françaises ne sont pas prêtes. Quand on veut le développement d'une entreprise ou d'une filière, c'est l'État qui l'organise. Il pourrait très bien exister un service public dédié aux données sensibles : nous devons le mettre en place. Cela ne se fera pas en six mois ou en un an ; ce n'est pas de l'affichage mais de la planification. Sommes-nous réellement capables de planifier notre souveraineté numérique ou devons-nous demander gentiment aux Allemands l'autorisation de voter la loi dans notre pays afin de protéger nos données sensibles, nos entreprises et nos concitoyens ? L'enjeu n'est aucunement technique, il est éminemment politique.

Madame Chassaniol, madame la rapporteure, monsieur le ministre délégué, j'aimerais saluer votre courage – pardon, votre manque de courage. Je n'aimerais pas être à votre place alors que vous êtes en train de planter un couteau dans le dos de notre écosystème.

Monsieur le ministre délégué, votre ministre de tutelle est chargé « de la souveraineté industrielle et numérique ». Quant à nous, nous sommes des parlementaires français. Votre rôle, notre rôle est donc de protéger les données de nos concitoyens de la prédation des boîtes étrangères, de l'extraterritorialité de la législation d'États concurrents, et de protéger nos entreprises de la concurrence déloyale. Pourtant, quand vous avez l'occasion de mettre en œuvre cette politique, vous reculez. Vous voulez supprimer un article qui permettra d'écarter de la commande publique les entreprises de cloud soumises à une législation extra-européenne, donc de virer Microsoft du Health Data Hub et les Gafam des institutions françaises.

Vous expliquez que vous ne pouvez pas prendre de l'avance sur la législation européenne car une négociation est en cours. Pourtant, dans certaines parties du projet de loi qui nous est soumis aujourd'hui, vous allez plus loin que le Data Act. De même, quand vous avez instauré la taxe Gafam, vous avez pris de l'avance sur les négociations européennes. Vos arguments sont de mauvaise foi et votre renoncement est une trahison. Les Gafam vous remercient !

Le débat est à la fois technique et politique. Il ne faut pas parler de trahison ou de coup de couteau dans le dos.

Pendant cinq ans, j'ai présidé les débats de la commission des affaires culturelles. Lors de la précédente législature, nous avons eu exactement les mêmes discussions sur un certain nombre de textes, notamment sur une proposition de loi très importante tendant à créer un droit voisin au profit des agences de presse et des éditeurs de presse, laquelle découlait de la directive européenne sur le droit d'auteur. À droite, à gauche et au centre, j'ai entendu des parlementaires animés des mêmes bonnes intentions, qui souhaitaient anticiper la transposition du texte européen. L'Espagne avait instauré des droits voisins à l'échelle nationale, répondant à une pression politique voulant que les éditeurs de presse soient rémunérés par Google. L'entreprise américaine avait réagi en déréférençant tous les quotidiens et les grands titres de la presse espagnole, si bien que des droits voisins étaient effectivement négociés, mais à 0 euro. De notre côté, nous avons temporisé et attendu qu'un texte soit adopté à Strasbourg, que la France a été le premier pays à transposer. C'est ainsi que nous avons engagé le mouvement permettant aux éditeurs et aux agences de presse de toucher des dizaines de millions d'euros de droits voisins, à l'issue de négociations que nous avons pu mener en nous appuyant sur la force de l'Union européenne.

Vous pouvez ne pas aimer l'Europe, vous pouvez déplorer la lenteur des négociations nécessaires pour obtenir des convergences. Pour ma part, je salue la position courageuse de M. le ministre délégué, qui n'est certainement pas la plus facile à tenir. Contrairement à ce que j'ai pu entendre, ce n'est pas un acte de lâcheté.

Que les choses soient claires, il ne s'agit aucunement de remettre en cause le travail des sénateurs. Cependant, nous sommes ici dans une autre chambre, à l'Assemblée nationale, et nous pouvons avoir notre propre opinion. Nous avons mené sur ce sujet beaucoup plus d'auditions que le Sénat – vous n'y avez pas assisté, monsieur Latombe –, nous avons pris le temps d'aller au fond des choses et posé des questions.

La circulaire présentant la doctrine « Cloud au centre » est en cours d'application, mais ce n'est pas parce qu'elle existe que toutes les administrations vont faire migrer leurs données en un claquement de doigts. Vous savez mieux que quiconque, monsieur Latombe, que douze à dix-huit mois sont nécessaires pour qu'une administration centrale fasse migrer ses données d'un cloud extraterritorial à un cloud français. Les administrations sont en train d'opérer ce mouvement, qui ne se décrète pas et ne peut pas se faire du jour au lendemain.

Madame Chikirou, vous avez appelé à une planification de la souveraineté numérique : j'adhère totalement à cette vision des choses. Cependant, il en est de la planification comme d'une circulaire : elle ne se décrète pas et ne se fait pas du jour au lendemain. Lorsque nous avons rejeté les amendements CS160 et CS176 de M. Latombe, nous avons favorisé une forme de planification car les mesures proposées auraient fortement pénalisé le développement économique et la montée en puissance des acteurs français. Voilà du concret !

Il faut effectivement que l'État accompagne les acteurs français : c'est ce que nous permettrons en adoptant ces amendements de suppression. Nous raisonnons à moyen terme et ne souhaitons pas nous montrer trop prétentieux, alors que nous sommes souvent perçus ainsi en Europe. Nous devons être responsables, planifier et nous aligner sur les négociations en cours à Bruxelles.

Monsieur Lopez-Liguori, vous avez fait allusion à notre volonté de devancer parfois les dispositions du Data Act. Il se trouve que ce règlement européen existe, puisqu'il a été adopté, à la différence de l'EUCS qui est toujours en cours de discussion. Quand on adopte une posture très affirmée, il faut vraiment être sûr de soi pour ne pas faire capoter les négociations. Or, si nous adoptons l'article 10 bis A, nous les mettrons en péril.

Monsieur Lopez-Liguori, le Gouvernement et cette majorité n'ont aucune leçon à recevoir de votre part s'agissant de la manière dont nous entendons réguler les géants du numérique. Si le Parlement européen et le Conseil ont adopté le règlement sur les marchés numériques et celui sur les services numériques, c'est grâce à cette majorité et grâce au Président de la République. Je regrette que votre groupe au Parlement européen se soit abstenu sur le règlement sur les services numériques (DSA).

