Proposition de résolution en application de l'article 73 quinquies du Règlement, visant à l'application stricte du cadre réglementaire numérique de l'Union européenne et appelant au renforcement des conditions d'une réelle souveraineté numérique européenne

B. LA POSITION DE LA COMMISSION DES AFFAIRES EUROPÉENNES DU SÉNAT : SOUTENIR ET RENFORCER LA PROPOSITION DE RESOLUTION EUROPÉENNE

1. Soutenir la proposition de résolution européenne

a) Soutenir la proposition en rationalisant sa rédaction

La commission des affaires européennes soutient, dans son principe, la proposition de résolution européenne, qui s'inscrit dans la continuité des positions qu'elles ont défendu au cours des dernières années lors des débats sur le DSA, le DMA ou encore la boussole numérique.

Elle estime que l'adoption de cette proposition est justifiée à double titre. Tout d'abord, dans un souci de cohérence avec l'ensemble des précédents votes ici au Sénat sur ces sujets actuels et importants. Ensuite, par principe, alors que la plupart des États membres appellent l'Union européenne à ne pas faiblir dans la mise en oeuvre de normes adoptées à la suite d'un débat démocratique et visant à protéger nos concitoyens, malgré les attaques dont elles peuvent faire l'objet.

Cependant, dans un souci de clarté, la commission des affaires européennes du Sénat préconise de modifier la rédaction initiale de la proposition afin :

- d'améliorer la clarté du dispositif par le regroupement de considérants redondants et l'ordonnancement des recommandations au sein de trois parties distinctes : faire respecter le cadre normatif européen en vigueur, au premier rang le DSA, renforcer les modalités de régulation des très grandes plateformes en ligne, mobiliser tous les efforts au service de la souveraineté numérique de la France et de l'Union européenne ;

- d'appeler le Gouvernement et ses partenaires européens, dans la mise en oeuvre de la réglementation numérique européenne, à privilégier l'application intransigeante de ces dernières au maintien du modèle économique des très grandes plateformes en ligne, qui, en lui-même, constitue aujourd'hui un risque systémique ;

- de souligner que la crédibilité des enquêtes ouvertes par la Commission européenne au titre du DSA est dépendante du délai raisonnable de leur déroulement ;

- préciser la rédaction afin de rappeler que la liberté d'expression est le fondement essentiel de nos sociétés démocratique et est garantie par les Constitutions des États membres de l'Union européenne, par la Convention européenne des droits de l'homme et des libertés fondamentales et par la Charte européenne des droits fondamentaux, mais qu'elle s'exerce dans les conditions prévues par la loi et dans le respect de l'État de droit.

b) Rappeler le principe de la liberté d'expression et la sanction de ses abus

À cet égard, la commission des affaires européennes du Sénat souhaite rappeler que la liberté d'expression doit rester le principe. Dans cette optique, établir un mécanisme administratif permettant la suspension d'un service de manière immédiate dès les premières détections de faux comptes ou fausses informations, sans le temps d'une enquête, peut certes sembler être un moyen de pression immédiat sur des acteurs économiques, mais serait problématique quant au respect de la liberté d'expression, d'autant plus si le « temporaire » était prolongé ultérieurement. Elle serait assimilée à de la censure.

Un précédent existe en France avec l'annulation de la majeure partie des dispositions de la loi visant à lutter contre les contenus haineux sur Internet^88(*) par le Conseil Constitutionnel au nom de la liberté d'expression^89(*).

En pratique, le dispositif initial de cette loi imposait aux hébergeurs et fournisseurs d'accès à Internet de retirer les « contenus manifestement haineux » ou de rendre inaccessible de tels contenus, largement définis.

Sur saisine de soixante sénateurs, le Conseil Constitutionnel avait censuré cette disposition en estimant qu'il constituait une atteinte qui n'était pas « nécessaire, adaptée et proportionnée ». Il observait en effet que, compte tenu des difficultés d'appréciation du caractère manifestement illicite des contenus signalés dans le délai imparti, de la peine encourue dès le premier manquement et de l'absence de clause spécifique d'exonération de responsabilité, les opérateurs auraient été incités à retirer tous les contenus signalés, « par précaution » si l'on peut dire.

Or, pour le Conseil, la liberté d'expression est à la fois « l'une des garanties essentielles du respect des autres droits et libertés et de la souveraineté nationale »^90(*) mais aussi une « condition de la démocratie »^91(*). Cette liberté contient aujourd'hui celle « d'accéder » aux « services de communication au public en ligne »^92(*).

c) Demander une mise en oeuvre pleine et entière de l'ensemble des dispositions du DSA

À cet égard, la commission des affaires européennes du Sénat préconise d'exploiter totalement les dispositions du DSA, en particulier :

- la possibilité, pour le régulateur, de procéder à des inspections dans les locaux des plateformes en ligne. Selon la DG Connect, malgré les nombreuses enquêtes ouvertes, cette possibilité n'a pas encore été utilisée ;

- l'autorisation, pour les chercheurs indépendants, d'accéder aux données des très grandes plateformes en ligne. Là encore, cette disposition demeure à ce jour, largement « virtuelle » ;

- les sanctions des manquements constatés, en particulier contre des opérateurs réticents à suivre la réglementation européenne ou en « situation de récidive ».

d) Souligner que certaines dérives constatées constituent des infractions pénales qui peuvent être efficacement sanctionnées par le droit pénal

En France, de longue date, les fraudes informatiques et l'escroquerie en ligne sont réprimées pénalement. Mais, avec la numérisation de la vie quotidienne, la généralisation des procédures d'identification en ligne et d'autorisation de traitements de données personnelles, ainsi que la multiplication des objets connectés, les infractions numériques constituent une part croissante du contentieux pénal, en particulier concernant les contenus illicites et les traitements de données personnelles non autorisés.

Les contenus illicites sur Internet, doivent, comme précisé supra, être bloqués ou enlevés, par les plateformes en ligne, conformément au DSA et à la loi SREN. Ils peuvent faire en outre constituer des délits ou des crimes et faire alors l'objet de sanctions pénales.

