CRCANR5L17S2025PO867384N020

— 1 —

La séance est ouverte à dix heures cinq.

La commission auditionne, à huis clos, Mme Marie-Laure Denis, présidente de la Commission nationale de l’informatique et des libertés (CNIL), M. Mathias Moulin, secrétaire général adjoint, et Mme Chirine Berrichi, conseillère pour les questions parlementaires et institutionnelles.

M. le président Arthur Delaporte. Nous recevons, à huis clos, les représentants de la Commission nationale de l’informatique et des libertés (Cnil) : Mme Marie-Laure Denis, présidente, M. Mathias Moulin, secrétaire général adjoint et Mme Chirine Berrichi, conseillère pour les questions parlementaires et institutionnelles.

Je vous remercie de nous déclarer tout intérêt public ou privé de nature à influencer vos déclarations. Je rappelle également que l’article 6 de l’ordonnance du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires impose aux personnes auditionnées par une commission d’enquête de prêter serment de dire la vérité, toute la vérité, rien que la vérité.

(Mme Marie-Laure Denis, M. Mathias Moulin et Mme Chirine Berrichi prêtent successivement serment.)

Mme Marie-Laure Denis, présidente de la Cnil. Je n’ai aucun intérêt susceptible d’influencer ma position sur TikTok à déclarer. Je vous remercie de l’attention que votre commission d’enquête prête à l’action de la Cnil.

De nombreux travaux, y compris parlementaires, mettent en avant la collecte massive de données opérée par TikTok, l’opacité des algorithmes utilisés mais aussi des enjeux de santé publique, parmi lesquels les effets psychologiques, surtout chez les jeunes, de la captation de l’attention et de la mise en avant de contenus dangereux, le temps excessif passé sur l’application ainsi que l’insuffisance du contrôle de l’âge des utilisateurs. Il semblerait que 45 % des Français de 11 à 12 ans soient inscrits sur TikTok, dans lequel ils voient un outil de socialisation.

La Cnil n’a pas d’expertise en matière psychologique mais ses missions de régulateur horizontal de la donnée lui permettent d’appréhender le fonctionnement de ce réseau social et de définir les modalités d’une régulation protectrice de l’espace numérique.

Je commencerai par le fonctionnement de TikTok que vous connaissez très bien. Le point de départ de la réflexion de la Cnil est la collecte massive de données personnelles, lesquelles sont ensuite combinées et se voient appliquer un algorithme aux fins de proposer en temps réel des contenus et des publicités personnalisés. La particularité de TikTok par rapport aux autres réseaux sociaux tient au flux continu de contenus, couplé à une analyse en temps réel des réactions de l’utilisateur. En combinant les données, qui font l’objet d’une catégorisation par TikTok – temps passé, partage, likes –, le réseau social peut déduire ce à quoi l’utilisateur est sensible, voire son état émotionnel.

Par ailleurs, contrairement à d’autres types d’application, sur TikTok la communication avec l’autre est secondaire. Les adolescents que nous avons rencontrés sur le terrain font état d’une consommation essentiellement unilatérale du contenu de TikTok, qui est notamment à l’origine du succès de TikTok Shop, concept inconnu des autres plateformes. TikTok mêle les caractéristiques traditionnelles de la télévision – un flux continu unilatéral qu’on ne contrôle pas – et les caractéristiques des médias les plus contemporains – un algorithme dont l’objectif est de maintenir le plus longtemps possible les utilisateurs sur la plateforme.

L’algorithme se nourrit des données liées à la création du compte, de toutes les interactions avec l’application et des centres d’intérêt renseignés par les personnes ainsi que des achats, informations de paiement et d’expédition.

Pour procéder au traitement de ces données, la plateforme invoque différentes bases légales telles que le consentement pour les traceurs, la nécessité contractuelle pour la gestion des comptes ou encore l’intérêt légitime pour améliorer l’expérience utilisateur. L’algorithme vise à favoriser la viralité. Les ressources de TikTok proviennent essentiellement de la publicité et, dans une moindre mesure, des achats. Le modèle économique repose donc sur l’exploitation des données personnelles des utilisateurs.

Quels sont les risques ? D’une manière générale, le ciblage algorithmique et le profilage intensif permettent de déduire les intérêts, les préférences ou les caractéristiques personnelles des jeunes, ce qui pose la question du contrôle des personnes sur leurs données personnelles. À cela s’ajoute le fait que les algorithmes favorisent l’enfermement des jeunes dans une bulle de filtre, ayant pour effet de renforcer leurs opinions et limiter l’accès à la diversité des idées, ce qui peut contribuer à leur isolement et à leur radicalisation.

