C'est avec plaisir que je vous retrouve aujourd'hui pour la réunion de rentrée de notre commission. Cet exercice nous permet d'apporter, en commission et en séance, un éclairage européen à nos collègues. Le projet de loi visant à sécuriser et réguler l'espace numérique a été adopté en première lecture par le Sénat au mois de juillet. Il sera examiné aujourd'hui à partir de 15 heures en commission spéciale. Ce rapport pour observations me permet, en premier lieu, de revenir sur deux textes européens majeurs, la législation sur les services numériques – le DSA – et la législation sur les marchés numériques – le DMA. La France a joué un rôle important dans leur adoption, puis ils ont fait l'objet d'un accord entre les colégislateurs sous présidence française du Conseil. Le projet de loi qui nous est présenté comporte les mesures nécessaires d'adaptation du droit français au nouveau droit de l'Union – mais pas uniquement, j'y reviendrai dans mon propos.
Le DSA et le DMA marquent la volonté de l'Union Européenne de contrer la toute-puissance des grands acteurs, majoritairement extra-européens, qui dominent l'économie numérique et qui échouent – ou rechignent – à mettre un terme aux dérives en ligne de certains internautes.
Ces règlements seront-ils suffisants pour remettre de l'ordre dans le « Far West numérique » ? Il est trop tôt pour le dire avec certitude, mais force est de constater que l'Union s'est dotée des outils appropriés pour y parvenir. L'approche européenne est la bonne : privilégier une régulation ex ante et asymétrique, c'est-à-dire proportionnée à la taille des acteurs. Les très grands fournisseurs de services numériques se voient imposer des obligations et des interdictions supplémentaires.
Le DSA et le DMA entrent tout juste en application. Les acteurs concernés, qu'ils s'agissent des autorités régulatrices ou des plateformes régulées, l'ont répété à plusieurs reprises lors des auditions : ils sont concentrés sur la phase de mise en œuvre opérationnelle pour s'assurer du respect des règlements. Je suis consciente de ces exigences de court terme, d'ores et déjà perfectibles, mais elles ne doivent pas nous empêcher de voir plus loin et de dessiner de premières pistes d'amélioration. C'est le sens de ce rapport portant observations.
En premier lieu, la DSA poursuit un objectif d'apparence simple, mais ô combien complexe en pratique : rendre illégal en ligne ce qui est illégal hors ligne. Le texte oblige les fournisseurs à prendre des mesures supplémentaires pour lutter contre les contenus illicites et préjudiciables, qu'il s'agisse de la haine en ligne, de la pédopornographie ou de la désinformation.
L'architecture de mise en œuvre du DSA repose sur deux étages complémentaires.
- À l'étage du haut, la Commission européenne régule directement les très grandes plateformes et les très grands moteurs de recherche. Ces acteurs sont soumis à des obligations de diligence supplémentaires par rapport aux simples fournisseurs d'hébergement. Ils doivent par exemple engager un travail rigoureux d'évaluation et d'atténuation de quatre risques systémiques. La Commission européenne a désigné, en avril 2023, 17 plateformes et 2 moteurs de recherche comme relevant de ces catégories. Nous y retrouvons les « usual suspects », les suspects habituels comme Facebook, TikTok et X (anciennement Twitter), mais également des places de marché telles qu'Amazon et Zalando et d'autres.
- À l'étage du bas, les régulateurs des États membres gardent la main sur les fournisseurs de services numériques qui, d'une part, ont leur établissement principal sur le territoire national et qui, d'autre part, ne sont pas directement contrôlés par la Commission. Il y a une séparation des secteurs. Chaque pays devra nommer un coordinateur pour les services numériques, chargé de veiller à la bonne articulation des organismes nationaux compétents. Le projet de loi prévoit à juste titre de désigner l'Arcom, que nous avons auditionné, qui devra se coordonner avec la CNIL et la DGCCRF, responsables respectivement des volets « données personnelles » et « protection des consommateurs » du DSA.
