Didier Testot : Philippe Latombe, bonjour.

Philippe Latombe : Bonjour,

Didier Testot : Vous êtes député de Vendée, modem. On va parler avec vous de ces sujets du numérique avec une actualité toute fraîche puisque, depuis plusieurs jours, on peut dire plusieurs semaines, il y a eu une polémique sur une nomination européenne de Fiona Scott Morton, une Américaine ; il s’agit de la concurrence, l’antitrust européen, un poste important. Il y a eu beaucoup de critiques. Par un tweet on a pu savoir qu’elle renonçait à ce poste.
Au-delà de la polémique, qu’est-ce que ça signifiait, pour vous, de la part de la Commission européenne qu’elle ait pu envisager cette hypothèse-là ?

Philippe Latombe : C’est quelque chose qui nécessite plusieurs lectures.
La première. C’était la première fois, sur un poste de ce niveau-là, qu’on acceptait et on faisait exprès, dans la fiche de poste, d’enlever l’obligation de nationalité européenne, et qu’on permettait à d’autres nationalités de pouvoir être candidats donc d’être recrutés. Ça pose un premier questionnement : pourquoi, pour ce poste et uniquement pour ce poste, il était possible d’avoir des candidats et éventuellement de recruter une personne venue de hors de l’Union ?

Deuxième question c’est pourquoi avoir choisi ce profil ? Je ne critique pas le profil universitaire de madame Scott Morton, mais son profil n’était pas simplement un profil universitaire : elle a travaillé pendant plus de dix ans pour un cabinet de lobbyistes américains, notamment pour des entreprises comme Microsoft ou Apple, et c‘était vraiment le poste sur lequel il ne fallait pas qu’il puisse y avoir de conflit d’intérêt puisque le chef économiste de la Direction de la concurrence à Bruxelles est la personne qui conseille le Directeur de la concurrence sur l’impact que peuvent avoir des entreprises, donc s’il faut limiter leurs pouvoirs, limiter leur capacité d’action, voire les démanteler. Avoir à ce poste-là une lobbyiste posait un problème.

Ensuite se pose la question de la responsabilité de la Commission européenne : est-ce que la Commission peut ne pas prendre l’avis des pays membres, ne pas prendre l’avis du Parlement européen pour prendre ce type de décision ? Juridiquement oui, c’est le cas, elle n’est pas obligée. Il n’empêche que dans les premières réponses de la Commission européenne, le fait que des parlementaires européens demandent des explications auxquelles la Commission ne voulait pas répondre, le fait que des pays européens demandent à la Commission de changer de position et que la Commission réponde « ça ne vous regarde pas, c’est uniquement du ressort de la Commission », pose un problème démocratique.

C’est donc l’ensemble de ces questionnements qui sont soulevés par cette affaire.

Dernier point, un point politique : quel est le rôle et quel est le poids d’un certain nombre de commissaires au sein de la Commission ? On voit très clairement que Margrethe Vestager et Ursula von der Leyen sont aujourd’hui en position de décision permanente et peut-être que Thierry Breton l’est un peu moins que l’on pourrait le souhaiter, du coup la France est moins entendue au sein de l’Union.

Didier Testot : C’est effectivement, peut-être, un sujet de gouvernance concernant la Commission. On pouvait aussi se dire qu’elle était au fait de ces sujets-là, vous avez parlé de lobbying, elle connaît parfaitement ces entreprises et, parfois, certains ont pu dire que c’est important de connaître exactement les entreprises qu’on doit réguler, comme un banquier d’affaires qui régulerait des banques les connaît parfaitement et c’est peut-être plus facile quand on connaît. Mais ce n’était peut-être pas le moment de provoquer ce type de polémique.

Philippe Latombe : Il y avait aussi autre chose. Par souci démocratique et de transparence, elle aurait dû se déporter chaque fois qu’il y aurait eu un sujet sur une entreprise avec laquelle elle avait déjà travaillé. Il y a un certain nombre d’entreprises pour lesquelles, quand elle était membre de l’administration Obama, parce qu’elle a été membre de l’administration Obama il y a quelques années et au département de la justice, elle aurait dû se déporter. Ça veut dire que sur un grand nombre de dossiers et tous ceux qui vont arriver à la Commission par le DSA [1], le DMA [2], parce que la Commission, via le DSA et le DMA, s’est renforcée en termes de compétences, notamment sur la partie concurrence, elle aurait dû se déporter. Ça veut dire qu’on aurait eu une cheffe économiste qui, dans une immense majorité des cas, se serait déportée, n’aurait pas pu donner son avis, donc pourquoi la recruter ?
Oui, peut-être qu’elle connaissait mieux les entreprises. Il y avait la question de sa probité intellectuelle et il y avait la question de son efficacité. On se serait toujours posé la question de savoir si elle aurait dû, ou pas, se déporter. C’est réglé, ça montre tout simplement qu’il faut que nous soyons très vigilants sur la nomination de ces hauts fonctionnaires européens qui ont un pouvoir de plus en plus important.

