compte rendu intégral

Présidence de M. Claude Bérit-Débat

vice-président

Secrétaires :

M. Claude Haut,

M. Philippe Nachbar.

M. le président. La séance est ouverte.

(La séance est ouverte à onze heures.)

1

Procès-verbal

M. le président. Le compte rendu analytique de la précédente séance a été distribué.

Il n’y a pas d’observation ?…

Le procès-verbal est adopté sous les réserves d’usage.

2

Sécurité numérique et risques

Débat sur les conclusions d’un rapport

M. le président. L’ordre du jour appelle le débat, organisé à la demande de l’Office parlementaire d’évaluation des choix scientifiques et technologiques, sur les conclusions de son rapport intitulé Sécurité numérique et risques : enjeux et chances pour les entreprises (Rapport n° 271, 2014-2015).

Dans le débat, la parole est à M. le premier vice-président de l’Office parlementaire d’évaluation des choix scientifiques et technologiques.

M. Bruno Sido, premier vice-président de l’Office parlementaire d’évaluation des choix scientifiques et technologiques. Monsieur le président, madame la secrétaire d'État, mes chers collègues, j’ai aujourd’hui l’honneur et le plaisir de vous présenter le rapport de l’Office parlementaire d’évaluation des choix scientifiques et technologiques sur le risque numérique, intitulé Sécurité numérique et risques : enjeux et chances pour les entreprises, rapport dont l’élaboration avait été confiée à Mme Anne-Yvonne Le Dain, députée et vice-présidente de l’Office, ainsi qu’à moi-même.

Saisi par la commission des affaires économiques du Sénat, l’Office a adopté un rapport qui a nécessité une centaine d’auditions, dont trois journées d’auditions publiques et des déplacements. Le document a été présenté à la commission des affaires économiques au mois de juin 2015.

Le président de cette commission, M. Jean-Claude Lenoir, que je salue, a estimé que l’intérêt des recommandations méritait leur présentation au nom de l’Office en séance plénière du Sénat, ce dont je le remercie, ainsi que la conférence des présidents, au nom de l’Office.

En concertation avec le précédent président de la commission des affaires économiques du Sénat, M. Daniel Raoul, la réflexion a été centrée sur les entreprises constituant des opérateurs d’importance vitale, les OIV, et en priorité sur celles du secteur des télécommunications et du secteur de l’énergie. Soumises à des directives nationales de sécurité, les fameuses DNS, qui imposent des obligations extrêmement précises, ces entreprises ne doivent en aucun cas voir leur fonctionnement interrompu, notamment pas en raison d’une défaillance de leur système d’information numérique.

Les activités desdits opérateurs dépendent de la fiabilité de la chaîne de sécurité numérique qu’ils constituent avec leurs fournisseurs, leurs sous-traitants, leurs clients et leurs personnels.

Le présent rapport est centré sur la sécurité que doit présenter une technique nouvelle à évolution extrêmement rapide et moins familière qu’on ne le croit.

L’élaboration du rapport de l’Office a été jalonnée par les annonces du Gouvernement, en 2014, au sujet du dépôt, plusieurs fois ajourné, d’un ambitieux projet de loi sur le numérique.

Ainsi le Gouvernement et nous-mêmes avons conclu que la sécurité numérique, voire la sécurité tout court ne pouvait être assurée qu’à partir de mesures reliées entre elles.

Au mois de mai 2015, Mme Axelle Lemaire, secrétaire d'État chargée du numérique, a invité les rapporteurs de l’Office à venir lui présenter leurs travaux. Elle a réservé le meilleur accueil à leurs recommandations. Je l’en remercie.

Tout récemment, la secrétaire d’État a élaboré un projet de loi relatif au numérique et aux libertés individuelles. Un autre projet de loi portant sur les aspects plus économiques du numérique est annoncé. Mais aucun de ces deux textes ne concerne directement la sécurité numérique des entreprises. C’est davantage l’objet de la stratégie nationale pour la sécurité du numérique, présentée par M. le Premier ministre au mois d’octobre 2015.

Certaines mesures de cette stratégie nationale rejoignent les propositions émises par l’Office au début de l’année 2015, comme l’atteste la synthèse du rapport de l’OPECST qui vous a été adressée voilà quelques semaines.

Les ramifications du numérique constituent le système nerveux de la société et même, en partie, celui des individus, d’où l’impossibilité de scinder les préoccupations de sécurité en divers segments d’études. C’est ce qu’ont toujours su les attaquants des systèmes numériques.