Nous avons voté pour le DMA.

M. Bardella n'a pas voté pour le DSA, il s'est abstenu. Quant au DMA, certains membres de votre groupe ont voté en sa faveur, mais la majorité d'entre eux se sont abstenus. En ce qui concerne le règlement sur les données, qui permettra enfin de mettre un terme aux pratiques commerciales déloyales dans le marché du cloud – cela correspond aux articles 7, 8 et 9 du projet de loi –, vos collègues au Parlement européen se sont abstenus. Ils n'ont jamais soutenu les offensives que nous avons menées contre les Gafa. Ne nous donnez donc pas de leçons !

Cet amendement prévoit que tous les hébergeurs de données de santé doivent se conformer au référentiel SecNumCloud au 1er juillet 2024. Ces données permettent, en effet, de connaître l'état de santé de nos concitoyens et de porter un diagnostic médical. Le Health Data Hub, par exemple, n'est pas assujetti à la circulaire dont vous avez parlé. Cela veut dire que nos données de santé sont hébergées dans des systèmes auxquels on peut avoir accès facilement depuis un certain nombre de pays étrangers. Nous souhaitons que les données de santé, qu'elles relèvent d'organismes publics ou d'organismes privés, comme Doctolib qui a quasiment un monopole pour la prise des rendez-vous médicaux, soient sécurisées et ne puissent pas être gérées, réglementairement, dans un cadre extraterritorial.

Pourquoi faisons-nous référence au 1er juillet 2024 ? Vous avez dit hier soir, monsieur le ministre délégué, que nous ferions l'objet d'attaques massives et intenses à l'occasion des Jeux olympiques. Or les données de santé sont non seulement les plus lucratives mais aussi les plus faciles à obtenir. Nous devons donc faire évoluer notre niveau de jeu en la matière. Nous proposons ainsi la qualification SecNumCloud qui, outre les aspects extraterritoriaux, comporte un référentiel de cybersécurité de très haut niveau. Un report partiel en 2025 est envisageable – on peut en discuter, car le référentiel SecNumCloud comporte différents stades –, mais il faut envoyer un signal fort à nos concitoyens.

J'émets un avis défavorable, même si votre amendement part d'une bonne intention. Nous partageons l'idée qu'il faut préserver les données des Français, mais ce que vous proposez est absolument irréalisable. On ne peut pas faire migrer au 1er juillet 2024 les données de santé actuelles dans le cadre du référentiel SecNumCloud.

Cette qualification, qui est délivrée par l'Anssi et qui correspond au plus haut niveau de sécurisation des données en France, comprend 700 items, soit 70 pages. Nous avons auditionné, comme vous l'aviez demandé, Cloud Temple, qui nous a dit que cette certification demandait deux à trois ans de travail à une entreprise disposant pour cela de vingt équivalents temps plein. Le délai que vous proposez est donc surprenant.

Par ailleurs, demander, voire exiger compte tenu du ton de votre intervention, que toutes les données de santé des Français, de la civilité aux examens biologiques réalisés, soient hébergées sur un cloud souverain ou ayant la qualification SecNumCloud n'est pas sérieux. Il faut procéder, avant une migration de ce type, à une qualification des données. Il n'est pas nécessaire que toutes les données de santé soient conservées au niveau SecNumCloud. Une cartographie préalable, qui prend du temps, s'impose.

Le ministère de la santé, que j'ai tenu à auditionner, suit une démarche assez remarquable en matière de protection des données. Le référentiel HDS, Hébergeurs de donnés de santé, qui est à 100 % français, permet de protéger ces données : on ne peut pas faire comme s'il n'existait pas. Je me suis tournée vers la société Medaviz, qui fait de la télémédecine – 70 000 patients ont recours à ses services – et qui est implantée dans mon territoire. Pour son PDG, la migration en SecNumCloud ne présente pas d'intérêt : c'est très lourd et, à ce stade, le référentiel HDS est satisfaisant.

Nous avons pour ambition d'aller vers un niveau optimal de sécurité, notamment dans le cadre de la circulaire « Cloud au centre », mais une migration vers le référentiel SecNumCloud au 1er juillet 2024 serait absolument irréalisable.

Même avis. L'hébergement des données de santé fait l'objet d'une obligation de certification spécifique, prévue par le code de la santé publique, afin de protéger ce type de données. À ce jour, 284 hébergeurs sont certifiés HDS, pour différentes activités, par neuf organismes accrédités par le Comité français d'accréditation (Cofrac).

Il est prévu de faire évoluer le référentiel de certification HDS d'ici à la fin de l'année afin d'inclure des exigences nouvelles en matière de souveraineté, notamment en ce qui concerne le lieu physique de l'hébergement, qui doit être restreint à l'espace économique européen, la transparence, pour les clients des prestations et les utilisateurs finaux, le risque de transfert et les mesures de réduction de ce risque. Une telle évolution est également l'occasion de clarifier le périmètre de certaines activités d'hébergement et d'offrir une matrice de correspondance entre HDS et SecNumCloud, afin de simplifier les démarches de certification HDS pour les hébergeurs ayant la qualification SecNumCloud.

Nous ne devons pas seulement tendre vers la protection de ces données, madame la rapporteure : nous avons une obligation en la matière. Ce qui existe aujourd'hui est insuffisant, et une planification consiste à fixer des dates. Le 1er juillet 2024 est peut-être trop tôt, mais il faut au moins organiser la mise en place de la sécurisation des données. C'est indispensable compte tenu du niveau d'alerte, du niveau des attaques et des enjeux. Nous avons laissé se développer un marché de la santé, et même des données de santé : nous en payons les conséquences. Le législateur doit agir concrètement et rapidement, en fixant des dates, puis en se donnant les moyens de respecter le calendrier. Nous examinerons bientôt le projet de loi de finances (PLF) : nous pouvons tout à fait accompagner les entreprises concernées.