Ensuite, c’est la raison d’être de votre commission, les jeunes sont un public vulnérable – le considérant 75 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE dit règlement général sur la protection des données (RGPD) le reconnaît ; ils sont plus susceptibles d’être influencés par le fonctionnement des algorithmes et des contenus proposés.

Je mentionne l’exemple récent de l’utilisation détournée de TikTok au profit du candidat pro-russe lors de l’élection présidentielle roumaine, qui a conduit la Cour constitutionnelle à annuler le premier tour de scrutin.

En outre, la vitesse d’adaptation de l’algorithme de TikTok est un facteur de maximisation de la capacité d’influence. Une étude menée par le Wall Street Journal en 2021 met en évidence la réactivité de l’algorithme pour prendre en compte une modification d’usage. Dès que ma pratique révèle mon intérêt pour un nouveau thème, dans un laps de temps très court, on me propose des contenus correspondant à celui-ci, au détriment des contenus qui m’intéressaient jusqu’alors.

Cela peut créer une spirale infernale – ce que la littérature scientifique appelle le rabbit hole effect – et pousser des personnes à des tentatives de suicide, des scarifications, des comportements anorexiques.

Un rapport, publié en 2022 par le Center for Countering Digital Hate, une ONG anglo-saxonne, révélait qu’il fallait moins de dix minutes en moyenne pour que TikTok propose des contenus relatifs au suicide ou à des troubles du comportement alimentaire.

La France n’est pas épargnée par cette réalité : vous le connaissez certainement, le collectif Algos Victima regroupe des familles ayant lancé une action en justice contre TikTok qu’elles accusent d’être responsable de la dégradation de la santé d’adolescents.

Quels sont les moyens d’action dont dispose la Cnil pour réguler TikTok ?

Il faut reconnaître que la Cnil n’a qu’une compétence limitée au titre de la législation sur la protection des données à caractère personnel. Elle est compétente sur le fondement du RGPD et de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, dite directive ePrivacy, qui lui permet de réguler tout ce qui concerne les cookies et les traceurs publicitaires. La Cnil n’est donc pas compétente pour faire respecter la réglementation relative à la régulation des contenus, qui relève de l’Arcom (Autorité de régulation de la communication audiovisuelle et numérique), ni celle sur les pratiques commerciales, qui relève de la DGCCRF (direction générale de la concurrence, de la consommation et de la répression des fraudes).

S’agissant de la compétence de la Cnil en matière de protection des données, il faut distinguer la situation avant et après juillet 2020. Depuis juillet 2020, TikTok dispose d’un établissement principal en Europe. Attiré par le climat irlandais, il a implanté celui-ci à Dublin, en conséquence de quoi c’est l’autorité de protection des données irlandaises – la Data Protection Commission (DPC) – qui est compétente, en application du système de guichet unique prévu par le RGPD. Cela ne veut pas dire pour autant que la Cnil ne fait pas valoir son point de vue auprès de la DPC et qu’elle ne lui transmet pas des plaintes. Les décisions de la Cnil irlandaise font l’objet d’une analyse de la part de ses homologues, qui peuvent in fine la contraindre à modifier, le cas échéant, sa position.

À compter de mai 2020, la Cnil avait mené plusieurs contrôles, dont elle a dû transférer le fruit à la DPC. En septembre 2021, la DPC a lancé deux enquêtes distinctes : une première sur le respect par TikTok de ses obligations d’information et de protection par défaut des données des mineurs ; une seconde sur le transfert des données hors Union européenne. La première procédure a abouti, en septembre 2023, à une amende de 345 millions d’euros. La seconde a très récemment donné lieu à une amende de 530 millions d’euros.

Depuis juillet 2020, la Cnil ne prend plus directement de décisions sur d’éventuels manquements au RGPD de la part de TikTok. Lorsqu’elle reçoit des plaintes, elle procède à des vérifications de conformité : elle adresse ainsi en première intention un courrier à TikTok dans le cadre d’une procédure d’instruction préliminaire. Nous sommes convenus de fonctionner ainsi avec le régulateur irlandais, dans le but de donner une réponse plus rapide, le mécanisme du guichet unique prenant plus de temps.