Déjà, depuis quelques années, pour relever le défi de la sécurité numérique, de réels moyens ont été développés. Je pense à la création, en 2009, de l’Agence nationale de sécurité des systèmes d’information, l’ANSSI, qui a succédé à d’autres dispositifs, mais en les renforçant. Toutefois, cette agence ne saurait résoudre à elle seule toutes les questions posées par les failles de la sécurité numérique, ni parer toutes les attaques.

En effet, cette question transversale de sécurité suppose l’acquisition par l’ensemble de la société d’une culture du numérique, ainsi que d’une éducation initiale et continue à la hauteur des services rendus par la technique, à la fois en dépit et en raison des fragilités qu’elle recèle.

Les rapporteurs de l’OPECST sont partis d’une réflexion sur le mécanisme de transmission d’un message au sein du système d’information de l’entreprise et sur les fragilités, souvent de conception, des matériels, des logiciels, des réseaux, des services et des diverses applications numériques.

La mission de l’Office consiste à comprendre et à faire comprendre les raisons de ces fragilités, thème particulièrement technique, et à proposer des solutions.

Ainsi, qu’en est-il du pillage organisé des informations des entreprises ? Des tiers, des concurrents vont puiser dans ces informations comme dans un libre-service.

La situation de l’économie française s’accommode-t-elle de tels pillages ? Ou bien résulte-t-elle en partie de ceux-ci, alors justement qu’ils durent depuis des années ?

Cependant, le rapport montre que les imperfections constatées constituent également des chances à saisir, car la situation comporte bien des facettes pouvant inciter à une mobilisation constructive.

La France possède de nombreux atouts en ce domaine. En effet, sans même parler des fabricants d’antivirus, les connaissances de l’école française de mathématiques, alliées à une grande tradition en matière de cryptologie et de cryptographie, les ressources des centres de recherche de la Direction générale de l’armement, la DGA, ou de l’Institut national de recherche en informatique et en automatique, l’INRIA, pour ne citer qu’eux, devraient permettre de conforter les entreprises œuvrant dans ces domaines.

Pour mettre en valeur de tels atouts français, il faut se débarrasser de préjugés et d’attitudes routinières. Je pense par exemple aux préjugés négatifs associés à l’image des hackers, dont certains pourraient être employés par l’administration française pour élaborer des solutions de prévention et de riposte aux attaques numériques, à condition d’être recrutés à des niveaux de salaires en rapport avec leur haute technicité. Cela ralentirait le départ vers l’étranger de ces compétences indispensables.

Il faudrait également éviter que de jeunes entreprises extrêmement innovantes dans le numérique ne soient aussitôt rachetées par des financiers d’outre-Atlantique venus, en quelque sorte, faire leur marché en France.

Mais les comportements de chacun d’entre nous sont-ils adaptés aux exigences de la sécurité numérique, trop souvent négligée dans la vie quotidienne ?

Par exemple, qui d’entre nous hésite avant de s’abonner à une messagerie électronique contrôlée par une firme étrangère et d’accepter d’un clic toutes les conditions qu’elle pose ? Qui prend le temps minimal de réflexion avant de choisir la voie la plus sécurisée pour transmettre un message urgent et/ou confidentiel ? Les assemblées, les collectivités territoriales sont-elles en pointe quant à la sécurité informatique ? Qu’en est-il enfin des entreprises les plus au fait en matière de technologie de sécurité numérique ?

Parmi la vingtaine de recommandations prioritaires retenues par l’Office, certaines concernent l’éducation nationale. Il est ainsi proposé d’enseigner le codage de manière ludique dès l’école maternelle et de créer une véritable filière d’enseignement de l’informatique incluant systématiquement des modules significatifs sur sa sécurité, et ce jusque dans l’enseignement supérieur.

La situation actuelle est malheureusement loin de traduire le respect d’une telle exigence, d’abord parce que l’informatique est souvent absente des programmes ou doit se contenter d’un nombre d’heures restreint, de surcroît malheureusement non couplé, ou si peu, à un enseignement de la sécurité du numérique, y compris dans les écoles spécialisées...

Que devraient être les effectifs, les compétences, la réactivité et la formation continue des enseignants spécialisés censés faire face à cette nouvelle demande ?

Plus généralement, il faut rappeler que les contextes international, européen et national actuels se caractérisent par une totale symbiose entre le numérique et la société.