On ne peut pas se contenter de dire que ce n'est pas réalisable au 1er juillet 2024, faute de moyens. Il existe déjà des hébergeurs de données de santé ayant la qualification SecNumCloud. Je peux vous en citer trois, que vous connaissez d'ailleurs. L'un d'entre eux est un grand acteur qui est plutôt implanté dans le nord de la France et qui fait la fierté de notre pays – il est souvent mis en avant par le Gouvernement.

SecNumCloud comporte plusieurs phases. Prévoyons donc que les 200 premiers items, les plus protecteurs pour les données de santé, sont pour le 1er juillet 2024, et que le reste, qui concerne notamment la gouvernance, est reporté au 1er janvier 2025. On peut agir, au lieu de laisser sans protection les données de nos concitoyens – on le voit tous les jours avec les attaques contre les hôpitaux, qui sont des hébergeurs de données de santé, et les fuites de données, qui sont vendues. À chaque fois, c'est une sorte d'agression vis-à-vis des patients.

Quant aux entreprises spécialisées dans la prise de rendez-vous, elles ont aussi des données sensibles. Quand une personne prend rendez-vous chez un oncologue, c'est une information sur sa santé. Ces données doivent être protégées, et c'est d'ailleurs ce que demande le RGPD.

On ne peut pas faire les choses à moitié : on est au niveau SecNumCloud ou on n'y est pas. Si on se limite aux 200 premiers items, on n'y est pas, ce n'est pas vrai.

Nous protégeons les données de santé des Français dans le cadre du référentiel HDS : elles ne se retrouvent pas dans la nature, fort heureusement !

Je reviens sur les propos de M. Barrot, qui a mis en cause les positions de mon parti au sein du Parlement européen. Nous nous sommes abstenus sur le DSA à cause des signaleurs de confiance, parce que nous considérions qu'une question se posait du point de vue de la démocratie, et nous avons voté pour le DMA.

Je préside le groupe d'études « économie, sécurité et souveraineté numériques », qui a entendu vingt intervenants différents. Tous – NumSpot, Whaller, la Commission nationale de l'informatique et des libertés (Cnil) ou Docaposte – étaient pour l'article 10 bis A, que vous avez décidé de supprimer. Nous allons coordonner, dans le cadre du groupe d'études, le dépôt d'amendements en séance et nous reviendrons à la charge en commission mixte paritaire : nous vous ferons plier.

L'amendement CS260 demande au Gouvernement d'élaborer une stratégie nationale pour la souveraineté numérique qui vise à identifier les menaces à notre indépendance, à favoriser la transformation numérique de l'État en matière de souveraineté et à faire du développement des entreprises technologiques et de notre écosystème numérique une priorité, un peu comme ce que vous avez prévu pour l'industrie verte.

Je vous félicite pour les saines lectures que vous semblez avoir – je pense en particulier au récent rapport de la Commission supérieure du numérique et des postes qui traitait de la souveraineté numérique.

Votre amendement évoque, s'agissant de la stratégie que vous appelez de vos vœux, la période 2020-2030. Or nous sommes déjà en 2023, ce qui pose un problème.

La France a une ambition en matière de souveraineté numérique – nous n'avons pas attendu les propositions du RN – et une vraie vision. Par ailleurs, il y a ce que l'on fait et ce que l'on dit : nous préférons faire, plutôt que dire des choses qui ne sont pas faisables.

Le ministre délégué pourra, s'il le souhaite, afin de vous rassurer, développer la stratégie du Gouvernement. À ce stade, avis défavorable.

Je le regrette, monsieur Lopez-Liguori, mais c'est ainsi : vos collègues du groupe ID – Identité et Démocratie – au Parlement européen se sont majoritairement abstenus en ce qui concerne le DMA et le DSA, y compris des membres de la délégation française, comme Jordan Bardella. Par ailleurs, ce groupe s'est abstenu au sujet du règlement sur des données, le Data Act.

Vous prétendez que la majorité plante un couteau dans le dos de tout un écosystème, alors que nous avons œuvré en faveur du règlement sur les données, qui va instaurer, pour la première fois, des conditions d'équité commerciale dans le marché du cloud. Vous devriez plutôt convaincre vos collègues au Parlement européen de mettre autant d'énergie que vous, au sein de cette commission, au service de la souveraineté numérique : dites à M. Bardella de voter dès demain le règlement sur les données.

Je ne partage pas forcément l'idée que nous ayons besoin chaque année, au Parlement, d'un débat sur la souveraineté numérique. En revanche, il nous faut absolument une vision globale de la stratégie numérique de l'État, dans toutes ses composantes. Sans vouloir vous faire offense, monsieur le ministre délégué, le numérique est éclaté entre différents ministères et différents textes. Vous n'avez pas la main sur le numérique dans la santé, ni sur la transformation numérique de l'État – elle est chez votre collègue Guerini.

Par ailleurs, la direction interministérielle du numérique (Dinum) a un problème : elle est restée pendant neuf mois sans responsable et il faut du temps à sa nouvelle patronne pour renouer les contacts avec l'ensemble des DSI – directions des systèmes d'information – des différents ministères. On sait bien que chaque DSI est entourée de sacs de sable et de miradors et que la vision de la donnée est totalement différente selon les ministères – et je ne parle même pas des ministères régaliens, comme la défense et l'intérieur. Quant à la justice, elle est un peu en retard dans ce domaine. Il nous faut une vision stratégique globale, qui n'existe pas actuellement.

Nous devons effectivement développer une vision beaucoup plus globale et beaucoup plus poussée en ce qui concerne la transition, voire la révolution numérique. Toutefois, avant de demander au Gouvernement de présenter au Parlement, une fois par an, sa stratégie, nous devrions peut-être nous interroger sur ce que fait l'Assemblée nationale en matière de suivi du numérique. Je peux vous faire une proposition : fusionner les commissions de la défense et des affaires étrangères pour créer une commission du numérique et de l'innovation, qui permettra d'élaborer à l'Assemblée nationale une vraie stratégie et une vraie vision.

La responsabilité, s'agissant de la stratégie numérique de l'État, se situe au niveau interministériel, mais elle incombe plus particulièrement au ministère de la transformation et de la fonction publiques.

