Third (T) : Depuis votre article de 2018, de nombreux outils d’encadrement juridique ont été créés dans le but de réguler l’économie numérique. L’Union Européenne a notamment adopté trois textes législatifs majeurs : le Digital Markets Act (DMA), le Digital Services Act (DSA) et l’EU AI Act. Ces nouvelles réglementations européennes atteignent-elles l’équilibre entre maîtrise technologique, droits fondamentaux et innovation que vous préconisiez ?

 
Éric Bothorel (EB) : Recontextualisons avant tout l’émergence de ces textes.

Le développement exponentiel de l’économie numérique au début de notre siècle et la démocratisation des outils numériques a rendu obsolète une partie de notre corpus juridique tout en soulevant la question de l’articulation entre les trois composantes que vous citez. Il y a un certain nombre d’outils qui naissent, soit en tant que briques technologiques existantes, soit en tant qu’innovations de rupture, qui font qu’on est sans cesse confrontés à des cas d’usage et qui font apparaître de nouvelles vulnérabilités ou de nouvelles menaces pour la population.

Dès lors, plutôt que de multiplier les législations nationales, les États membres ont fait le choix de règlements européens partagés et, par nature, harmonisés. Ces textes sont une première mondiale, et le fruit de longues années de discussions et d’équilibres ; l’impulsion et le travail de la France ont d’ailleurs été décisifs, le DSA et le DMA ayant notamment été adoptés sous Présidence française de l’Union européenne. Aujourd’hui, avec l’apogée et l’adoption de ces textes fondamentaux et leur mise en œuvre, on a rattrapé de notre retard sur notre capacité à – en tant qu’Etat – formuler des attentes et des exigences auprès des grands acteurs, avec des régimes de sanctions s’ils ne les respectent pas.

Je suis convaincu que l’Union européenne apparaît comme le meilleur niveau pour légiférer sur ces sujets, en permettant l’élaboration d’un cadre de confiance dont les grands principes demeureront malgré la sérendipité inhérente aux technologies numériques. Le marché unique européen est en effet un atout puissant pour stimuler la concurrence et l’innovation, tout en protégeant nos droits et intérêts fondamentaux.

Prenons l’exemple du DMA, qui rétablit une concurrence saine et équitable entre les acteurs. Les utilisateurs de produits Apple pourront d’ici la fin de l’année supprimer les applications installées par défaut sur leur appareil, ou bien gérer les paramètres par défaut des navigateurs, de la messagerie. Cette approche place l’utilisateur en situation de choix et permet à de nouveaux acteurs d’émerger et d’accéder à un marché jusque-là verrouillé de fait. De la même manière, le DMA comprend une obligation pour les gatekeepers de fournir une portabilité effective des données générées par un utilisateur, à sa demande et gratuitement : très utile si l’on souhaite déplacer ses données sur un autre service cloud, dans un souci d’amélioration de service et/ou de protection accrue de nos données. En cas de non-conformité au DMA, la Commission européenne peut imposer des amendes allant jusqu’à 10% du chiffre d’affaires mondial d’un contrôleur d’accès, et jusqu’à 20% en cas d’infraction répétée. Des sanctions suffisamment dissuasives pour assurer le respect du nouveau cadre juridique.

Dans l’ensemble, les derniers textes européens sur l’économie numérique s’inscrivent dans un esprit d’équilibre pragmatique profondément européen : ils posent un cadre de confiance sans brider l’innovation. Au cours de l’élaboration de l’IA Act, la France est d’ailleurs intervenue pour rappeler l’impératif de préservation de la neutralité technologique, en promouvant une approche par le risque. Le compromis trouvé consacre cette approche, avec des obligations différenciées pour les fournisseurs de systèmes d’IA selon le niveau de risque associé. Ce résultat me semble pragmatique et proportionné. Il convient à présent de décliner l’ensemble de ces textes dans la durée, en bonne intelligence avec l’écosystème.

L’actualité avec X (anciennement Twitter) démontre que nous ne sommes pas totalement dans des schémas aboutis. Pour autant, nous avons atteint un niveau de maturité en termes de textes qui n’a pas empêché l’émergence politique, et donc nous n’avons pas contraint l’innovation. Je pense qu’on a atteint l’équilibre parce qu’on a rattrapé notre retard.
 

T : Dans votre Rapport sur la politique publique de la donnée (décembre 2020), vous mentionnez qu’il y existait une tension entre les législations européenne et française en matière numérique, avec la France qui hésite à utiliser toutes les marges de manœuvre prévues par les règlements européens comme le RGPD. Cette tension vous semble elle toujours présente ? L’approche règlementaire française de la régulation du numérique a-elle évolué ces dernières années ?