Il est donc inutile d’élever des digues juridiques ou technologiques si des accords internationaux ou la réalité d’un rapport de force non encadré viennent dans le même temps ruiner ces efforts.

Ainsi, ont été explicités dans le rapport les enjeux de la négociation actuelle du traité de partenariat transatlantique, les raisons du rythme d’avancée de l’élaboration de la directive et du projet de règlement européens, ou, en France, de la maturation de la stratégie nationale pour la sécurité du numérique, ainsi que du ou des textes sur le numérique.

La protection simultanée des droits et libertés dans l’univers numérique et la protection de la souveraineté numérique de la France comme de l’Union européenne supposent également des mesures techniques.

Ces objectifs vitaux doivent primer la libre circulation des marchandises, l’abaissement des droits de douane ou l’instauration d’une concurrence libre et non faussée.

Ne faudrait-il pas aller jusqu’à concevoir une exception numérique d’après le modèle de l’exception culturelle, qui a sauvé l’industrie cinématographique française quand celle-ci était menacée par des principes commerciaux qui prétendaient la dominer, tandis que de grands cinémas d’autres pays d’Europe n’ont pas survécu à l’application de ces principes ?

De même, dans le numérique, avant qu’il ne soit définitivement trop tard, toutes les chances doivent être mises de notre côté pour que des industries françaises et européennes puissent concevoir, fabriquer ou, au moins, contrôler pour les labelliser, les matériels, les logiciels, les systèmes d’exploitation et les cœurs de réseaux qui forment la longue chaîne de la sécurité numérique.

Pour expliciter une réalité numérique multiple difficile à appréhender, l’Office a conçu pour son rapport d’indispensables schémas, plus explicites que de longs discours.

Je pense, par exemple, au « schéma de l’éléphant », pour illustrer la perception trop parcellaire du numérique, ce que traduisent aussi d’ailleurs la juxtaposition des initiatives gouvernementales et européennes, le foisonnement de rapports parlementaires ou autres traitant de certains aspects de ce thème : ouverture des données ou open data, traitement des données massives ou big data, gouvernance mondiale de l’internet, ou encore le numérique aux États-Unis d’Amérique...

Toutes ces questions sont interdépendantes. La sécurité numérique est présente derrière chacune d’entre elles et devrait permettre, peut-être, de reconstituer le puzzle des internets et de tous les aspects du numérique en général.

De l’ensemble de tous les liens entre ces divers éléments, de leur continuité, de leur intégrité, dépend la sécurité numérique en général, en particulier celle, très ramifiée, des entreprises.

Mais très peu de ces initiatives ou rapports ont approfondi la question transversale, et essentielle, de l’insécurité découlant du recours croissant au numérique par les entreprises.

À cet égard, la recommandation de l’Office consistant à couper totalement de l’Internet les SCADA, c’est-à-dire les systèmes numériques commandant la production d’une entreprise, n’est pas si radicale qu’il y paraît. Elle l’est d’autant moins au regard de l’anecdote éclairante de la pénétration du système des SCADA d’un hôpital nord-américain par un adolescent de seize ans réussissant à bloquer la climatisation de cet établissement et exigeant ensuite, naturellement, le paiement d’une rançon pour rétablir le bon fonctionnement de ce sanctuaire de santé.

Ce fait est à rapprocher de la possibilité d’acquérir dans le commerce des logiciels d’attaques informatiques.

Cependant, au-delà des failles technologiques, les failles humaines, souvent inconscientes, entraînent les plus graves vulnérabilités, d’où l’ampleur de l’effort d’éducation et, plus généralement, de l’action de sensibilisation à mener jusqu’à l’acquisition des indispensables réflexes d’une hygiène numérique ; le rapport propose des pistes pour les acquérir.

En effet, toute nouvelle avancée du numérique doit proposer des instruments de sécurité, d’une sécurité « par conception », comme disent les spécialistes, malheureusement toujours quasi absente de la conception des objets connectés.

Mais je vois que je suis trop long, monsieur le président, et j’en viens à ma conclusion.

L’Office a émis une vingtaine de recommandations générales, ainsi qu’une centaine de recommandations plus techniques dans un vade-mecum destiné à ceux qui voudraient approfondir la question. Chacun d’entre nous peut immédiatement en tirer des leçons pour son comportement numérique quotidien personnel.

Nos recommandations concernent les trois phases d’une attaque numérique : avant, pendant et après l’attaque. La vigilance doit être permanente.