La Dinum a demandé aux directeurs du numérique ministériels un planning pour l'élaboration des feuilles de route du numérique et de la donnée publique, dont la formalisation a été actée, dans le cadre du septième comité interministériel de la transformation publique, pour la fin de l'année 2023. Ces feuilles de route ont notamment pour objectif de garantir l'usage du numérique au profit des politiques prioritaires du Gouvernement. Le document attendu, qui devra être synthétique, pourra être construit autour de la question de l'ambition numérique au service des politiques prioritaires de chaque ministère, des constats en matière d'organisation, de cartographie numérique et d'urbanisation numérique, des évolutions nécessaires pour réussir, grâce au numérique, les politiques publiques identifiées, de la description des projets numériques au service des politiques publiques à lancer dans les deux années à venir, et des référentiels, schémas d'échanges et plateformes à mettre en œuvre, le cas échéant, au service des projets opérationnels.

La Dinum reprend ainsi la place qu'elle n'aurait, peut-être, jamais dû cesser d'occuper, celle d'un acteur central chargé de la coordination entre les directions numériques des ministères. Cela permettra d'unifier et d'harmoniser les pratiques et d'atteindre l'objectif que chacun ici partage.

Cet article, également introduit par nos collègues du Sénat, met en avant un aspect extrêmement important : la transparence, à laquelle nous sommes évidemment favorables et qu'il n'est pas envisageable de retirer du texte. Mon amendement vise à réécrire l'article pour l'enrichir et le préciser, notamment afin de coller au Data Act.

Avis favorable, pour plusieurs raisons.

Tout d'abord, la transparence est souhaitable. J'ai évoqué tout à l'heure les difficultés que pourraient poser, pour les négociations au niveau européen, des mesures de coercition prises trop tôt, mais personne ne pourrait reprocher à la France de vouloir faire la transparence sur les caractéristiques des offres d'hébergement en ligne. Cela permettra, au contraire, de faire grandir chez les différents acteurs, qu'ils appartiennent à la sphère publique ou à la sphère privée, la prise de conscience de la nécessité de mieux protéger leurs données.

Par ailleurs, Mme la rapporteure a intégré dans son amendement des aspects qui relèvent du règlement sur les données et dont nous avons déjà discuté.

Enfin, je souligne que Mme la rapporteure a repris certaines propositions figurant dans d'autres amendements qui tomberont si celui-ci est adopté – il s'agit notamment des informations relatives à l'empreinte écologique de l'hébergement en ligne.

Selon Mme la rapporteure, cet amendement procéderait à une réécriture issue du Data Act, mais nous ne devons pas avoir la même lecture de celui-ci. Les travaux du Sénat y collaient parfaitement, même si j'ai déposé un amendement visant à ajouter un élément qui a été inséré, il y a une semaine et demi, dans la partie relative à la transparence – cela concerne la juridiction à laquelle est soumise l'infrastructure juridique déployée pour le traitement des données des services individuels des fournisseurs de cloud.

La réécriture totale de l'article 10 bis que vous proposez n'est pas conforme au Data Act. Elle ne satisfera donc ni nos collègues du Parlement européen qui ont travaillé sur ce sujet ni nos collègues sénateurs, en particulier Mme Morin-Desailly.

Une telle réécriture est très éloignée de la rédaction adoptée par le Sénat. Elle ne répond pas, selon moi, aux enjeux de la transparence et, contrairement à ce que vous avez affirmé, madame la rapporteure, elle ne respecterait plus le Data Act. En effet, votre amendement n'imposerait qu'à une sélection restreinte de fournisseurs de services de cloud, ceux détenant une certification en matière de cybersécurité, d'informer les utilisateurs. Ce serait un recul dommageable, et nous ne voterons donc pas pour votre proposition de réécriture.

Nous proposons de renforcer la place et le rôle de la Cnil. L'amendement CS346 demande qu'elle soit systématiquement consultée sur les projets de lois et de décrets relatifs aux services d'intermédiation de données. L'amendement CS347 tend à assurer en la matière une association étroite de la Cnil à la préparation de la position française dans les négociations internationales. En effet, les services d'intermédiation de données traitent très largement de données à caractère personnel – des données de santé, des données issues d'études de consommation ou encore toutes sortes de données utiles en matière de marketing.

L'Arcep, qui a été désignée par le Gouvernement comme l'autorité compétente, a toute notre confiance. Elle fait un travail exceptionnel, tout le monde en convient, et elle saisit la Cnil en tant que de besoin. Je ne vois donc pas l'intérêt des mentions que vous proposez. Avis défavorable à ces deux amendements.

Certes, il existe des liens entre l'Arcep et la Cnil mais, d'après l'audition de cette dernière et les recommandations qu'elle a faites, cela ne fonctionne pas si bien que vous le dites. Nous proposons donc d'inscrire la saisine de la Cnil dans le texte, comme elle le demande.

La Cnil est l'autorité compétente pour certaines parties du texte, mais pas pour le titre III.

L'intermédiation de données concerne la plupart du temps des données anonymisées ou industrielles. Le RGPD est applicable dans tous les cas et la Cnil pourra évidemment être saisie en cas de manquement – l'Arcep se verrait alors tirer les oreilles.

Avis défavorable.

Il s'agit, à la suite d'une recommandation de la Cnil, d'ajouter cet organisme à la liste des personnes qui pourront saisir l'Arcep en cas de manquement au règlement sur la gouvernance européenne des données, aux côtés du ministre chargé des communications électroniques, des organisations professionnelles et des associations agréées d'utilisateurs.

Avis défavorable, pour les mêmes raisons que précédemment.

Cet amendement rédactionnel, qui concerne les pouvoirs de contrôle et de sanction de l'Arcep à l'égard des fournisseurs de services d'intermédiation de données, vise à coller au Data Act.

Nous souhaitons une consultation obligatoire de la Cnil avant toute décision prolongeant ou reprenant des dispositions du RGPD, notamment en ce qui concerne les échanges de données entre entreprises et particuliers. Actuellement, vous l'avez dit, la Cnil peut seulement être consultée.