 
EB : Le cadre juridique européen en matière numérique est une première mondiale qui dessine un équilibre complexe que chaque État membre doit s’approprier. Le corpus juridique français s’est ainsi largement adapté ces dernières années aux textes européens, je pense par exemple à la loi relative à la protection des données personnelles (2018), à celle visant à sécuriser et réguler l’espace numérique (2024), au projet de loi cyber qui devrait bientôt voir le jour pour transposer les directives NIS2 / DORA / REC.

En tant que législateur, je crois que l’harmonisation optimale est souhaitable entre les États membres de l’UE, dans un souci de lisibilité du droit et de simplification pour les acteurs. C’est la position que je porte dans l’hémicycle.

Toutefois, certains textes concèdent des marges de manœuvre aux États membres, à l’instar du RGPD. Le législateur français a utilisé cette faculté pour par exemple renforcer la protection des personnes physiques, ou bien atténuer certaines obligations des acteurs de traitement, en ayant toujours à l’esprit le principe de proportionnalité prôné par le RGPD entre le droit à la protection des données à caractère personnel et les autres libertés et droits fondamentaux. Lorsque cela est nécessaire, le législateur français peut être amené à préciser le droit européen de façon proportionnée : ce fut le cas au cours de la loi SREN, où l’un de mes amendements, devenu l’article 60 de la loi, est venu combler un vide juridique qui laissait la porte ouverte au commerce de données personnelles à l’insu des citoyens par des acteurs non établis dans l’Union européenne, sans que le RGPD ou la loi informatique et libertés ne soient applicables. La France peut parfois mettre en place des dispositifs plus stricts ou spécifiques (comme dans le cas de la lutte contre les arnaques en ligne ou la cyberdéfense), tout en reconnaissant la primauté du droit européen. Le Gouvernement est conscient des limites imposées par l’UE et cherche généralement à rester dans ce cadre, même si parfois des décisions nationales (comme la coupure de TikTok en Nouvelle-Calédonie) peuvent soulever des questions sur leur conformité vis-à-vis de la doctrine européenne.

Une fois le cadre juridique posé, chaque acteur concerné doit se l’approprier. Cette appropriation collective prend du temps, car il ne s’agit pas d’imposer brutalement à l’écosystème de nouvelles règles, mais bien de les accompagner au mieux dans cette transition, en évitant les approches trop dogmatiques.

Pourtant, sur le RGPD, cinq ans après sa mise en place, de très nombreuses entreprises doutent toujours d’une conformité à 100%, et ce malgré la publication et la mise à jour régulière du guide de mise en conformité avec le RGPD de la CNIL. Si la CNIL a démontré par le passé sa faculté à adopter une position très juridique vis-à-vis de la protection des données personnelles, sa vision semble à présent s’ouvrir pour davantage prendre en compte les aspects opérationnels et concurrentiels, avec notamment la multiplication des « bacs à sable réglementaires ». À cet égard, la désignation de nouvelles autorités en charge de la régulation numérique (ARCOM, Arcep, Autorité de la concurrence) fait naître de nouvelles approches et expertises bienvenues.

Cette évolution introduit une souplesse indispensable dans l’interprétation de la norme à l’ère de la massification des intelligences artificielles, puisque les principes de minimisation de la collecte de données personnelles et des finalités du RGPD entrent en contradiction même avec le principe d’IA, qui repose sur la collecte et l’utilisation massive de données. L’articulation entre des textes comme le RGPD et l’IA Act devra en ce sens être clarifiée. La construction d’une régulation qui soit la plus cohérente et la plus opérationnelle possible se poursuit donc.
 

T : Vous avez décrit les plateformes et algorithmes comme un pharmakon – à la fois poison et remède – exigeant que le législateur prenne en compte cette nature dualiste de la technologie. Cependant, les États-Unis critiquent la réglementation européenne, suggérant qu’elle freine l’innovation. La France a-t-elle trop mis l’accent sur les risques de la technologie au détriment de l’innovation ?

 
EB : Cela rejoint votre première question. Je crois que le législateur français et européen est parvenu à dessiner un cadre de confiance équilibré, avec des grands principes clairs, en responsabilisant suffisamment les acteurs tout en accompagnant leur développement économique. En comparaison, le cadre consacré par les Etats-Unis a verrouillé le marché et autorise des entorses régulières aux données personnelles de ses concitoyens : ce n’est pas la vision que je porte.