Face au risque numérique, il s’agit de renforcer les conditions de la sécurité numérique et aussi de favoriser les conditions de la confiance à placer dans l’usage du numérique.

Je souhaite vivement que ce rapport de l’Office parlementaire d’évaluation des choix scientifiques et technologiques, l’OPECST, qui a reçu un très bon accueil des professionnels de la sécurité numérique et des sites spécialisés, puisse avoir les retombées les plus concrètes et les plus rapides possible. (Applaudissements.)

M. le président. La parole est à M. François Fortassin.

M. François Fortassin. Monsieur le président, madame la secrétaire d’État, mes chers collègues, « chômage technologique » pour Keynes, « destruction créatrice » pour Schumpeter, si les technologies porteuses de progrès rendent obsolètes certains emplois, elles permettent fort heureusement l’émergence de nouveaux métiers.

Force est de constater qu’aujourd’hui le numérique crée de la valeur et constitue un réel levier pour la croissance économique. L’importance de leur patrimoine informationnel, mais aussi de leur réputation auprès de leurs clients, implique pour les entreprises de recourir à des savoir-faire très pointus.

Dans le même temps, cependant, cet essor technologique présente des risques que grand nombre d’entreprises ne prennent pas suffisamment en compte, comme le souligne dans son rapport l’Office parlementaire d’évaluation des choix scientifiques et technologiques.

Les besoins des entreprises en matière de cybersécurité s’intensifient avec le contrôle à distance d’installations industrielles, l’avènement des réseaux intelligents ou smart grids, le recours plus fréquent à l’informatique en nuage, l’explosion de l’internet des objets. Ce sont autant d’occasions pour les cybercriminels d’exploiter les vulnérabilités des systèmes d’exploitation, des navigateurs des applications et des réseaux.

Un véritable marché noir des vulnérabilités et des failles Zero day, vendues très cher, fleurit et s’organise dans l’ombre du partage massif de données, de l’accès gratuit à l’information. Il constitue un risque aussi bien pour la protection des intérêts économiques que pour la sécurité des personnes et des biens.

Il porte atteinte à nos libertés : espionnage industriel, pillage des données personnelles des clients, usurpation d’identité, etc. C’est la raison pour laquelle la prévention doit être au centre de la stratégie des entreprises, alors que le volume des cyberattaques a été multiplié par vingt en dix ans.

Nos entreprises doivent pouvoir évoluer dans un climat de relative confiance. Alors que tout doit aller plus vite dans la course à la compétitivité, elles ont tendance à considérer les cyberattaques comme inévitables et n’y accordent pas les moyens à la hauteur des enjeux pour des raisons de coûts.

Les dirigeants ne sont pas toujours prêts à investir dans la sécurité numérique – vue comme une contrainte par les collaborateurs – et externalisent les services de maintenance.

Pourtant, l’atteinte aux systèmes informatiques perturbe le fonctionnement de l’entreprise, parfois pendant des mois, et peut affecter son intégrité même. Le coût des incidents est ainsi sous-estimé. L’OCDE, a récemment rappelé que le risque doit être appréhendé comme une problématique économique et non pas technique.

Toutefois, le changement des mentalités est en cours, comme en témoignent les initiatives du Club informatique des grandes entreprises françaises, réseau de grandes entreprises dont les recommandations sont reprises par le présent rapport, le travail de l’Agence nationale de la sécurité des systèmes d’information, l’ANSSI, ou les directives nationales de sécurité applicables aux opérateurs d’importance vitale.

Nous partageons à l’évidence le constat selon lequel la maîtrise de l’outil numérique est peu satisfaisante.

Si l’éducation au numérique doit être renforcée, elle ne doit pas pour autant avoir lieu dès la maternelle, comme cela est proposé, à moins de vouloir favoriser le développement de troubles visuels précoces…

De même, l’instauration de cours de codage à l’école serait inutile, les langages évoluant à une vitesse telle que les ingénieurs doivent en permanence s’adapter à l’issue de leur formation. Et qui serait chargé de transmettre ces savoirs ? Laissons les enfants s’emparer de l’apprentissage des fondamentaux, au lieu de les noyer dans des savoirs technologiques instables et de les former aux métiers d’hier. Seules les règles de base en matière de sécurité numérique à des fins de protection des données personnelles et de la vie privée doivent être transmises.

Pour ce qui est de l’enseignement supérieur, les formations sont, certes tardivement, en train de s’adapter.