Les infractions pénales liées aux contenus illicites sur Internet
et leur sanction en droit pénal français

Les plateformes doivent démontrer leur diligence et leur coopération loyale dans cette lutte contre les contenus illicites. A contrario, la justice pénale peut les poursuivre. Ainsi, en août dernier, M. Pavel Durov, le fondateur de la messagerie Telegram, qui modérait très modérément les contenus et répondait rarement aux réquisitions judiciaires, avait été interpellé à son arrivée en France, puis mis en examen, en particulier pour « refus de communiquer les informations nécessaires aux interceptions autorisées par la loi » et « complicité » de plusieurs délits et crimes qui s'organisaient sur la plateforme (trafic de stupéfiants, pédopornographie, escroquerie, etc.). Dans l'attente de son procès, il a été remis en liberté avec une interdiction de quitter le territoire français.

Les risques de traitements de données personnelles non autorisés se sont également multipliés.

Ainsi, l'article 226-18 du code pénal punit de cinq ans d'emprisonnement et de 300 000 euros d'amende le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite. Cette infraction vise, par exemple, les cas de cookies installés à l'insu des utilisateurs. Une même peine sera infligée au détenteur de données personnelles qui, à l'occasion du traitement de ces données, en détourne la finalité pour un autre usage^93(*).

La conservation de données personnelles sensibles d'une personne « en mémoire informatisée », sans le consentement exprès de l'intéressée, est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende^94(*).

Quant au fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données, l'article 323-2 du code pénal le punit d'une peine de cinq ans d'emprisonnement et de 150 000 euros d'amende. Cette infraction vise les attaques par déni de service^95(*) ou par injection d'un « malware »^96(*) dans un système. Mais, pour le juriste Michel Séjean^97(*), cet article du code pénal peut concerner aussi la modification des algorithmes de recommandation d'un réseau social, à l'insu des utilisateurs de ce dernier.

Sur ce fondement, le député (Renaissance) des Côtes d'Armor Éric Bothorel, a effectué un signalement auprès du parquet de Paris, dont la section de lutte contre la cybercriminalité (J3) a ouvert une enquête sur les changements d'algorithmes du réseau social X. Ces changements ont fait l'objet, simultanément, d'une plainte de l'eurodéputée Aurore Lalucq (Place publique) et de la sénatrice Marie-Claire Carrère-Gée (Les Républicains) devant l'ARCOM, qui a décidé d'en saisir la Commission européenne, avec information à l'autorité de contrôle des services numériques d'Irlande, État membre où X a installé son siège européen.

La commission des affaires européennes propose par ailleurs d'enrichir ce texte en y ajoutant des considérations visant à renforcer et à élargir sa portée, présentées ci-après.

2. Conforter le modèle de régulation européen et consolider la stratégique numérique européenne

a) Garantir le pluralisme des réseaux sociaux et créer une offre alternative aux GAFAM

De là, pour le professeur David Colon, la position dominante des GAFAM sur l'information des citoyens et les effets préoccupants de leur « capitalisme de surveillance »^98(*) pour les sociétés démocratiques européennes comme pour les individus, la meilleure solution est sans doute d'encourager, au niveau européen, la création de plateformes souveraines et fondées sur des règles éthiques rigoureuses. En pratique, ces dernières pourraient être financées grâce aux contributions des citoyens et des entreprises soucieux du pluralisme des réseaux sociaux, d'une part, et du respect de règles éthiques en la matière, d'autre part.

La commission des affaires européennes du Sénat constate que la situation actuelle pousse à la recherche de solutions, parmi elles la mise en place d'outils attractifs, porteurs d'un véritable contenu, rompant avec la culture du vide et de la mise en scène est séduisante. À cet égard, elle estime que l'actuelle réforme de l'audiovisuel public pourrait être l'occasion parfaite pour la concrétisation d'une telle recommandation.

b) Envisager un centre d'expertise et un réseau de détection européen sur les ingérences étrangères comprenant un système d'alerte rapide

L'Union européenne s'est dotée de différents outils pour lutter contre les ingérences étrangères. Tout d'abord, une proposition de directive destinée à mieux encadrer l'activité des représentants d'intérêts travaillant pour le compte de pays tiers, est en négociation (elle a fait l'objet d'un débat d'orientation au Conseil, en juin 2024)^99(*).

Concernant plus spécifiquement les ingérences en ligne, outre le DSA, qui impose aux plateformes de retirer les contenus illicites, rappelons que l'Union européenne dispose également d'un cadre normatif pour assurer la transparence et le ciblage des publicités politiques (afin de repérer et, le cas échéant, de déjouer toute ingérence étrangère à l'origine de ces dernières)^100(*).

Le 18 juillet 2024, dans ses orientations politiques pour la Commission européenne 2024-2029, Mme von der Leyen annonçait vouloir renforcer ces outils par la mise en place d'» un bouclier européen de la démocratie » afin « de lutter contre la manipulation de l'information et les ingérences étrangères en ligne ». Pour cela, elle indiquait vouloir s'appuyer sur l'expérience du service français de vigilance et de protection contre les ingérences numériques étrangères (Viginum) et sur celle de l'agence suédoise de défense psychologique.

De son côté, auditionné au Parlement européen, le 17 février 2025, Marc-Antoine Brillant, actuel chef de Viginum, a rappelé que « la protection du débat numérique de chaque pays relev[ait] de sa souveraineté » mais que l'institution d'un centre d'expertise européen, qui accompagnerait les États membres « dans la structuration de leurs capacités de réponse et de préparation face à des campagnes de manipulation de l'information » serait logique.

Sur la base de ces observations, la commission des affaires européennes considère en premier lieu que la mise en place éventuelle d'un dispositif de veille et de détection des ingérences étrangères numériques s'inspirant de Viginum » au niveau européen doit être examinée mais qu'elle devrait être précédée par une analyse d'impact exhaustive envisageant des solutions opérationnelles pertinentes et examinant sa compatibilité avec les traités européens (et, en particulier, avec l'article 4, paragraphe 2, du traité sur l'Union européenne qui affirme que la sécurité nationale est de la compétence exclusive des États membres).