Nous demandons une consultation préalable et suspensive de la Cnil avant toute décision de l'Arcep au sujet de l'intermédiation de données. Cela permettra de renforcer le poids d'une autorité qui est chargée des libertés et non pas seulement de l'économie. Depuis trois jours, nous avons beaucoup parlé des données, notamment personnelles, sous l'angle du risque de captation économique par le privé. Nous prenons, à La France insoumise, les données personnelles pour ce qu'elles sont, c'est-à-dire des éléments relatifs à la vie privée. C'est pourquoi le présent amendement tend à assurer une meilleure régulation et surtout protection des données personnelles.

Les données dont il est question sont, pour l'essentiel, anonymisées ou industrielles. Les atteintes aux données à caractère personnel ne sont donc pas monnaie courante dans ce domaine, et je fais confiance à l'Arcep et à la Cnil pour fonctionner d'une manière souple et efficace. Par conséquent, avis défavorable.

Même avis.

Ce n'est pas, à proprement parler, une question de confiance : on peut faire confiance à toutes nos administrations, mais il nous appartient, par la volonté politique que nous exprimons, de leur indiquer ce qu'elles doivent faire.

Nous remarquons, depuis le début des débats, des dérives potentiellement liberticides et des contradictions avec le RGPD. Nous voulons des mécanismes de contrôle, et il nous semble que la Cnil fait partie des meilleurs outils en l'espèce.

Ce dernier amendement au titre III vise simplement à apporter une précision juridique.

Compte tenu de leur définition proposée par l'article 15 du projet, les jeux à objets numériques monétisables (Jonum) remplissent les quatre critères des jeux de hasard et d'argent. Les Jonum doivent dès lors être soumis aux dispositions du code de la sécurité intérieure, au même titre par exemple que les casinos.

Mais nous pouvons aussi décider que les objets numériques des Jonum ne seront pas monétisables. Dans ce cas, il faut procéder aux modifications nécessaires. C'est ce que je propose de faire avec cet amendement pour ce qui concerne l'intitulé du titre IV, sachant que je proposerai ensuite la même chose à l'article 15.

Il faut tout d'abord rappeler que l'article 15 comportait initialement une demande d'habilitation à légiférer par ordonnance. Le Sénat a préféré inscrire directement la définition des Jonum dans le texte, tout en laissant à l'Assemblée nationale le soin de déterminer les modalités de leur régulation.

C'est la raison pour laquelle, avec l'amendement CS924 que nous examinerons après l'article 15, je propose d'encadrer ce secteur du jeu tout en s'assurant qu'il puisse se développer. Cela passe par un grand nombre de dispositions – cet amendement fait six pages – dont certaines sont relatives à la protection des mineurs ou à la lutte contre le blanchiment d'argent.

Vous souhaitez que les objets numériques des Jonum ne soient plus monétisables. J'aurais pu comprendre qu'un tel amendement provienne de La France insoumise ou du Parti communiste… Nous parlons de jetons non fongibles (JNF, ou Non Fungible Token – NFT), que l'on achète, et vous dites que ceux qui les possèdent ne peuvent pas les revendre. Voilà ce que signifie votre amendement.

Demande de retrait.

Nous engageons la discussion sur les Jonum et, avec les rapporteurs, nous allons essayer d'apporter toutes les réponses aux différentes questions sur le dispositif proposé et sur les garanties qui l'entourent.

Le Gouvernement avait sollicité une habilitation à légiférer par ordonnance afin d'encadrer l'émergence de ces jeux, qui sont fondés sur la technologie des chaînes de blocs et qui n'appartiennent ni au monde des jeux vidéo ni à celui des jeux d'argent. Des acteurs français émergents et d'autres plus traditionnels – comme le Pari mutuel urbain (PMU) – se développent et deviennent des leaders européens.

Nous avons estimé qu'il était possible de reproduire ce que nous avions réussi il y a cinq ans en prévoyant un cadre expérimental pour les prestataires de services sur actifs numériques (Psan). Je salue les parlementaires qui ont contribué à son élaboration, car cette expérimentation a été un franc succès. L'Union européenne s'en est largement inspirée.

Certains avaient exprimé des craintes à l'époque, mais soixante-dix acteurs ont participé à l'expérimentation et, au bout du compte, un seul agrément a été retiré par l'autorité de contrôle. Nous avions trouvé le bon équilibre entre, d'une part, la flexibilité nécessaire pour que l'innovation se développe en France plutôt qu'à l'étranger et, d'autre part, le niveau adapté de protection.

Si l'amendement de M. Latombe était adopté, il aurait pour effet d'imposer des contraintes très strictes au secteur des jeux vidéo, alors que l'amendement CS924 du rapporteur – qui, je l'espère, sera adopté – en proposera un cadre de régulation et de protection. L'objectif est bien de mieux réguler les Jonum. Demande de retrait.

Je remercie le rapporteur d'avoir relevé que je suis d'extrême centre et que je discute de temps en temps avec La France insoumise ou la NUPES, voire partage leur avis… Cela me rassure.

Vous avez oublié de mentionner que le Gouvernement avait au départ transmis au Conseil d'État une autre rédaction de l'article 15, que tout le monde appelle l'« article Sorare ». Or le Conseil d'État a estimé qu'il n'était pas possible de légiférer pour une seule entreprise – d'où la demande d'habilitation à légiférer par ordonnance. Mais les sénateurs l'ont refusée, car ils ne voulaient pas déléguer leur pouvoir sur une question pareille.

Sorare et les Jonum constituent des jeux d'argent et de hasard au vu des quatre critères qui figurent dans la définition de ces derniers.

Soit on l'assume – et dans ce cas il faut appliquer l'ensemble des contraintes juridiques et fiscales déjà prévues pour le secteur des jeux d'argent et de hasard.

Soit on met en place un régime dérogatoire – mais il faut alors que les Jonum ne remplissent plus l'un des quatre critères précités. Cela peut être obtenu en renonçant à la monétisation des jetons. Il s'agira de NFT qui ne seront pas monétisables. Ce n'est pas grave.

M. Latombe a raison et il soulève une vraie question sur les jeux d'argent et de hasard. Celle-ci a d'ailleurs été tranchée par nos collègues belges, qui ont considéré que les Jonum en font partie précisément parce que les objets sont monétisables.

Les Jonum remplissent les quatre critères qui permettent d'identifier un jeu d'argent et de hasard. Les dispositions en vigueur pour ce secteur doivent donc impérativement être appliquées aux Jonum afin de les réguler – qu'il s'agisse de la fiscalité, du contrôle et de la lutte contre le blanchiment d'argent.