L'une des forces du DSA réside dans sa capacité de dissuasion. Les coordinateurs nationaux et la Commission peuvent infliger des amendes à concurrence de 6 % du chiffre d'affaires mondial d'une entreprise. À titre d'exemple, X a généré un peu plus de 4 milliards de dollars l'année dernière : une amende de 240 millions de dollars ne serait pas anodine, alors que l'entreprise n'est aujourd'hui pas rentable. En cas de manquements répétés, la Commission pourra également ordonner une mesure temporaire de restriction d'accès aux services fournis par l'entreprise.
Le DSA apporte bien une contribution décisive à la lutte contre les contenus illicites, dont la haine en ligne. Une clause de réexamen figure dans le texte à l'horizon 2027. Je recommande d'engager le travail d'évaluation en amont, pour identifier les marges de progrès. Je pense notamment à la nécessité de créer un régime de responsabilité spécifique aux plateformes en ligne, pour que celles-ci ne soient plus considérées comme de simples hébergeurs. Cette exception au régime de responsabilité limitée est justifiée au regard du rôle majeur joué par les algorithmes dans le traitement de l'information.
En second lieu, le DMA vise à renforcer la contestabilité des positions dominantes acquises par les géants du numérique. Plusieurs travaux menés par notre commission lors de la précédente législature ont révélé que le droit de la concurrence traditionnel n'était pas en mesure de prévenir et de sanctionner le fonctionnement oligopolistique de ces marchés. Le texte crée le statut de « contrôleur d'accès », c'est-à-dire une entreprise de taille importante fournissant un service numérique essentiel. La Commission a désigné au début du mois une première liste de 6 contrôleurs d'accès, qui devront se conformer à leurs obligations d'ici au 6 mars 2024 : parmi celles-ci, l'interdiction pour une entreprise de privilégier ses propres services sur les produits qu'elle vend. Demain, les consommateurs européens pourront télécharger une application sur leur iPhone sans passer par l'App Store.
Le DMA est un instrument clé pour rééquilibrer les relations entre les plateformes structurantes, leurs concurrents et leurs utilisateurs. De nouveau, il me semble utile de réfléchir à des évolutions à court et moyen termes. D'abord, dans la phase de mise en œuvre qui s'ouvre, je propose que plusieurs États membres saisissent la Commission pour ouvrir une enquête de marché sur le réseau X, aujourd'hui absent de la liste des contrôleurs d'accès malgré sa taille importante et ses effets de réseau. En effet, le DMA prévoit des critères qualitatifs qui permettent de pallier la rigidité des critères quantitatifs, auxquels ne répond pas X à ce stade. C'est désormais à la Commission de s'en saisir pleinement. Ensuite, dans la future phase de réexamen, j'appelle à mieux associer les représentants de la société civile, dont les organisations de consommateurs, aux procédures d'enquête et de contrôle du DMA. La régulation des grandes plateformes doit être transparente et ouverte, au risque de se limiter à un face-à-face opaque entre le régulateur et le régulé.
Je conclurai mon intervention en m'intéressant directement aux dispositions du projet de loi SREN. Je partage pleinement les objectifs du texte, qui sont légitimes et doivent permettre à la France de se conformer à ses engagements européens. Je salue notamment la désignation future de l'Arcom comme coordinateur national pour la France. Il s'agira de l'une des premières autorités nommées en Europe, après la Commission des médias en Irlande en mars dernier.
Je souhaite toutefois signaler trois points de vigilance, qui gagneraient à être traités dans le cadre de l'examen du projet de loi et à guider nos pratiques à l'avenir.