Si l'analyse d'impact souhaitée conclut à la compatibilité avec les traités et à la pertinence d'un « bouclier européen pour la démocratie », la commission des affaires européennes considère que ce dernier devrait être plutôt un réseau souple et décentralisé, rassemblant les services et agences des États membres en charge de la lutte contre les ingérences étrangères en ligne existants, auxquels serait ajouté un organe similaire spécifiquement compétent pour éviter toute ingérence dans les communications, sites ou forums des institutions de l'Union européenne. Ce réseau qui serait conforme au principe de subsidiarité, pourrait être nommé « Vigie Europe » et devrait en outre bénéficier de financements existants et préalablement identifiés.

En deuxième lieu, ce réseau « Vigie Europe » devrait bénéficier des moyens et de la visibilité d'un « système d'alerte rapide », dont l'embryon existe déjà au sein du Service européen pour l'action extérieure (Viginum y participe), afin de diffuser au plus vite les informations relatives à une tentative d'ingérence.

En troisième et dernier lieu, la commission des affaires européennes, reprenant une préconisation du Conseil d'État dans sa dernière étude annuelle, dont l'objet était la « souveraineté », estime qu'une clause spécifique devrait être prévue dans ce dispositif pour laisser toute latitude aux autorités françaises et des autres États membres de choisir les modalités de partage d'informations et de coopération compatibles avec leurs impératifs de la sécurité nationale.

En complément, il faut signaler qu'au Parlement européen, début février, une commission spéciale sur la défense de la démocratie, présidée par l'eurodéputée française Nathalie Loiseau, a été mise en place. Elle se donne pour objectif d'analyser l'état de la menace et les dispositifs de réponse en place dans les 27 États membres, en vue de proposer une éventuelle modification du cadre normatif européen.

c) Renforcer l'efficacité des contrôles des très grandes plateformes en ligne en y associant mieux les autorités de régulation nationales compétentes

Dès lors que les grandes plateformes en ligne ont leur siège européen hors de notre pays, le régulateur français, dans le cadre du DMA comme du DSA, est quasiment dépourvu de moyens d'action à leur égard, leur contrôle relevant pour l'essentiel de la Commission européenne. Certes, comme l'a expliqué son directeur général lors de son audition, l'ARCOM contribue à l'heure actuelle à la désignation des « signaleurs de confiance » exigés par le DSA et participe aux réunions du comité européen pour les services numériques. En outre, dans un souci de coopération loyale, l'autorité transmet régulièrement à la Commission européenne des plaintes et des signalements sur les décisions et contenus des très grandes plateformes en ligne à la Commission européenne. Auditionnée par vos rapporteures, la DG Connect de la Commission européenne s'est d'ailleurs félicitée de cette coopération.

Mais en retour, l'ARCOM semble peu informée de l'évolution des enquêtes en cours ouvertes par la Commission, ce qui n'est pas normal. Et pour l'heure au moins, elle ne semble jamais associée auxdites enquêtes alors même que le DSA prévoit une possibilité d'enquêtes conjointes (le texte vise une enquête conjointe aux coordinateurs nationaux mais son extension aux enquêtes de la Commission est parfaitement envisageable). Cette situation est insatisfaisante.

En effet, les conséquences des actions des très grandes plateformes en ligne sont « systémiques » et concernent donc tout autant la Commission européenne que les États membres. Or, s'il était nécessaire de désigner un « chef de file » pour contrôler les très grandes plateformes en ligne, l'intervention de la seule Commission européenne dans ces dossiers n'apparaît pas comme la solution la plus pertinente.

Ce constat avait déjà été émis par le Sénat dans ses résolutions européennes sur le DMA et le DSA^105(*).

La situation actuelle souligne un « effet ciseau » croissant entre les ressources limitées de la Commission européenne pour mener à bien en solitaire, les nombreuses enquêtes ouvertes depuis plusieurs mois contre la majorité des très grandes plateformes en ligne, qui, elles, disposent du temps, de l'argent et des compétences nécessaires pour retarder ou bloquer les procédures. Même si la Commission européenne a déjà obtenu des effectifs additionnels pour sa DG Connect afin que celle-ci dispose de ressources supplémentaires pour ces investigations, ces effectifs ne seront pas suffisants.

Simultanément, au fil des années, les autorités de régulation nationales, plus proches des acteurs « de terrain » du numérique, ont bâti des expertises sectorielles précieuses. Elles connaissent de surcroît parfaitement leur écosystème numérique national.

La commission des affaires européennes demande donc :

- un changement de philosophie des régulateurs nationaux et européens afin que, dans l'accomplissement de leurs missions, ils privilégient le strict respect du cadre normatif européen au maintien du modèle économique des très grandes plateformes en ligne, qui constitue un risque systémique par lui-même ;

- une nouvelle fois, dans le cadre du DMA, la mise en place d'un réseau de régulation numérique réunissant la Commission européenne et les autorités sectorielles nationales compétentes dans la protection des données et la régulation des télécommunications^106(*) ;

- dans le cadre du DSA, une réciprocité dans la transmission d'informations entre la Commission européenne et les coordinateurs nationaux pour les services numériques et une meilleure association de ces contrôleurs nationaux aux enquêtes de la Commission européenne sur les agissements des très grandes plateformes en ligne.

d) Imposer une véritable responsabilité des « médias algorithmiques » sur les contenus hébergés

Le Sénat a estimé à plusieurs reprises que le régime de responsabilité très limité des très grandes plateformes en ligne fournissant des informations et des contenus politiques sur la base d'algorithmes de recommandation, était insuffisant et, à l'initiative de la sénatrice Catherine Morin-Desailly, rapporteure, avait demandé une révision de la directive pour faire émerger au niveau européen un « troisième statut » de responsabilité entre ceux d'hébergeur et éditeur de contenus^107(*).