Les formations initiale et continue des fonctionnaires et des magistrats au risque numérique sont plus pertinentes.

Quant à la recommandation relative à la mise en place d’un « permis d’aptitude à utiliser le numérique », elle ne se justifie pas, en raison de son coût et de l’impossibilité de garantir la qualité de la formation. Le numérique étant bien plus dynamique que le code de la route, ce permis serait rapidement périmé. La sensibilisation des utilisateurs à la culture du risque numérique relève davantage des administrateurs systèmes et réseaux, avec l’appui des dirigeants des entreprises.

Par ailleurs, le rapport évoque la mise en place d’un cadre européen favorable à la sécurisation des données.

La proposition d’un Google français ou européen a un train de retard et ignore l’existence du moteur de recherche français Qwant, qui ne trace pas les utilisateurs et qui va être lourdement financé par la Banque européenne d’investissement. Encore faudrait-il que les utilisateurs se l’approprient…

La construction d’un droit européen et national adapté face à l’emprise d’une loi américaine extraterritoriale est essentielle. Toutefois, beaucoup reste à faire pour parvenir à réformer en tenant compte de ce qui est techniquement et politiquement possible.

En tant que législateurs, nous aurions aimé avoir plus de précisions sur les questions juridiques. Cependant, nous saluons la qualité du travail de l’OPECST, qui nourrira notre réflexion lors de l’examen prochain par le Parlement des projets de loi sur le numérique.

En conclusion, le cas évoqué par Bruno Sido de cet adolescent américain qui a perturbé tout un établissement hospitalier montre que la cybercriminalité connaît un développement extrêmement rapide et n’est pas près de s’effacer. Nous devons donc être extrêmement vigilants. Dans ce domaine comme dans bien d’autres, le mieux pourrait être l’ennemi du bien ! (Applaudissements sur les travées de l'UDI-UC.)

M. le président. La parole est à M. Jean-Claude Lenoir.

M. Jean-Claude Lenoir. Monsieur le président, madame la secrétaire d’État, mes chers collègues, les questions relatives à la sécurité numérique sont au cœur de l’actualité. Le Conseil d’État a d’ailleurs consacré son rapport annuel de 2014 à la protection des données personnelles. Un certain nombre d’études ont également été réalisées et des initiatives ont été prises. De surcroît, nous avons eu récemment un débat animé au Parlement sur le renseignement, qui s’est étendu également à d’autres secteurs comme la défense nationale.

Bref, l’initiative prise par l’Office parlementaire d’évaluation des choix scientifiques et technologiques était particulièrement opportune, car il ne s’agit pas de protéger seulement les données personnelles ou celles qui concernent la défense nationale : aujourd'hui, nous nous penchons sur la protection des entreprises.

La commission des affaires économiques du Sénat a prêté une oreille plus qu’attentive aux propositions qui ont été faites par l’Office. Je félicite en particulier Bruno Sido, qui a conduit avec sa collègue de l’Assemblée nationale des travaux extrêmement intéressants - ils connaîtront, je le pense, un rapide prolongement dans les débats que nous ne manquerons pas d’avoir.

Le rapport de l’Office parlementaire d’évaluation des choix scientifiques et technologiques souligne tout d’abord que le numérique constitue une formidable chance pour les entreprises. C’est d’ailleurs un truisme que d’insister sur ce que représente le numérique pour la vie des entreprises, aussi bien en ce qui concerne la fluidité des échanges d’informations que la connexion avec un certain nombre de fournisseurs ou de clients ou encore la meilleure information sur les opportunités que peut présenter telle ou telle entreprise.

A contrario, une étude montre que, en 2013, 80 % des entreprises ayant fait faillite n’étaient pas reliées à internet, ne disposaient pas d’un site web et ne participaient pas à la circulation des informations sur les réseaux sociaux. C’est un signal très fort à l’égard des entreprises, notamment des start-up, d’autant que ces dernières sont susceptibles de créer à la fois de l’emploi et de la richesse.

Le numérique est donc incontestablement un atout, mais il comporte également un certain nombre de risques, comme le souligne le rapport de l’Office.

Selon une étude réalisée par le cabinet PwC, 93 % des entreprises de taille intermédiaire ont été victimes de cyberattaque. Je souligne que beaucoup d’entre elles ne le savaient pas et qu’elles l’ignorent toujours !

M. Bruno Sido, premier vice-président de l’Office parlementaire d’évaluation des choix scientifiques et technologiques. Absolument !