Tout d'abord, la volonté du Gouvernement de « pré-transposer » les textes européens en cours de discussion afin d'aiguillonner les négociations me semble interrogeable et contestable. Il est important que la France fasse valoir ses intérêts, c'est tout l'objet des échanges au Conseil. En revanche, la pratique de la pré-transposition créée un risque d'incompatibilité « native » ou prématurée. À vouloir tordre le bras de ses partenaires, la France se retrouve avec le bras tordu. J'appelle à faire preuve de prudence. J'en veux pour preuve l'encadrement des crédits cloud qui figure dans le projet de loi déposé en mai, mais qui a été écarté du compromis trouvé par l'Union sur le Data Act en juin. La France n'a d'autre choix que de remanier largement ces mesures, au détriment des impératifs de qualité et de prévisibilité du droit.
Ensuite, plus gravement peut-être, certaines dispositions du projet de loi présentent un risque significatif de contrariété avec le droit de l'Union. Les représentants de la Commission nous ont alertés sur l'opportunité contestable de sur-légiférer en matière de régulation numérique, alors que le DSA et le DMA viennent d'être adoptés. Je ne partage pas nécessairement cette observation, mais je constate que des exigences a priori simples et prévues par ces textes ne sont pas respectées par le projet de loi. Le Gouvernement propose par exemple de nommer la DGCCRF parmi les autorités nationales compétentes, alors même que le considérant 112 du DSA précise que les entités désignées doivent « agir en toute indépendance » et ne pas « recevoir d'instructions, y compris du Gouvernement ». Vous en conviendrez, la DGGCRF est un service de Bercy relevant de l'autorité de son ministre de tutelle.
Enfin, j'appelle à renforcer la dynamique convergente des droits français et européen. La lutte contre les appels à la violence sur les réseaux sociaux est l'une des politiques propices à ce travail. Le projet de loi SREN a été débattu au Sénat dans le contexte des émeutes consécutives à la mort dramatique d'un adolescent. Un amendement y a ainsi été déposé pour permettre à l'autorité administrative de formuler une injonction de retrait de contenu sur les réseaux sociaux. Le Gouvernement a obtenu le retrait de cet amendement et mis en place un groupe de travail transpartisan, auquel j'ai participé, pour affiner ces questions.
Sans préjuger des propositions qui seront formulées par nos collègues, il me semble indispensable de rappeler que le DSA renforce nos moyens d'action pour lutter contre les contenus illicites, dont l'incitation à la haine et à la violence. Le texte fixe notamment des règles harmonisées pour améliorer l'efficacité des mécanismes « de signalement et de retrait » des plateformes.
La Commission doit encore davantage accompagner les États membres sur le sujet, c'est d'ailleurs ce que nous proposons à la fin du rapport. Je soutiens la démarche de la France, qui a demandé des clarifications sur le statut de certains services de messagerie proposant des canaux de discussion ouverts, tels que Telegram. Ces hébergeurs ont joué un rôle propagateur lors des émeutes de l'État. Ils pourraient être qualifiés de très grandes plateformes et donc être soumis à des obligations de diligence supplémentaires.
Enfin, j'ai exprimé dans le projet de rapport le regret que la négociation et l'adoption de textes européens aussi structurants pour l'avenir de nos concitoyens se déroulent à l'écart des parlements nationaux. Certes, la procédure européenne y a sa part. Mais dans d'autres États, comme l'Allemagne, les échanges entre Gouvernement et Parlement sur d'importants sujets sont débattus plus ouvertement et les propositions plus partagées entre institutions. Une observation de même type pourra être faite dans le cadre de nos réflexions sur l'évolution des règles budgétaires européennes.
Voilà, brièvement, les quelques réflexions que je souhaitais partager avec vous à ce stade avant l'ouverture de l'examen du texte en commission spéciale. Je me réjouis que nous puissions débattre ensemble des enjeux de régulation numérique, près d'un an après l'adoption formelle du DSA et du DMA. Il me semble essentiel de pouvoir poursuivre l'évolution de ces textes et leur application dans les différents État, y compris chez nous.
Je vous remercie de votre attention.