De même, le Sénat recommandait, dans sa résolution européenne n° 70 du 14 janvier 2022 précitée sur le DSA, d'aller plus loin qu'une reconnaissance circonstanciée de responsabilité au regard du droit de la consommation des plateformes en ligne permettant aux consommateurs de conclure des contrats à distance avec des professionnels, car « ce statut d'» hébergeur » ne reflète par le caractère actif de plateformes - en particulier les réseaux sociaux et places de marché, mais aussi, par exemple, les plateformes de partage de vidéos ou de musique - qui, par le biais notamment d'algorithmes d'ordonnancement des contenus , jouent bien un rôle de sélection des contenus, en augmentant la visibilité de certains au détriment d'autres, sur la base de paramètres déterminés par les plateformes et dans leur intérêt.

Le DSA a répondu partiellement à la demande du Sénat en fixant des obligations renforcées^108(*) aux fournisseurs de services intermédiaires en fonction de leur taille sur le marché et des risques que leurs activités peuvent susciter. Néanmoins, malgré ces avancées dans la responsabilisation des plateformes en ligne, leur responsabilité juridique sur les contenus qu'ils hébergent ou qu'ils produisent demeure limitée.

Ainsi, un fournisseur de services n'est pas responsable des informations stockées à la demande d'un destinataire du service, à condition que ce fournisseur n'ait pas effectivement connaissance d'un contenu illicite et si, lorsqu'il en prend connaissance, il agit promptement pour retirer ce contenu illicite ou en bloquer l'accès^110(*).

De plus, les fournisseurs de services intermédiaires ne sont soumis ni à une obligation générale de surveillance des informations qu'ils transmettent, ni à une obligation de stockage ou de recherche active des faits ou des circonstances révélant des activités illégales^111(*).

Certes, le DSA est d'application récente et il conviendra d'examiner ses modalités de mise en oeuvre à l'égard des très grandes plateformes au cours des prochains mois. C'est la volonté politique, de la Commission européenne comme des États membres, qui sera déterminante pour faire la preuve de son efficacité.

Cependant, l'inspiration du DSA est « contractuelle ». Il pose une gradation d'obligations à respecter par les plateformes en ligne, en fonction de leur taille et du caractère systémique ou non des risques que leur activité induit, afin de les inciter à respecter spontanément ses dispositions. Les sanctions ne sont prévues qu'en tout dernier recours.

Or, dans un contexte marqué simultanément par la difficulté persistante des plateformes en ligne à modérer les contenus illicites, par la rapidité de diffusion de tels contenus sur les réseaux sociaux, et par leur caractère addictif, mais aussi par certaines expériences étrangères récentes de régulation démontrant l'efficacité d'un « bras de fer », le renforcement des contrôles et du régime de responsabilité des très grandes plateformes en ligne qui constitue des « médias algorithmiques » semble souhaitable.

La commission des affaires européennes du Sénat appelle donc à réformer le régime européen de responsabilité des fournisseurs de services en ligne, pour créer un nouveau régime de responsabilité renforcée pour les très grandes plateformes utilisant des algorithmes d'ordonnancement des contenus, conformément au souhait déjà exprimé par le Sénat dans sa résolution européenne de 2018 sur la responsabilité des hébergeurs de services en ligne.

e) Assumer un rapport de force international pour valoriser les données dans le respect du RGPD et relever le défi de la localisation des données sensibles dans l'Union européenne

Rappelons tout d'abord qu'une initiative qui viserait la localisation dans l'Union européenne, de toutes les données des citoyens français et des autres États membres, n'offrirait que des garanties limitées face aux législations étrangères à portée extraterritoriales (comme le Cloud Act américain) et à la porosité, déjà évoquée, entre certains acteurs du numérique et leurs gouvernements : comme le soulignait déjà la commission d'enquête du Sénat sur la souveraineté numérique, « quand bien même des données seraient physiquement localisées sur le territoire français ou européen, les entités qui contrôlent les centres de données (data centers) continueront, en raison de leur nationalité, à être également soumises à des régimes juridiques les obligeant à coopérer avec des puissances étrangères »^112(*).

En réalité, l'Union européenne a « toutes les cartes en main » mais il lui faut faire preuve de volonté politique pour appliquer ses règlements en assumant, si nécessaire, un rapport de force.

Dans cet esprit, comme le préconise le Sénat depuis plusieurs années^113(*), États membres et institutions de l'Union européenne doivent travailler à rendre plus effectif le droit à la portabilité des données^114(*), qui permet à un utilisateur de quitter une plateforme pour une autre avec une copie de ses données personnelles. Ce droit doit faciliter la concurrence entre responsables de traitement et développer la capacité « d'autodétermination informationnelle »^115(*) des utilisateurs.

Il en va de même pour l'obligation d'interopérabilité, c'est-à-dire l'obligation, pour les différents systèmes, d'échanger des informations et d'utiliser mutuellement les informations échangées, prévue à l'article 6, paragraphe 7, du DMA^116(*). Cette obligation s'impose aux acteurs du numérique reconnus « contrôleurs d'accès ». En pratique, cette obligation d'interopérabilité prévoit que le contrôleur d'accès doit permettre gratuitement :

- aux fournisseurs de services et aux fournisseurs de matériel informatique d'interopérer efficacement avec les mêmes caractéristiques matérielles et logicielles auxquelles on accède ou qui sont contrôlées par l'intermédiaire de son système d'exploitation ou son assistant virtuel, que celles qui sont disponibles pour les services ou le matériel fournis par le contrôleur d'accès, et d'accéder à ces caractéristiques ;

- aux entreprises utilisatrices et à d'autres fournisseurs de services fournis conjointement à des services de plateforme essentiels, ou à l'appui de ceux-ci, « d'interopérer effectivement avec les mêmes caractéristiques du système d'exploitation, logicielles ou matérielles, que ces caractéristiques fassent partie ou non d'un système d'exploitation, que celles qui sont disponibles pour ce contrôleur d'accès ou que celui-ci utilise dans le cadre de la fourniture de tels services, ainsi que d'accéder à ces caractéristiques aux fins de l'interopérabilité ».