M. Jean-Claude Lenoir. Dans le même temps, les entreprises hésitent parfois à se donner les moyens de faire face à de telles agressions. D’après la même étude, seulement 8 % des entreprises de taille intermédiaire se sont dotées des moyens de lutter contre les attaques sur les sites numérisés, notamment sur internet. Pour quelle raison ne se protègent-elles pas davantage ? À en croire les nombreuses études réalisées, beaucoup hésitent à choisir maintenant un système de protection en raison de la rapidité du développement des nouvelles technologies. Ces entreprises attendent le système de demain et, pendant ce temps, comme l’a parfaitement décrit Bruno Sido, le pillage continue !

La protection des sites des entreprises est donc un sujet d’actualité. Paradoxalement, même si elles sont peu nombreuses à se protéger, 68 % d’entre elles, toujours selon PwC, affirment qu’elles ont besoin d’être protégées pour asseoir leur position. Voilà pourquoi il convient de leur donner les moyens de renforcer cette protection.

Si certaines dispositions sont de nature individuelle, il appartient aussi aux pouvoirs publics de prendre des mesures de portée nationale et européenne.

Sur le plan individuel, il s’agit d’abord d’améliorer les comportements. Bien des personnels ignorent que leur conduite expose leur entreprise à de vrais risques, notamment parce qu’ils omettent de prendre les précautions, parfois extrêmement simples, permettant d’empêcher une information essentielle de tomber entre les mains d’individus qui, animés de très mauvaises intentions, participent au pillage.

La question du comportement est donc absolument essentielle.

L’Office parlementaire d’évaluation des choix scientifiques et technologiques plaide pour le renforcement d’une culture numérique dès le plus jeune âge, car les jeunes sont les plus familiarisés avec le numérique, même si je constate que notre assemblée ne compte que des spécialistes ! (Sourires.) En tout état de cause, il est important d’apprendre dès le plus jeune âge les gestes permettant non seulement de se protéger sur le plan individuel et personnel, mais également de protéger l’entreprise.

Des mesures doivent être prises par les pouvoirs publics à l’échelon national. À cet égard, la stratégie pour la cybersécurité, qui a fait l’objet d’une communication de la part du Premier ministre le 16 octobre dernier, montre qu’il est essentiel de se donner les moyens de sécuriser nos réseaux, notamment en ce qui concerne les entreprises. Dans le même temps, d’autres initiatives sont prises. Mme Axelle Lemaire nous présentera prochainement un texte sur le numérique. De même, Emmanuel Macron défendra bientôt le projet de loi NOE sur les « nouvelles opportunités économiques », qui donnera lieu à d’importants débats. La commission des affaires économiques participera aux discussions, tout particulièrement pour ce qui concerne la protection des entreprises.

Au-delà des mesures nationales, il faut aussi des mesures prises au niveau européen. Je note que la directive qui protège les données personnelles remonte à 1995. Chacun s’accorde à reconnaître qu’elle est largement dépassée maintenant et qu’une nouvelle version est nécessaire. La Commission européenne travaille actuellement à sa rédaction.

Mais il faut également assurer la sécurité des réseaux.

La Commission a arrêté en 2013 une directive qui doit être examinée par le législateur européen et par les parlements européens. Il faut souligner l’urgence de la présentation de cette directive devant les parlements concernés de façon qu’elle puisse être très rapidement mise en œuvre.

Il y a également d’autres initiatives à prendre, car nous sommes dans un système mondialisé. Il n’y a pas que la protection vis-à-vis de concurrents nationaux, de concurrents européens ; est aussi posée la question, très sensible et donnant lieu à de grands débats, de la relation avec d’autres pays, notamment les États-Unis. On constate, malheureusement, que le pillage est largement organisé par certains de nos alliés politiques et économiques. Il convient, sans tarder, de tirer toutes les conséquences de l’arrêt de la Cour de justice de l’Union européenne sur le Safe Harbor. C’est un sujet qui doit être approfondi, à la fois au sein de l’Office parlementaire d’évaluation des choix scientifiques et technologiques et de notre assemblée.

Le sujet est donc majeur. Nous sommes tous attachés au développement des entreprises, au maintien des emplois, à l’essor des start-up, à la consolidation des positions de nos entreprises au plan européen comme au plan mondial. Il est urgent d’agir et la volonté du législateur est aujourd’hui très forte ! (Applaudissements sur les travées du groupe Les Républicains. – M. François Fortassin applaudit également.)