La tentation est parfois grande de légiférer pour répondre à chaque risque et chaque problème rencontré. Il ne nous faut ni tomber dans la dictature de l’émotion ni dans la peur du changement, mais au contraire co-construire des dispositifs opérationnels qui protègent nos droits fondamentaux tout en accompagnant le développement de l’innovation en France et en Europe. Nous devons préserver ce cadre européen qui est à la fois protecteur et facilitateur. D’un côté, il offre une protection, et de l’autre, il permet l’épanouissement d’un certain nombre d’entreprises. Cela se fait grâce à une simplification et une harmonisation des règles. Ces entreprises, qui opèrent à l’échelle mondiale, bénéficient de ce cadre. Il ne s’agit pas tant de les protéger contre une agression ou une compétition extérieure, mais plutôt de leur permettre d’accéder plus facilement à l’ensemble du marché européen. Ce cadre rend le marché plus accessible aux entreprises qui sont déjà présentes en son sein.

Une sur-réglementation pourrait à cet égard être largement contre-productive pour notre économie, car elle empêcherait nos entreprises de se saisir d’innovations, alors que nos concurrents américains n’auraient pas cette contrainte. Pour reprendre les mots du Président Macron, « on peut décider de réguler beaucoup plus vite et beaucoup plus fort que nos grands compétiteurs, mais on régulera des choses qu’on ne produira plus ou qu’on n’inventera pas ».

Il nous faut donc jouer à armes égales avec nos concurrents pour renforcer la maîtrise de briques technologiques stratégiques, et stimuler notre innovation et notre compétitivité. L’IA est par exemple une opportunité à ne pas manquer pour augmenter nos emplois et accroître notre productivité. En ce sens, la France a porté une voix singulière au cours de l’élaboration de l’IA Act en s’opposant à une réglementation stricte des modèles de fondation, pour favoriser au contraire la réglementation d’applications spécifiques et risquées des systèmes d’IA à usage général. Notre voix a été entendue puisque le compromis trouvé consacre une approche par le risque proportionnée.

Pour limiter les risques de dérives, nous avons donc posé des limites de haut niveau dans le respect de nos droits fondamentaux, et fait le choix de la confiance. Cela passe par le fait de placer chaque consommateur en situation de choix, en apportant de la transparence dans l’information et favorisant la concurrence sur le marché. Les autorités de contrôle ont en parallèle été dotées des outils nécessaires au bon respect de ces exigences.

Enfin, au-delà du cadre juridique, il y a aussi le récit et la vision portés par les États. Je crois profondément que l’Europe doit porter un récit d’optimisme et non de peur vis-à-vis de l’innovation. Cela encouragerait chacun à se saisir des nouveaux outils numériques, susciterait des vocations, et attirerait des capitaux pour notamment financer nos acteurs européens. Entre 2013 et 2022, les Etats-Unis ont investi plus de 250 milliards de dollars dans l’IA, et la France 6,6 milliards : il nous faut investir davantage, et ce d’autant plus que l’Europe a de solides atouts à faire valoir dans cette course à l’innovation. Nos entreprises européennes sont positionnées sur l’ensemble de la chaîne de valeur de l’économie numérique, et quelques-unes d’entre elles sont de tout premier rang. Par exemple, la première entreprise mondiale de fabrication de machines pour l’industrie des matériaux semi-conducteurs est néerlandaise. Par ailleurs, l’Europe et particulièrement la France peut compter sur des professionnels formés aux technologies, notamment de l’intelligence artificielle. La qualité de la formation supérieure française dans le domaine conduit de nombreuses entreprises étrangères à recruter des ingénieurs et chercheurs formés dans notre pays. De plus, l’année 2023 a démontré que l’avance de certains acteurs américains, dont OpenAI, n’était pas irrattrapable en ce qui concerne la production de modèles d’IA ; la course à mener n’est pas seulement technologique, elle porte sur les modèles d’affaires, les produits, et la capacité à les servir à un grand nombre d’utilisateurs à bas coût.
 

T : Dans votre Rapport sur la politique publique de la donnée (décembre 2020), vous affirmez que « la donnée est un moyen puissant de restaurer la confiance dans l’action publique ». Comment l’État français a-t-il mis en pratique ce principe ? Quelles solutions numériques ont été adoptées dans le fonctionnement de la vie publique en France ?

 
EB : Depuis la publication de mon rapport, deux nouveaux textes d’application directe ont établi un cadre clair pour l’élaboration d’un marché unique européen de la donnée : le Data Act et le Data Governance Act (DGA). L’objectif est d’encourager la libération de la donnée, publique comme privée, en fixant les conditions de son partage, de sa réutilisation et de son accès. Cela s’inscrit dans une logique à la fois économique et démocratique.