Didier Testot : On pourrait dire que, de l’autre côté, on n’a vu ni aux États-Unis, ni en Chine de nomination de ce type-là, c’est-à-dire que les Chinois ne nommeraient pas un Américain à la tête d’un poste important et les Américains non plus. L’Europe, de ce point de vue-là de nomination, est assez étonnante, puisque les autres ne font pas cela.
Sur le fond ça veut peut-être aussi dire, et c’est peut-être cela le plus important, Philippe Latombe, qu’il y a beaucoup de sujets sur la souveraineté numérique derrière cette nomination ratée. Il y a les sujets sur le traitement des données, il y avait eu un accord transatlantique et puis un certain nombre de sujets non réglés. Où en est-on sur ce plan-là ? On va parler du concret, là il y a de vrais enjeux de souveraineté pour l’Europe.

Philippe Latombe : Où en est-on ? De façon assez claire la Commission européenne, là aussi contre l’avis du Parlement européen mais avec l’accord de l’immense majorité des pays européens dont la France, je tiens à le dire, a décidé un accord d’adéquation avec les États-Unis.
En gros et de façon très schématique, cela veut dire que la Commission européenne considère que les données personnelles sont traitées de la même façon aux États-Unis qu’en Europe et qu’il y a un niveau de protection des données personnelles qui est identique aux États-Unis et en Europe, donc que les données peuvent circuler librement entre les États-Unis et l’Europe, plus clairement entre l’Europe et les États-Unis. C’est ce qu’on appelle un accord d’adéquation [3]. Il a été rendu public la semaine dernière, il y a 10 jours maintenant, par la Commission européenne. Je tiens à dire, une nouvelle fois, contre l’avis du Parlement qui considérait qu’il n’y avait pas le même niveau de protection des données personnelles entre les États-Unis et l’Europe et contre l’avis du Comité européen de protection des données qui avait demandé des améliorations au projet qui avait été présenté. La Commission n’en a pas tenu compte et a décidé de mettre en place cet accord d’adéquation.
Pour être très clair nous avons tous regardé l’accord. Nous sommes tous à peu près d’accord pour dire que ça ne tiendra pas juridiquement devant la Cour de justice de l’Union. Il faut donc, aujourd’hui, qu’un certain nombre de personnes puissent entamer les procédures juridiques dans leur pays pour pouvoir transférer le dossier à la Cour de justice pour qu’elle puisse l’examiner, éventuellement l’invalider. C’est ce qui s’était déjà passé lors des deux premiers accords d’adéquation, qu’on appelait les fameux arrêts Schrems et Schrems 2 avec le Safe Harbor [4] et le Privacy Shield [5]. Là, il n’y a pas de raison de penser qu’on n’aura pas un Schrems 3. Malheureusement ça prend 18 mois à 24 mois, ça veut dire que c’est long. Pendant cette période-là les entreprises américaines, notamment les grandes plateformes, les GAFAM en règle générale, vont pouvoir asseoir encore un peu plus leur présence économique ce qui posera dans 18 mois, dans 24 mois, un niveau problème. Même si c’est interdit, comme tout le monde aura besoin parce qu’il aura été, j’allais dire, drogué aux produits américains, on aura un souci, c’est-à-dire, de façon effective, comment fait-on pour transférer les données alors qu’on n’a plus d’accord d’adéquation ?
C’est exactement ce qui s’était passé avec le Privacy Shield. La Commission n’a pas tenu compte de ce précédent, a refait la même chose. On voit de façon plus importante, et c’est aussi ce que nous dit l’affaire de Fiona Scott Morton, qu’il y a un entrisme américain fort auprès de la Commission et que la Commission est assez inféodée aux Américains pour des raisons très concrètes de guerre en Ukraine et aussi, très certainement, pour des raisons j’allais dire philosophiques et d’ouverture économique, d’atlantisme économique aussi.