Les contrôleurs d'accès fournissant des services de communication interpersonnelles non fondés sur la numérotation doivent, de leur côté, rendre interopérables « au moins les fonctionnalités de base » relatives aux messageries textuelles et au partage d'images, de messages vocaux et de vidéos^117(*).

Cette obligation ne concerne toutefois pas l'intégralité des interfaces et modalités de fonctionnement des réseaux sociaux. Or, tant pour redonner le choix aux utilisateurs que pour leur permettre de reprendre le contrôle sur leurs données, il serait pertinent que cette interopérabilité puisse être étendue à l'ensemble de leurs interfaces et à leurs systèmes de recommandation^119(*). Cette évolution pourra s'appuyer sur la décision « Alphabet » de la CJUE du 25 février 2025^120(*). Celle-ci a affirmé que le refus d'une entreprise en position dominante d'assurer l'interopérabilité de sa plateforme avec l'application d'une autre entreprise qui deviendrait plus attractive est abusif, sauf exceptions^121(*).

La Commission européenne devra en outre ne pas rompre l'équilibre actuel de sa réglementation numérique dans la nouvelle stratégie sur l'utilisation des données qu'elle envisage, qui vise à fluidifier l'accès et le partage des données en faveur des entreprises « tout en respectant des normes élevées en ce qui concerne la protection de la vie privée et la sécurité »^122(*). Pour la commission des affaires européennes du Sénat, il est encore plus clair de confirmer que cette stratégie devra respecter explicitement le RGPD.

Enfin, la commission des affaires européennes veut saluer les efforts accomplis pour développer une offre pour l'hébergement souverain des données sensibles via le label SecNumCloud délivré par l'Agence nationale de sécurité des systèmes d'information (ANSSI) et appelle à poursuivre ces efforts. Elle demande le renforcement de la coopération européenne pour faire émerger un cloud souverain en open source.

f) Mieux protéger les mineurs

La protection des mineurs est une exigence fondamentale qui est prévue l'article 24 de la charte des droits fondamentaux de l'Union européenne. Cet article affirme aussi que « l'intérêt supérieur de l'enfant doit être une considération primordiale ». Elle est aussi un enjeu de souveraineté alors que 86% des mineurs de 8 à 18 ans sont inscrits sur les réseaux sociaux^123(*).

Or, la numérisation des sociétés européennes a une conséquence directe : celle d'une surexposition fréquente des mineurs aux écrans. En moyenne, les jeunes français âgés de 7 à 19 ans passent 3 h 11 sur les écrans chaque jour^124(*) pour échanger sur des messageries instantanées, pour regarder des vidéos, pour écouter de la musique ou pour faire des jeux vidéo.

Cette surexposition les conduit souvent à passer trop de temps devant les ordinateurs, tablettes et autres smartphones qui ont envahi leur vie quotidienne. Avec des risques avérés désormais bien identifiés : manque de sommeil et troubles du sommeil, activité physique insuffisante, anxiété, troubles de l'attention, etc.

Dans son ouvrage, La civilisation du poisson rouge, Bruno Patino, journaliste et actuel président d'ARTE, rappelait ainsi : « Le poisson rouge tourne dans son bocal. Il semble redécouvrir le monde à chaque tour. Les ingénieurs de Google ont réussi à calculer la durée maximale de son attention : 8 secondes. Ces mêmes ingénieurs ont évalué la durée d'attention de la génération des “millenials”^125(*), celle qui a grandi avec les écrans connectés : 9 secondes. »^126(*)

Sur ce point, la proposition de résolution prend acte de la mise en oeuvre effective de l'une des dispositions « phares » du DSA, à savoir l'interdiction des publicités ciblées en ligne à destination des mineurs. Elle salue aussi les enquêtes ouvertes par la Commission européenne et visant les réseaux Meta, Snap, TikTok et YouTube au nom de la protection des mineurs et demande que dans leurs conclusion, l'intérêt supérieur de l'enfant prévale sur tout autre considération. Ces enquêtes s'intéressent en particulier aux mesures mises en oeuvre pour protéger la santé des mineurs, aux moyens mis en oeuvre par ces réseaux pour réduire les risques de stimulation des dépendances comportementales liés aux systèmes algorithmiques et aux dispositifs de vérification de l'âge des utilisateurs.

La surexposition des mineurs aux écrans soumet en outre les enfants et les adolescents à diverses menaces : consultation de contenus haineux ou inappropriés sur Internet, problèmes d'addiction, cyberharcèlement, escroquerie, « pédopiégeage ».

À titre d'exemple, la commission d'enquête du Sénat sur le réseau social TikTok a démontré que l'algorithme de recommandation de ce dernier était particulièrement efficace et qu'il mettait souvent en avant des contenus dangereux ou inappropriés : contenus liés aux désordres alimentaires et au suicide davantage proposés aux personnes vulnérables (dont les adolescents), défauts de modération face à la multiplication des « challenges » dangereux sur l'application, politique de modération ambigüe sur les contenus « hypersexualisés », etc.

La présente proposition de résolution européenne rappelle la responsabilité juridique et éthique des plateformes en ligne pour lutter contre ces contenus illicites.

En complément, la commission des affaires européennes du Sénat souhaite la publication rapide de lignes directrices au niveau européen, afin d'inciter les plateformes à adopter les standards les plus élevés de protection.

La présente proposition de résolution européenne se félicite également de l'adoption, sous l'impulsion des associations de protection de l'enfance et du Sénat, des dispositions de loi visant à sécuriser et à réguler l'espace numérique (ou SREN) du 21 mai 2024, obligeant les plateformes en ligne fournissant des contenus pornographiques à instaurer un système de vérification de l'âge de leurs utilisateurs et, s'ils ne la respectent pas, à des mesures de blocage ou de déréférencement.