Car la publication de la donnée permet à la fois le contrôle des politiques publiques par la société civile, l’amélioration desdites politiques publiques, mais également le développement de la recherche et de l’innovation. La transparence permet la confiance, et in fine la performance.

L’exemple du covid est à cet égard assez éloquent : cette période a été un laboratoire de l’ouverture à large échelle de données de santé. En France, l’administration a choisi de publier ouvertement le tableau de bord de suivi de l’épidémie avec une mise à jour quotidienne. La publication de ces données a été le meilleur remède face à la défiance et au complotisme, et a permis l’émergence d’acteurs privés comme CovidTracker, grâce au travail précurseur de Guillaume Rozier, qui a séduit par son accessibilité et son ergonomie. Ces échanges et cette émulsion entre public et privé a permis d’obtenir l’application TousAntiCovid telle que nous la connaissons. Les citoyens ont ainsi pu saisir l’utilité concrète d’un tel partage de données, et les pouvoirs publics ont pris conscience des points d’amélioration possibles, par exemple la nécessité d’investir dans les infrastructures de collecte de données ; c’est à l’occasion du Covid que le Health Data hub a d’ailleurs été renforcé et autorisé à recevoir des données pseudonymisées en lien avec l’épidémie. Je crois résolument que l’une des leçons à tirer de cet épisode est qu’il ne faut pas attendre les situations de crise pour partager la donnée.

De la même manière, durant les débats de la loi SREN sur le filtre anti-arnaques, j’ai tenu à ce que la liste des adresses filtrées ou bloquées soit rendue publique, dans un souci de transparence et d’efficacité.
Au niveau national, la politique publique de la donnée mise en place par la France ces dernières années continue de progresser.

L’obligation d’ouverture des données de la recherche publique, posée par la loi pour une République numérique de 2016, constitue un changement de paradigme. Cinq ans après, en avril 2021, une circulaire du Premier ministre a élevé la politique publique de la donnée au rang de « priorité stratégique de l’État ». La consécration législative est intervenue en 2022 au sein de la loi 3DS relative à la différenciation, la décentralisation, la déconcentration et portant diverses mesures de simplification de l’action publique locale : elle a acté le principe de publication par défaut des codes source et algorithmes de l’administration, tout en simplifiant le traitement des demandes similaires pour rationaliser l’usage des moyens de la CADA. Concrètement, les usagers ne sont plus tenus de produire des informations déjà produites auprès d’une administration (« dites-le nous une fois ») et la circulation de la donnée entre administrations est fluidifiée, notamment grâce à des API.

Dans une logique inverse, la fermeture des codes sources peut entretenir une méfiance à l’égard de l’État ; certains codes sources gagneraient à être publiés tout ou partie, afin d’offrir une transparence sur la conservation des données des citoyens et le fonctionnement de l’algorithme. Cela a par exemple été le cas du code source de FranceConnect, et peut-être bientôt de Parcoursup.

La DINUM constitue le fer de lance de cette la valorisation des données. Elle a à ce titre été dotée de moyens inédits déployés grâce au plan France 2030, pour construire des produits numériques mutualisés entre Etat et collectivités, avec des succès incontestables : les démarches simplifiées, le bouquet d’API, data.gouv.fr, France Connect, etc. Dernièrement, elle a par exemple accompagné Météo-France dans le lancement de meteo.data.gouv.fr en version bêta, et travaille à l’élaboration de ecologie.data.gouv.fr qui met à disposition des données sur l’environnement, notamment des données sur la biodiversité, la pollution et les changements climatiques. Car l’ouverture des données est corrélée à l’efficacité des actions de l’Etat et des collectivités et à la simplification des démarches administratives, dans l’intérêt des citoyens, des entreprises, des agents.

La transparence doit donc être une boussole de l’ouverture des données publiques pour permettre à chaque citoyen de demander des comptes à son administration (conformément à l’article 15 de la Déclaration des Droits de l’Homme et du Citoyen de 1789), et pour alimenter le débat public. Pour mieux répondre aux demandes et anticiper les besoins, il est aussi souhaitable que les administrations tissent des liens avec les demandeurs de documents et les réutilisateurs de données/les communautés. De plus, je réitère mon souhait de voir la CADA renforcée et dotée d’un véritable pouvoir de sanction – aujourd’hui limité à ceux qui feraient une mauvaise utilisation des données publiques.

Enfin, la question de la confiance et de l’éthique de la donnée est également centrale. La transparence sur son utilisation, les garanties apportées à son stockage, le choix des algorithmes, l’association des citoyens au contrôle de leurs données… sont autant de voies qu’il nous faut continuer à renforcer.