Si, à l’issue de cet échange préliminaire avec TikTok, la Cnil constate que le responsable de traitement s’est conformé au RGPD – par exemple, TikTok nous apporte une preuve de l’effacement des données de telle ou telle personne qui nous a saisis en ce sens –, la réclamation n’a plus lieu d’être transmise à notre homologue irlandais.

Depuis la création du réseau social, la Cnil a reçu environ 150 plaintes, dont la très grande majorité porte sur des demandes d’effacement de comptes, de contenus ou de commentaires. Huit plaintes sont en cours d’instruction et une seule d’entre elles concerne les données d’un mineur.

À défaut de pouvoir directement faire appliquer le RGPD, la Cnil veille au respect des obligations de la directive ePrivacy. Elle a mené des investigations en ce sens, qui concernaient tous les Gafam, au terme desquelles elle a constaté que les internautes n’avaient pas la possibilité de refuser les cookies publicitaires aussi facilement qu’ils pouvaient les accepter. TikTok s’est mis en conformité et a été sanctionné d’une amende de 5 millions d’euros à l’issue de la procédure, qui visait le site internet et non l’application puisqu’à l’époque, la régulation sur les cookies concernait la navigation sur internet. Aujourd’hui, nous avons lancé une autre phase de la régulation, qui concerne les applications mobiles.

Je veux souligner que l’action du régulateur ne doit pas se limiter à des procédures répressives. C’est la raison pour laquelle la Cnil développe, depuis plus de douze ans, un programme ambitieux d’éducation numérique et de protection des mineurs en ligne, notamment pour prévenir les risques sur les réseaux sociaux. Cette mission fait partie des chantiers prioritaires qui ont été définis dans le plan stratégique 2025-2028.

La Cnil a noué des partenariats avec la communauté éducative, les associations, les collectivités locales et les médias. Ensemble, nous sensibilisons non seulement les enfants mais aussi les parents et les professionnels aux risques du numérique. Nous sommes convaincus que l’éducation numérique doit commencer dès le plus jeune âge. C’est dans cet esprit que la Cnil a créé, en 2013, le collectif Educnum, qui rassemble une soixantaine d’acteurs engagés dans l’éducation à la citoyenneté numérique.

Entre 2022 et 2023, la Cnil a mené plus de 120 actions pédagogiques dans neuf régions métropolitaines, notamment dans des classes allant du CM2 à l’enseignement supérieur. Nous avons produit de nombreuses ressources à destination des 8-10 ans en 2022 et des 11-15 ans en 2024. Nous concevons actuellement une application mobile, dénommée FantomApp, pensée par et pour les adolescents afin de les aider à mieux protéger leur vie privée en ligne. Cette application, en partie financée par des fonds européens, comprendra, parmi ses fonctionnalités, des liens vers des formulaires d’exercice des droits que les mineurs détiennent sur leurs données sur les principaux réseaux sociaux. Elle contiendra également des ressources pour obtenir de l’aide, par exemple auprès de l’association e-Enfance, ainsi que des outils concrets pour sécuriser ses comptes en ligne. Elle sera disponible dans les principaux magasins d’applications à la fin de cette année.

La Cnil s’assure de l’adéquation entre ses productions et les besoins des jeunes. En 2024, nous avons ainsi conduit une enquête intitulée « Numérique adolescent et vie privée » auprès de collégiens et de leurs parents pour connaître les usages des jeunes et identifier les risques. Votre commission a eu l’occasion d’auditionner les deux agents de la Cnil, Mme Jennifer Elbaz et M. Mehdi Arfaoui qui ont mené cette enquête. Je ne reviendrai pas sur leurs constats, si ce n’est pour souligner que les adolescents comprennent de mieux en mieux le fonctionnement des algorithmes mais n’ont pas encore conscience de tous les risques. Leur appropriation du numérique évolue par étapes. Si TikTok est souvent stigmatisé, quitter une telle plateforme représente visiblement pour eux un coût social élevé. Deux tiers des utilisateurs que nous avons interrogés se sentent piégés par l’application et préféreraient utiliser d’autres plateformes, mais ils manquent souvent d’un accompagnement pour sauter le pas.

J’en viens à la régulation des plateformes, qui nécessite de mobiliser plusieurs régulateurs au plan national et d’activer des procédures au plan européen.