Elle s'inquiète enfin du blocage des négociations de la proposition de règlement COM (2022) 209 final établissant des règles pour prévenir et combattre les abus sexuels contre les enfants en ligne, présentée par la Commission européenne le 11 mai 2022, et demande donc solennellement l'adoption de cette réforme importante sans délai, conformément aux préconisations de sa résolution européenne n° 77 du 20 mars 2023.

g) Assumer une véritable stratégie de souveraineté stratégique européenne

Soucieuse de s'appuyer sur la commande publique pour favoriser la politique industrielle européenne, la commission des affaires européennes du Sénat a pris note avec intérêt des orientations politiques présentées par Ursula von der Leyen, le 18 juillet 2024. Dans ces orientations, Mme von der Leyen a annoncé une révision de la directive « marchés publics » qui « permettra de donner la préférence aux produits européens dans les marchés publics pour certains secteurs stratégiques ».

En pratique, cette révision devrait être présentée en 2026.

La commission des affaires européennes du Sénat considère que le secteur numérique doit être intégré à la notion de secteur stratégique dans le cadre de cette révision.

En effet, l'annonce de la mise en place d'une « préférence européenne » dans certains marchés publics témoigne de la prise de conscience d'un changement d'ère, déjà décrit précisément dans le rapport Draghi. Ce changement implique, pour les États membres et l'Union européenne, de sortir d'une certaine « naïveté » à l'égard du fonctionnement des marchés, et de favoriser la constitution d'alliances industrielles capables de rivaliser dans le secteur numérique avec les concurrentes chinoises et américaines en particulier.

En outre, la commission des affaires européennes appelle à placer cette ambition numérique au rang des priorités budgétaires lors des négociations du prochain cadre financier pluriannuel de l'Union européenne.

Enfin, elle préconise que la notion de souveraineté européenne couvre de façon effective tous les pans du numérique, incluant les y compris le quantique, l'open source, les semi-conducteurs, le cloud computing et les supercalculateurs.

h) Activer le levier de la commande publique, outil indispensable au service de l'ambition européenne

A l'heure actuelle, la commande publique représente environ 16 % du produit intérieur brut (PIB) de l'Union européenne.

Elle est encadrée par plusieurs textes européens relatifs à la passation des marchés publics^131(*), aux concessions, et à l'accès des opérateurs économiques, des biens et des services des pays tiers à ces marchés publics et concessions^132(*).

L'essence de ce cadre normatif^133(*) est de permettre un accès libre des entreprises aux marchés publics européens afin de privilégier la plus performante en appliquant les principes de libre circulation des marchandises, de liberté d'établissement, d'égalité de traitement et de non-discrimination, et de transparence.

En pratique, dans cette procédure, les pouvoirs adjudicateurs sont tenus d'attribuer les marchés publics sur la base du critère de « l'offre économiquement la plus avantageuse », après une procédure d'appel d'offres. Ce critère tient compte du prix de l'offre mais également de conditions complémentaires (facteurs environnementaux et sociaux, qualité, caractère innovant, etc.). En revanche, aucune utilisation « stratégique » de la commande publique, à des fins de politique industrielle, n'a été prévue dans ce cadre, destiné à garantir une concurrence libre et équitable.

Cependant, pour les entreprises françaises et européennes du numérique, celle-ci a pu souvent être faussée par le refus de certains pays tiers d'ouvrir leurs propres marchés publics et /ou par leur soutien massif à leurs entreprises nationales à travers une politique d'aides d'État assumée. Simultanément, le choix, par les organes publics européens, de prestataires ayant leur établissement dans un pays tiers et déjà dominants dans le secteur concerné au titre de l'offre économique la plus avantageuse, n'est pas satisfaisant car il empêche la consolidation d'un écosystème numérique européen durable. Pour parvenir à cet objectif, les règles du marché sont insuffisantes.

La France dispose d'une procédure - mal connue - permettant de favoriser les entreprises françaises et européennes dans la commande publique : en effet, l'article L. 2112-4 du code de la commande publique prévoit que « l'acheteur peut imposer que les moyens utilisés pour exécuter tout ou partie d'un marché, pour maintenir ou moderniser les produits acquis soient localisés sur le territoire des États membres de l'Union européenne ». Il s'agit bien cependant d'une dérogation aux règles des marchés publics à appréhender au cas par cas et devant être justifiée par l'objet du marché (assurer la sécurité des informations ou des approvisionnements, ou prendre en compte des considérations environnementales ou sociales).

En outre, tirant les leçons des crises du Covid-19 et de la guerre en Ukraine, qui ont souligné leurs dépendances dans des secteurs critiques, la France et l'Union européenne font évoluer leurs dispositifs juridiques.

Par ailleurs, sur un « mode défensif », l'Union européenne a adopté, pour la première fois, un règlement prévoyant que, pour tout marché public et tout contrat de concession, les acheteurs et les autorités concédantes peuvent prendre des mesures de restriction d'accès à la commande publique à l'égard des opérateurs économiques de pays tiers n'ayant pas passé d'accord avec l'Union européenne sur les marchés publics et/ou qui pratiquent des restrictions à l'accès des entreprises européennes à leurs propres marchés publics^134(*).

Au-delà de ces dispositions, la commission des affaires européennes appelle à activer le levier de la commande publique, en tant qu'outil stratégique au service de l'ambition numérique européenne.

Comme l'indiquait déjà l'exposé des motifs de la proposition de résolution européenne n° 664 (2021-2022) précitée, « l'usage du levier de la commande publique [permettrait de] favoriser à la fois l'innovation et le passage à l'échelle d'acteurs européens dans certains secteurs critiques, afin de stimuler la formation d'écosystèmes numériques européens ».

La commission des affaires économiques du Sénat, saisie de cette proposition de résolution européenne, soutenait cette position en indiquant qu'» [o]util stratégique de politique économique, indispensable à l'émergence d'acteurs innovants y compris dans le secteur numérique, le levier de la commande publique demeure peu utilisé en France et dans l'Union européenne, alors qu'il représentait pourtant 111 milliards d'euros en 2020 pour la France uniquement.