Didier Testot : C’est quand même un sujet majeur. On sait bien, et tout le monde le dit, que ce qui vaut de l’or aujourd’hui ce sont les données, nos données personnelles, à la naissance d’enfant, finalement, toutes les données que ses parents vont mettre ici et là. Si nous en tant que Français d’abord et en tant qu’Européens nous ne sommes pas protégés là-dessus, tout, aujourd’hui, passe par l’électronique et par ces données ! C’est un point majeur. Qu’est-ce qui pourrait faire basculer ou changer à part un changement de Commission qui soit effectivement plus protectrice des Européens ? On se demande ce qui peut changer parce que, en attendant, comme vous le dites, les plateformes continuent à récupérer les données.

Philippe Latombe : Qu’est-ce qui peut changer ? D’abord on peut essayer de s’appuyer sur la Cour de justice de l’Union qui, déjà par deux fois, a invalidé un tel accord. Je ne suis pas devin, je ne vais pas faire de pari, mais l’analyse juridique de l’accord d’adéquation montre que les conditions qui avaient été posées par la Cour de justice dans les accords précédents ne sont pas respectées. Il y a de fortes de chance que la Cour de justice de l’Union confirme sa position et dise donc que cet accord n’est pas valable. C’est un point majeur. La Cour de justice est certainement un recours très important, qui fait peur à la Commission. La Cour de justice a simplement un défaut . elle prend du temps parce qu’il faut d’abord épuiser les procédures nationales avant de pouvoir la saisir, donc ça prend forcément un peu de temps. C’est un premier point : il faut qu’on s’appuie sur la Cour de justice.

Le deuxième, c’est qu’il faut qu’on arrive à avoir une position européenne beaucoup plus claire sur le sujet pour que la Commission soit obligée de respecter cette position. Aujourd’hui, les pays européens sont assez éparpillés sur le sujet. On a des pays qui sont très clairement pro-américains pour des raisons économiques, de leur propre économie, et aussi pour des raisons géopolitiques, c’est notamment le cas des Allemands, c’est notamment le cas des pays de l’Est, parce que la guerre en Ukraine, parce que le gaz russe n’est plus là et qu’il faut trouver des sources d’énergie différentes et les Américains vendent du gaz et ce sont de pays qui exportent beaucoup vers les États-Unis, ils ont donc peur de mesures de rétorsion si jamais on était trop protecteur de nos propres économies.
Et puis il y a un certain nombre de pays qui, aujourd’hui, s’en fichent un peu parce qu’ils ont leurs propres problèmes. Ce n’est pas leur problème principal, ils n’ont pas envie de se mettre à dos les autres pays donc ils sont un peu neutres. Neutres dans ce genre de cas ça veut dire qu’ils n’appuient pas, ils ne soutiennent pas la position que peut être la position française. En gros la position la position française sur la partie souveraineté, ce qu’on appelle l’autonomie stratégique, n’est pas suivie, n’est pas majoritaire et, depuis la présidence française de l’Union, on voit bien qu’il y a une perte d’influence et de poids de la France au sein de l’Union, il va falloir qu’on corrige ça. La seule façon de le corriger, c’est d’abord d’avoir des élections européennes qui se passent bien, dans un an maintenant, qu’on puisse faire une majorité au sein du Parlement européen sur ce sujet. Ça commence à monter auprès des parlementaires européens, je pense qu’on a là une fenêtre de tir importante.
La deuxième c’est, quand on changera la Commission à la suite des élections européennes, qu’on puisse choisir des commissaires, notamment un commissaire français, et qu’on voie avec les pays qui nous soutiennent, par exemple la Belgique, comment on peut avoir des commissaires très ouverts sur le sujet de la souveraineté européenne, qui ne soient pas pro-atlantistes. Ce sera peut-être le critère de recrutement et de choix le plus important.

Didier Testot : Ça va être effectivement essentiel. On disait que les sujets de souveraineté numérique ne manquent pas. Il y en aussi qui sont essentiels pour les entreprises, qu’on connaît bien aussi sur la bourseetlavie.com, ce sont les sujets qui concernent la cybersécurité. Les attaques sont permanentes, on le sait des spécialistes, aujourd’hui ce n’est plus tous les mois, c’est quasiment tous les jours, toutes les secondes que les entreprises subissent des attaques, qu’elles viennent d’Asie ou de l’Est.
De ce point de vue-là, le Cyber Resilience Act [6] est en cours de discussion. Là aussi il y a des enjeux fondamentaux ?