Ce n'est pas parce que l'on retirera un mot dans ce texte que l'on changera la nature des objets numériques monétisables. Ils peuvent être considérés comme des actifs financiers.

Notre travail doit permettre d'établir une définition législative de ces objets. C'est ce que nous avions essayé de faire à l'occasion des discussions qui ont abouti à la loi visant à encadrer l'influence commerciale et à lutter contre les dérives des influenceurs sur les réseaux sociaux. Nous avions alors examiné un amendement qui proposait d'anticiper une partie de la régulation, en encadrant la promotion en ligne de ces actifs. Le Gouvernement nous avait demandé de le retirer afin de disposer de temps pour définir un cadre adapté.

Le moment est venu d'en débattre. Mais ne nous éloignons pas du sujet en touchant à l'essence même de l'objet sur lequel nous devons légiférer.

La définition retenue par le Sénat distingue les Jonum selon qu'ils fonctionnent en « boucle fermée » ou en « boucle ouverte ». Il s'agit de deux sujets vraiment différents.

Dans le premier cas, les jetons gagnés ne peuvent pas être monétisés à l'extérieur du jeu. Ce sont ces Jonum – qui relèvent du Web 2.0 – qui ont fait l'objet d'une loi en Belgique.

Dans le second cas – qui est celui qui nous intéresse – les jeux sont fondés sur la technologie Web3 et les objets peuvent être revendus à l'extérieur.

Aucun pays n'a encore légiféré sur ces Jonum en « boucle ouverte ». L'objectif est précisément de définir un cadre qui permette le développement d'entreprises en France, tout en s'assurant ce que ces Jonum ne soient pas un moyen de contourner la législation sur les jeux d'argent et de hasard. C'est la raison pour laquelle nous proposons des dispositions destinées à protéger les mineurs et à éviter le blanchiment d'argent.

Les Jonum ne sont pas des jeux d'argent et de hasard parce que, contrairement à ces derniers, les joueurs n'obtiennent pas un gain monétaire immédiat en fonction du résultat. Ils deviennent propriétaires d'un objet numérique, qui peut être sorti du jeu et cédé à un tiers – à titre onéreux ou non. Il y a donc bien une différence de nature profonde entre un ticket de Loto et un objet numérique monétisable. Ce dernier peut être éventuellement cédé, mais il peut aussi être conservé, par exemple à titre d'objet de collection comme peut l'être une carte Panini.

C'est la raison pour laquelle ces objets numériques doivent avoir une définition appropriée, tout en prévoyant un régime de protection très similaire à celui des jeux d'argent et de hasard – avec quelques variations.

L'Autorité nationale des jeux (ANJ) indique que le taux de prévalence du jeu problématique atteint 20 % pour les Jonum, soit deux fois plus que pour les jeux d'argent classiques. Ce taux peut même monter à 27 % pour les jeux de fantasy sportive, comme le fameux Sorare.

Je vous entends dire qu'il y a un enjeu de protection des utilisateurs, et notamment des jeunes – qui constituent la première cible de Sorare, par exemple. Mais vous voulez surtout faciliter un business qui pose un problème, surtout dans le cas de cette entreprise – dont tout le monde sait qu'elle est plus ou moins en déclin. L'article 15 permet de créer un régime d'exception, alors que son activité correspond à tous les critères des jeux d'argent et de hasard qui font qu'elle devrait être soumise à la fiscalité de ce secteur. On ne sait rien de la fiscalité que vous appliquerez à Sorare dans le cadre du régime que vous proposez.

Comme vous voulez favoriser le développement de ce type d'activité, vous refusez l'amendement de Philippe Latombe alors qu'il permettrait de justifier le régime d'exception que vous proposez en prévoyant que les objets numériques ne sont pas monétisables.

Le jeu Sorare's 5 (So5) créé par Sorare présente toutes les caractéristiques d'un jeu d'argent et de hasard au sens du code de la sécurité intérieure. Il est ouvert au public. Il fait naître l'espérance d'un gain en avançant que des milliers d'euros peuvent être gagnés sous la forme de NFT. Il dépend par ailleurs de résultats sportifs réels, donc hasardeux. Les résultats de matchs reposent sur un système de points, en fonction des performances réelles des joueurs lors des matchs joués. Vous voulez faciliter les affaires de Sorare, alors que son jeu répond exactement à tous les critères des jeux d'argent et de hasard.

Nous sommes absolument opposés à l'article 15, qui prévoit de mettre en place un régime d'exception en faveur d'une seule entreprise. Nous avons des doutes énormes sur les motivations. C'est l'intérêt général qu'il faut rechercher, comme a su le faire M. Latombe – quitte à être qualifié d'insoumis ou de communiste.

Vos remarques sont très dures.

Je ne propose pas de légiférer pour telle ou telle entreprise. Mon amendement CS924 à l'article 15 vise à encadrer le développement d'une nouvelle technologie. En France, on a trop souvent l'habitude de tout interdire, de telle sorte que les technologies se développent à l'étranger et qu'on décide ensuite de les réguler parce que nous sommes en retard.

Il serait illusoire de croire que seule la société Sorare travaille sur les Jonum en France. Cette entreprise a été la première dans ce domaine. Vous avez participé aux auditions et vous avez entendu ce qu'ont dit nombre d'intervenants – qu'il s'agisse du PMU, de l'Association pour le développement des actifs numériques (Adan), d'Ubisoft, du Syndicat national des jeux vidéo (SNJV) ou du Syndicat des éditeurs de logiciels de loisir (Sell) : la technologie des NFT pourrait à l'avenir être très présente dans les jeux vidéo.

C'est la raison pour laquelle nous souhaitons organiser une expérimentation pendant trois ans afin de permettre aux acteurs d'agir, tout en étant très vigilants sur les points qui sont détaillés dans mon amendement CS924. Nous ne voulons pas que ce cadre soit mortifère, mais nous ne voulons pas pour autant favoriser une entreprise. Il s'agit de permettre le développement des NFT dans les jeux vidéo. Il se pourrait qu'il y ait des NFT dans Mario Kart à l'avenir. Vous direz alors à nos enfants qu'ils n'ont pas le droit d'y jouer parce qu'ils peuvent en gagner un.