« À cet égard, les récentes conclusions de la mission d'information du Sénat sur l'excellence de la recherche et la pénurie de champions industriels sont particulièrement éclairantes :

« - l'utilisation du droit de la commande publique peut s'avérer plus frileuse en France que dans d'autres pays ;

« - toutes les possibilités permises par le droit de la commande publique ne sont pas pleinement exploitées ;

« - la formation des acheteurs publics aux achats innovants devrait être renforcée afin de privilégier davantage les TPE, PME et jeunes pousses ;

« - les principes généraux de la commande publique pourraient être complétés, à l'instar de ce qui a été fait en Allemagne, pour y intégrer d'autres considérations que la libre concurrence telles que le soutien aux PME ou à l'innovation. »^135(*)

Auditionnés par la commission des affaires européennes, la délégation à la prospective et le groupe numérique du Sénat le 30 janvier 2025, Bernard Benhamou et Jean-Marie Cavada ont indiqué que « parmi les leviers essentiels figure la commande publique, qui joue un rôle moteur aux États-Unis depuis la mise en place du Small Business Act en 1953. Ce dispositif, inexistant en Europe, oriente une part significative des marchés publics vers les petites et moyennes entreprises. De même, un European Buy Act, ciblant les entreprises stratégiques les plus sensibles, pourrait constituer une réponse efficace au déséquilibre actuel. »

Lors des auditions menées sur la présente proposition de résolution, il a été rappelé l'importance que revêtait la commande publique pour faciliter l'émergence d'une souveraineté industrielle. À titre d'exemple, en France, pour la certification de « hébergeur des données de santé », un critère, non pas de souveraineté, mais de transparence a été mis en place : un opérateur candidat à la certification doit ainsi signaler les lois extraterritoriales auxquelles il est soumis, donc s'il existe ou non un risque d'accès aux données, et, le cas échéant, désigner le pays concerné.

Cela est de nature à renforcer la souveraineté dans la mesure où cela incite à discriminer selon ce critère essentiel qui est la localisation des données et, par conséquent, incite à choisir des plateformes de cloud de confiance qui maitrisent la chaine de bout en bout.

La commission des affaires européennes du Sénat estime que pour agir sur ce levier de la commande publique, il est nécessaire de sensibiliser les différents acteurs et les acheteurs, notamment dans les collectivités territoriales, afin qu'ils soient conscients des enjeux de ce sujet. En incitant les entreprises à se tourner par exemple vers des plateformes labellisées SecNumCloud^136(*), non seulement elles privilégient des solutions respectueuses du droit européen mais, de plus, elles participent au développement de plateformes européennes souveraines. La commande publique doit aider à favoriser le développement du marché français et européen de l'informatique en nuage.

* ⁸⁷ Arrêt du Tribunal de l'Union européenne, RT France contre Conseil de l'Union européenne, 27 juillet 2022, affaire T-125/22.

* ⁸⁸ Loi n°2020-766 du 24 juin 2020.

* ⁸⁹ Décision n°2020-801 DC du 18 juin 2020 - loi visant à lutter contre les contenus haineux sur Internet.

* ⁹⁰ Décision n°84-181 DC du 11 octobre 1984.

* ⁹¹ Décision n°2009-580 DC du 10 juin 2009.

* ⁹² Voir note précédente.

* ⁹³ Article 226-21 du code pénal.

* ⁹⁴ Article 226-19 du code pénal.

* ⁹⁵ Une attaque en déni de service ou en déni de service distribué (DDoS pour Distributed Denial of Service en anglais) vise à rendre inaccessible un serveur par l'envoi de multiples requêtes jusqu'à le saturer ou par l'exploitation d'une faille de sécurité afin de provoquer une panne ou un fonctionnement fortement dégradé du service.

* ⁹⁶ Logiciel malveillant conçu pour infecter, endommager ou accéder à un système informatique.

* ⁹⁷ « Le code pénal face à la manipulation des opinions par voie de recommandations faussées », Dalloz, 6 février 2025.

* ⁹⁸ « L'âge du capitalisme de surveillance », Shoshana Zuboff, 2020.

* ⁹⁹ Proposition de directive COM (2023) 637 final du 12 décembre 2023.

* ¹⁰⁰ Règlement (UE) 2024/900 du Parlement européen et du Conseil du 13 mars 2024 relatif à la transparence et au ciblage de la publicité à caractère politique.

* ¹⁰¹ Parmi ces processus, on peut citer la création de comptes inauthentiques ou de faux sites d'information, le référencement privilégié de contenus constituant une manipulation de l'information, l'amplification d'actions physiques sur les réseaux sociaux, le détournement d'images ou de citations réels, ou encore le recours non transparent à des influenceurs...

* ¹⁰² Rapports du 12 et du 14 février 2024.

* ¹⁰³ Rapport du 17 mai 2024.

* ¹⁰⁴ Rapport du 13 septembre 2024.

* ¹⁰⁵ Résolution européenne n°70 (2021-2022) du 14 janvier 2022.

* ¹⁰⁶ Cette proposition a déjà été émise dans la résolution européenne n°32 (2021-2022) du Sénat sur la proposition de règlement sur les marchés numériques (DMA), en date du 12 novembre 2021. Cette résolution a été adoptée sur le rapport des sénatrices Florence Blatrix Contat et Catherine Morin-Desailly.

* ¹⁰⁷ Résolution européenne n° 31 (2018-2019) du 30 novembre 2018 sur la responsabilisation partielle des hébergeurs de contenus numériques.

* ¹⁰⁸ Les plateformes doivent ainsi donner suite aux injonctions de retrait de contenus illicites par les autorités compétentes, respecter des mesures de transparence renforcée et reconnaître le statut de « signaleur de confiance ». Les très grandes plateformes en ligne doivent en outre mettre en place des procédures d'évaluation et d'atténuation des risques¹⁰⁹, organiser des audits indépendants pour évaluer le respect de leurs obligations et donner accès au coordinateur pour les services numériques de leur État membre d'établissement ainsi qu'à la Commission européenne, aux données nécessaires pour contrôler le respect du DSA.

* ¹¹⁰ Article 6 du DSA.