Philippe Latombe : Il y a des enjeux fondamentaux. D’abord le Cyber Resilience Act où en est-il aujourd’hui ? Le Parlement européen devrait voter d’ici la fin de la semaine sur le sujet. Ensuite la phase de trilogue va continuer, très certainement pour que ça soit achevé avant la fin de l’année 2023. Pourquoi ? D’abord parce que la présidence tournante, qui est espagnole en ce moment, a envie que ce sujet-là soit terminé à la fin de sa présidence, donc à la fin du mois de décembre. Et puis, comme on est en élection européenne en 2024, traditionnellement les six premiers mois de l’année de l’élection il ne se passe pas grand-chose, en fait on ne fait pas grand-chose les six premiers mois, on attend les élections et on remet tous les sujets qui n’ont pas été traités dans la mandature d’avant à la mandature d’après. Or, on a besoin de ce Cyber Resilience Act, on devait donc avoir quelque chose, un texte qui aboutira d’ci la fin de l’année.
C’est très important parce que ça définit un certain nombre de choses, notamment ça met quelque chose d’un peu nouveau qui est la responsabilité des failles de sécurité dans un certain nombre de logiciels, ça clarifie les positions sur les failles, ça permet donc de pouvoir espérer les corriger de façon beaucoup plus rapide.

Ça des effets de bord, par contre, pour le logiciel libre [7] et j’en discute beaucoup avec les entreprises françaises du logiciel libre. On va voir comment on peut faire en sorte que le CRA s’applique, mais s’applique au bon endroit de la chaîne de valeur du logiciel libre, c’est-à-dire pas forcement à la création intellectuelle, donc là où les contributeurs font du code, mais plutôt, si jamais il y a des éditeurs, ce seraient plutôt les éditeurs qui seraient soumis au CRA. Ce serait beaucoup plus logique et cela permettrait de conserver la filière du logiciel libre et sa richesse parce que, sans le logiciel libre, on aura une perte de souveraineté.
Je suis intimement convaincu que la souveraineté est liée au logiciel libre, à la capacité d’innovation, à cette capacité de plusieurs personnes de s’associer pour discuter d’une même sujet pour pouvoir faire le meilleur code possible. Le logiciel libre est une source de souveraineté parce que ça permet aussi de trouver des alternatives à des logiciels d’éditeurs qui seraient majoritaires que si jamais on n’a plus, ça permettrait à des entreprises de pouvoir continuer à fonctionner.
On va regarder avec les entreprises, on va regarder avec le gouvernement qui est ouvert sur le sujet, comment on peut influer sur le CRA pour le rendre le plus efficace possible.

Maintenant il faut qu’on soit clairs, on va être aussi, en 2024, avec les Jeux olympiques. Avec les Jeux olympiques on sait qu’on a une explosion des attaques, c’est généralement multiplié par 10 par rapport aux Jeux olympiques précédents où le nombre d’attaques était déjà très important. Là on va avoir des attaques qui vont se compter en milliards par jour. Elles ne seront pas toutes efficaces, mais il va falloir qu’on hausse le niveau de jeu très fortement pour pouvoir les contrer au maximum et éviter les problèmes, sachant que le contexte économique et le contexte géopolitique, si la guerre en Ukraine continue à ce moment-là, feront que la France sera très certainement une très belle cible pour des activistes notamment russes. On a de vraies inquiétudes sur le sujet, il faut donc absolument qu’on ait le CRA et, globalement, il faut qu’on hausse notre niveau de protection cyber. C’est quelque chose qui touche à la fois les particuliers, les entreprises qui ont commencé à comprendre qu’elles avaient une vraie faille, une vraie faiblesse, mais surtout nos administrations, je pense notamment à la santé parce qu’une attaque coordonnée sur des hôpitaux serait quelque chose de dramatique. Il faut donc absolument qu’on ait le maximum de protection de nos hôpitaux.

Didier Testot : C’est effectivement un enjeu majeur aujourd’hui. Vous parliez du logiciel libre, on a un vrai écosystème français donc autant le pousser, le mettre en avant.
Merci beaucoup, Philippe Latombe, d’avoir fait aujourd’hui le point avec nous sur tous ces sujets de souveraineté numérique. On l’a vu ensemble, on est en plein cœur et aujourd’hui rien n’est acquis, il faut continuer à se mobiliser.

Philippe Latombe : Grande vigilance. C’est vrai que les projets ne manquent pas, DSA, DMA, tout cela vient de l’Union européenne, on a à les décliner en France, on a surtout à faire en sorte que l’Union européenne joue vraiment le jeu de l’union et protège nos concitoyens européens dont les Français. Je serai vigilant, je pense que de plus en plus de personnes le sont et l’affaire de Fiona Scott Morton montre qu’il y a la capacité de se réunir et c’est vraiment le point positif que je souhaite mettre en avant aujourd’hui.

Didier Testot : Merci à vous et je vous dis à bientôt.

Philippe Latombe : Merci.