Une jeune entreprise innovante bien connue de chacun d'entre nous s'est lancée dans le secteur du Jonum : c'est le PMU – qui compte 14 000 points de vente et fait vivre une filière hippique qui emploie 60 000 personnes en France. Demandez aux responsables du PMU pourquoi ils ont décidé d'innover en se lançant dans ce type.

Parce qu'il y a de l'argent à faire !

Pour garantir l'avenir de la filière hippique et entretenir les points de vente – qui sont parfois les derniers lieux de socialisation dans nos villes et nos villages –, l'entreprise doit s'adapter à l'air du temps et rester en pointe, afin que sa clientèle et les nouvelles générations ne soient pas tentées par des jeux non régulés en France mais qui seraient accessibles ailleurs. Voilà pourquoi l'amendement qui vous sera ensuite présenté par le rapporteur propose d'instaurer un encadrement conforme à nos valeurs.

Cela m'étonnerait que l'ANJ ait dit que le taux de prévalence atteint 20 % pour les Jonum, madame Chikirou, mais je veux bien que vous nous le démontriez. Il s'agit d'une activité qui débute à peine et il n'est pas encore possible d'effectuer de telles mesures.

L'expérimentation que nous proposons va susciter des vocations, comme ce fut le cas avec les Psan il y a cinq ans Cela permettra à la France d'imposer ensuite son cadre de régulation à l'ensemble de l'Europe. Voilà notre ambition. Nous ne voulons pas subir car, que nous le voulions ou non, ces jeux vont se développer dans le reste du monde avec des règles très différentes.

Les données que j'ai citées sont établies – j'ai demandé leur source exacte – et je n'en aurais pas fait mention si je n'en étais pas certaine.

Faut-il laisser se développer ce business, qui n'est pas forcément très moral ? On sait que les jeux d'argent et de hasard rendent des gens dépendants et détruisent des familles. On sait que les jeunes en sont de plus en plus la cible.

Nous avons le devoir de nous préoccuper de la protection des mineurs davantage que du développement du business de ces jeux. Or ce n'est pas ce que vous proposez dans ce texte, qu'il va donc falloir amender.

C'était mon premier argument. Mais comme nous manquons de temps pour débattre même en commission, je reprendrai la parole tout à l'heure.

On ne peut pas appliquer l'encadrement prévu pour les jeux d'argent et de hasard aux Jonum, car il s'agit d'un nouveau secteur. Ces jeux ne peuvent pas être comparés au poker ou aux courses hippiques. L'arrivée de la technologie du Web3 et des NFT dans les jeux vidéo est inéluctable. Sorare a développé un premier modèle, mais je suis certain que, dans cinq ans, on trouvera des NFT partout, que ce soit dans Fortnite ou dans Call of Duty.

Il faut donc prévoir une régulation, notamment pour protéger les mineurs. C'est ce qu'il est prévu de faire en amendant l'article 15.

Il est impossible de brider seulement en France le développement d'une technologie qui apportera de la croissance et beaucoup d'emplois – et dans laquelle nous occupons une place de leader.

Contrairement au président Macron, je n'ai rien contre les jeux vidéo. Je ne pense pas qu'il s'agisse d'une plaie qui conduit les jeunes à se révolter ou à prendre le mauvais chemin.

En revanche, j'ai un problème avec les jeux d'argent. Car, à Cergy, je vois tous les jours des jeunes qui jouent aux paris sportifs et qui sont visés par des publicités pour ces jeux. Des familles sont brisées parce qu'elles ont des dettes et qu'elles ne savent plus comment s'en sortir.

Le fameux jeu Sorare est très répandu dans les quartiers populaires et parmi les jeunes qui y vivent. Cela fonctionne un peu sur le même modèle que les paris sportifs. À partir du moment où vous pouvez espérer gagner des milliers d'euros et où c'est le match du week-end qui va déterminer si vous avez gagné ou perdu, il s'agit bien d'un jeu d'argent et pas d'un jeu vidéo.

Monsieur le rapporteur, vous présidez le groupe d'études sur le jeu vidéo. Je sais que vous êtes un passionné. Mais vous voyez bien que le dispositif que vous nous proposez n'est pas prêt. Prenez le temps, réfléchissez et revenez nous présenter une proposition de loi quand les choses seront plus claires.

Nous ne parlons pas d'un jeu vidéo où l'on peut acheter un petit accessoire valant 10 euros pour améliorer un personnage. Ces Jonum font naître l'espoir de gains de plusieurs milliers d'euros. C'est une sorte de PMU 3.0 et cela n'est pas acceptable.

Supprimons cet article et prenons le temps de la réflexion pour construire quelque chose de véritablement solide. Gardons surtout à l'esprit les dégâts que ces jeux peuvent causer aux familles, ce dont je suis témoin chaque jour dans ma circonscription.

Mon collègue a bien décrit les risques liés aux Jonum ainsi que nos inquiétudes. On est en train d'ouvrir un nouveau marché et l'on ne se pose absolument pas la question de son contrôle. Cet article est incomplet. Nous ne sommes pas obligés de légiférer dans l'urgence et l'Assemblée nationale doit prendre le temps d'élaborer un dispositif qui tiendra compte de l'ensemble des enjeux.

Je vous écoute, mais avez-vous vraiment lu l'amendement CS924 que je présenterai par la suite ? Vous dites que vous avez des inquiétudes – ce qui est légitime –, mais le dispositif que je propose y répond précisément.

M. Taché souhaiterait que nous adoptions une loi qui serait faite pour durer. Je n'y suis pas favorable, car il est préférable à ce stade d'organiser une expérimentation. Personne ne connaît vraiment le rôle que joueront les NFT dans les jeux vidéo dans deux ans. Il faut donc faire deux choses : autoriser une expérimentation, ce qui va nous permettre de découvrir les choses au fur et à mesure, et déterminer un encadrement qui évoluera en fonction du développement technologique des Jonum et des NFT – ce que prévoit mon amendement.