* ¹¹¹ Article 8 du DSA.

* ¹¹² Rapport de la commission d'enquête, p 69.

* ¹¹³ Dans sa résolution européenne n° 32 (2021-2022) du 12 novembre 2021 sur la proposition de règlement sur les marchés numériques (DMA), le Sénat demandait aux contrôleurs d'accès de « prendre des mesures permettant une mise en oeuvre effective des principes d'interopérabilité et de portabilité des données [...], qui sont des éléments clef du bon fonctionnement du marché numérique ».

* ¹¹⁴ Articles 20 du RGPD et 6, paragraphe 9, du DMA.

* ¹¹⁵ « Les droits émergents dans le monde numérique : l'exemple du droit à l'autodétermination informationnelle » de Pauline Türk, revue Politeia, n° 31, décembre 2017.

* ¹¹⁶ Article 6, paragraphe 7 du DMA.

* ¹¹⁷ Ces obligations sont d'application immédiate. Elles doivent en principe, être confortées, deux ans après la désignation du contrôleur d'accès, par une obligation d'interopérabilité concernant la messagerie textuelle entre des groupes d'utilisateurs finaux habituels et le partage d'images, de de messages vocaux et de vidéos entre une conversation de groupe et un utilisateur final individuel. Quatre ans après la désignation du contrôleur d'accès, ces obligations d'interopérabilité doivent concerner les appels vocaux et vidéos.

* ¹¹⁸ Article 8, paragraphe 2.

* ¹¹⁹ Voir l'avis du Conseil national du numérique de juillet 2020 et le dossier intitulé « Ouvrir les réseaux sociaux : 4 pistes en 5 questions », établi par le Pôle d'expertise de la régulation numérique (PEREN) du Gouvernement, décembre 2024.

* ¹²⁰ CJUE, Alphabet et autres, 25 février 2025, C-233/23.

* ¹²¹ Ces exceptions sont au nombre de deux : menace sur l'intégrité ou la sécurité de la plateforme ; impossibilité technique d'assurer l'interopérabilité.

* ¹²² Orientations politiques pour la Commission européenne 2024-2029, p 13.

* ¹²³ Étude de l'association e-Enfance 3080-Caisse d'Épargne, 2023.

* ¹²⁴ Étude IPSOS 2024 sur les jeunes et la lecture, effectuée pour le Centre national du livre.

* ¹²⁵ Appelée également « génération Y », elle regroupe les personnes nées entre le milieu des années 1980 et le milieu des années 1990.

* ¹²⁶ « La civilisation du poison rouge ; petit traité sur le marché de l'attention », Grasset, 2019.

* ¹²⁷ Selon la Commission européenne, le nombre de ces abus sexuels en ligne commis dans l'Union européenne est ainsi passé de 23 000 en 2010 à 725 000 en 2019.

* ¹²⁸ Selon la Commission européenne, les techniques de détection utilisant l'intelligence artificielle sont fiables à 80 % (ce qui induit un pourcentage d'erreurs élevé à 20 %). Pour les experts français, ce taux de fiabilité varie plutôt entre 50 et 70 %.

* ¹²⁹ La position intermédiaire du centre entre fournisseurs et autorités compétentes aurait pour conséquence de ralentir les suites des signalements transmis. Le centre serait dans les faits installé aux côtés des locaux d'Europol (à La Haye) et devrait bénéficier de ses ressources humaines et matérielles. Son organigramme complexe n'augurerait pas d'une grande efficacité opérationnelle. Et il devrait bénéficier d'un budget annuel de plus de 28 millions d'euros à échéance 2030.

* ¹³⁰ Créée en 2009, la plateforme PHAROS (pour Plateforme d'Harmonisation, d'Analyse, de Recoupement et d'Orientation des Signalements) reçoit des signalements concernant les contenus illégaux sur Internet, qui peuvent émaner de tout citoyen. Elle sert de relais pour demander, après évaluation du bien-fondé de cette demande, le retrait de ces contenus aux hébergeurs de services en ligne concernés. Par défaut, PHAROS dispose d'un droit de retrait à l'égard des contenus pédopornographiques et terroristes. Le retrait intervient alors dans les 24 heures (article 6-1 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique). L'équipe de PHAROS est constituée d'une cinquantaine de gendarmes et de policiers.

* ¹³¹ Directive 2014/24/UE du Parlement européen et du Conseil du 26 février 2014 sur la passation des marchés publics et abrogeant la directive 2004/18/CE.

* ¹³² Règlement (UE) 2022/1031 du Parlement européen et du Conseil du 23 juin 2022 concernant l'accès des opérateurs économiques des biens et des services des pays tiers aux marchés publics et concessions de l'Union et établissant des procédures visant à faciliter les négociations relatives à l'accès des opérateurs économiques, des biens et des services originaires de l'Union aux marchés publics et concessions des pays tiers (Instrument relatif aux marchés publics internationaux - IMPI).

* ¹³³ Par exception, les marchés publics liés à la défense et à la sécurité nationales sont encadrés par des règles spécifiques.

* ¹³⁴ Règlement (UE) 2022/1031 du 23 juin 2022 (Instrument relatif aux marchés publics internationaux).

* ¹³⁵ Rapport n°774(2021-2022) de la commission des affaires économiques du Sénat sur la proposition de résolution n°664 (2021-2022) au nom de la commission des affaires européennes, en application de l'article 73 quater du Règlement, sur le programme d'action numérique de l'Union européenne à l'horizon 2030 - Sénat, https://www.senat.fr/rap/l21-774/l21-774.html

* ¹³⁶ « Élaboré par l'Agence nationale de la sécurité des systèmes d'information (ANSSI), le référentiel SecNumCloud propose un ensemble de règles de sécurité à suivre garantissant un haut niveau d'exigence du point de vue technique, opérationnel ou juridique. D'une part, les prestataires proposant une offre d'informatique en nuage (cloud) doivent présenter une bonne hygiène informatique, d'autre part, les données doivent être protégées en conformité avec le droit européen. » Source : ANSSI