En France, on a trop souvent l'habitude de fixer un cadre législatif préalable qui est souvent dépassé avant même que les décrets d'application ne soient publiés. Les sénateurs ont eu la bonne idée de mettre en place une expérimentation. Complétons-la en prévoyant un cadre destiné à l'accompagner et à protéger les plus jeunes.

Le texte voté par le Sénat ne comprend en effet pas de cadre de régulation pour entourer l'expérimentation sur les Jonum. Mais le Gouvernement donnera un avis favorable à l'amendement CS924 du rapporteur, qui prévoit ces protections.

Je vais en citer quelques-unes.

Une déclaration préalable de l'offre de jeu devra être effectuée auprès de l'ANJ, qui s'assurera que celui-ci respecte les critères fixés par la définition légale.

Chaque joueur devra créer un compte, ce qui permettra de vérifier son identité et son âge.

Il sera interdit aux mineurs d'accéder à ce type de jeu et des messages le rappelleront sur l'interface. La publicité pour les mineurs sera interdite.

Il est prévu de lutter contre le jeu excessif ou pathologique, avec des messages de mise en garde et la mise en place de dispositifs d'auto-exclusion et d'autolimitation des dépenses et du temps de jeu.

L'amendement prévoit de lutter contre la fraude et le blanchiment d'argent, notamment grâce à une analyse en continu des opérations et des relations d'affaires – lesquelles pourront le cas échéant donner lieu à une déclaration de soupçon à Tracfin.

La lutte contre les conflits d'intérêts dans le sport et l'hippisme n'est pas oubliée, puisque les fédérations sportives et les sociétés de courses devront empêcher les acteurs des compétitions sportives et des courses hippiques de jouer aux Jonum, de céder des objets numériques monétisables ou de communiquer des informations privilégiées.

Enfin, le cadre présenté par le rapporteur fixe les pouvoirs de contrôle, d'enquête et de sanction de l'ANJ.

Le niveau de protection est donc élevé. L'amendement CS924 répond à un certain nombre de questions qui ont été soulevées ou le seront à l'occasion de la discussion des amendements qui suivent.

Continuons à parler de droit.

La définition des jeux d'argent et de hasard comprend quatre critères. Sorare les remplit et votre définition des Jonum correspond également à ces critères.

Expérimentation ou pas, le régime français des jeux d'argent et de hasard repose sur la prohibition. Vous allez devoir expliquer en quoi les Jonum diffèrent des jeux d'argent et de hasard. D'ailleurs, les mesures de contrôle prévues par le fameux amendement CS924 montrent bien qu'il s'agit de la même chose, puisque vous faites systématiquement référence à des mesures applicables à ce dernier secteur.

Le dispositif que vous proposez est, selon moi, anticonstitutionnel et un requérant pourrait faire valoir une rupture d'égalité à l'occasion d'une question prioritaire de constitutionnalité (QPC).

Quant à la fiscalité, vous renvoyez au projet de loi de finances – que nous n'aurons de toute manière pas l'occasion de voter du fait du recours à l'article 49.3…

Nous allons avoir un véritable problème.

L'ANJ a signifié à Sorare que son activité relevait du cadre des jeux d'argent et de hasard. Cette société souhaite sortir de ce dernier et ne peut le faire que grâce à une loi. Ce n'est pas acceptable.

Certains veulent supprimer cet article au motif qu'ils ne veulent pas d'expérimentation. Comment légifère-t-on face à des technologies innovantes ? L'état de l'art évolue en permanence et l'écriture de la loi est une affaire complexe, qui prend du temps.

En France, nous ne souffrons pas d'un excès d'expérimentations mais, bien au contraire, de leur carence. Nous avons bien vu que l'expérimentation sur les Psan avait été nécessaire. Une telle démarche mériterait aussi d'être entreprise en matière d'open data.

Ce qui est proposé par ce projet va dans le bon sens. C'est la meilleure façon d'aborder le sujet. Avec ce texte, nous avons pour ambition de sécuriser les consommateurs mais aussi d'encourager ceux qui investissent les champs numériques d'avenir. Sorare en fait partie.

Dans un bac à sable, les enfants n'ont pas le droit de faire ce qu'ils veulent. Donc, vive le bac à sable !

Je crois qu'on se trompe de débat.

Il ne s'agit pas d'empêcher l'innovation technologique, mais de faire face à ce qui constitue un jeu d'argent et de hasard qui ne dit son nom, qui n'a pas demandé d'agrément mais qui repose sur un support numérique.

Il faut donc appliquer à ce support les règles afférentes aux jeux d'argent et de hasard – qui sont celles proposées par l'amendement du rapporteur – mais aussi la fiscalité prévue pour les entreprises de ce secteur.

Quelle est la différence entre les jeux d'argents et de hasard et un Jonum, qui justifie qu'on leur applique les mêmes règles mais pas la fiscalité ?

Tout d'abord, il faut quand même bien aborder les définitions dans le détail, parce que le sujet est très compliqué et très conceptuel. Il faut se garder de le considérer de trop loin, car en procédant ainsi on pourrait aussi estimer que l'achat d'une action en Bourse relève d'un jeu d'argent et de hasard… Veillons à situer nos débats au bon niveau.

Ensuite, nous cherchons à reproduire la démarche adoptée il y a cinq ans pour les Psan. Les mêmes objections que celles que nous venons d'entendre avaient alors été formulées. Or c'est un triple succès.

Le cadre qui avait alors été défini était clair, ce qui a conduit les acteurs internationaux à venir en France – au moins savaient-ils à quelle sauce ils allaient être mangés…

Comme ce cadre de régulation était bien fait, l'Union européenne l'a copié-collé.

Toutes les sociétés qui sont venues en France ou qui sont en train de le faire ont trois ans d'avance sur la réglementation européenne.

Grâce à tout cela, la France est le hub numéro un des cryptoactifs en Europe.

Nous avons la même ambition en ce qui concerne les Jonum, car cela représente de l'activité et des emplois, ainsi que des ressources fiscales pour financer les politiques publiques. Il convient, en outre, de garantir notre souveraineté technologique dans le domaine des NFT.

Enfin, le cadre de régulation que nous proposons avec le rapporteur est extrêmement restrictif, notamment en ce qui concerne le blanchiment d'argent, la lutte contre les addictions et la protection des mineurs.