La vérification de l’âge en ligne illustre la mise en œuvre d’une régulation efficace par le biais d’une approche coordonnée entre la Cnil et l’Arcom. En ce qui concerne TikTok, la mention de l’âge est purement déclarative. Plusieurs mesures y sont attachées : le blocage de l’utilisateur s’il renseigne un âge inférieur à 13 ans, un système d’alerte pour signaler qu’un utilisateur aurait moins de 13 ans, l’identification d’un usager de moins de 13 ans par l’analyse de son profil. Mais ces mesures restent insuffisantes à l’épreuve de la réalité – nos échanges sur le terrain le montrent, un grand nombre de mineurs de moins de 13 ans utilisent l’application.

Il n’existe pas de consensus sur les solutions pour contrôler l’âge sur les plateformes mais plusieurs moyens techniques sont disponibles, dont certains sont compatibles avec la protection des données personnelles des utilisateurs – ce point est important pour la Cnil : il ne s’agit pas de communiquer les cartes d’identité des jeunes voire de leurs parents à un réseau social. C’est bien l’Arcom qui a une compétence directe en la matière, le rôle de la Cnil se limitant à vérifier que les solutions de contrôle de l’âge utilisées par les sites respectent le RGPD. C’est ainsi que dans le cadre de la loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l'espace numérique, dite Sren, la Cnil a apporté son expertise à l’Arcom en vue d’élaborer le référentiel technique encadrant les systèmes de vérification de l’âge. Une part importante des préconisations qu’elle a formulées ont été reprises dans le référentiel, parmi lesquelles le recours à un tiers vérificateur indépendant pour protéger les données personnelles et une solution dite de double anonymat imposée aux sites concernés. Ce référentiel ne s’applique qu’aux sites à caractère pornographique et ne concerne pas les réseaux sociaux. La Cnil a mis beaucoup d’elle-même pour chercher à concilier protection de la vie privée et protection des mineurs.

Cette solution associant tiers vérificateur et double anonymat pourrait utilement être dupliquée pour l’accès aux réseaux sociaux et ainsi venir compléter le contrôle parental et l’éducation au numérique.

Une autre solution devrait venir de la révision du règlement relatif à l’identité numérique et les services de confiance (eIdas). Le portefeuille européen d’identité numérique devrait permettre de répondre au défi du contrôle de l’âge en ligne mais son déploiement massif ne devrait intervenir qu’à la fin de l’année prochaine.

Dans cette attente, le règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE dit Digital services act (DSA) offre de nouveaux outils de régulation, qui permettent d’imposer des obligations inédites aux plateformes. L’article 28 leur enjoint ainsi de prendre des mesures appropriées et proportionnées pour garantir un niveau élevé de protection des mineurs.

Le 25 avril 2023, la Commission européenne a désigné TikTok comme une très grande plateforme au sens de l’article 33 du DSA. Cette qualification a pour conséquence notamment l’interdiction de la publicité ciblée sur le profilage des données personnelles des mineurs. La loi Sren, qui a adapté le droit français au DSA, a confié de nouvelles missions à la Cnil, parmi lesquelles le fait de veiller au respect de cette interdiction.

D’une manière générale, l’effectivité du nouveau dispositif repose nécessairement sur une articulation efficace entre les autorités compétentes, l’Arcom pour les contenus, la DGCCRF pour la protection des consommateurs et la Cnil pour l’exploitation des données et le ciblage. À cette fin, les trois institutions ont signé, en juin 2024, une convention qui prévoit le partage d’informations, une coopération aux enquêtes et au traitement des plaintes ainsi qu’une mutualisation des expertises.

Parallèlement, en vue de l’application de l’article 28 du DSA, la Commission européenne a récemment mis en consultation des lignes directrices, qui composent un cadre destiné à guider les plateformes dans leur mise en œuvre concrète de la protection des mineurs. La vérification de l’âge est ainsi exigée pour l’accès aux contenus les plus préjudiciables, en distinguant les plateformes à hauts risques et celles à risques modérés. Toutefois, à ce stade, nous regrettons que les lignes directrices de la Commission européenne soient moins protectrices que le référentiel de l’Arcom.

Enfin, en 2024, la Commission européenne a engagé des procédures à l’encontre de TikTok et Meta en raison de leur action insuffisante pour protéger les mineurs. Elle enquête sur la conception d’interfaces exploitant les faiblesses des mineurs et stimulant des comportements addictifs ainsi que sur les outils de vérification de l’âge. Nul doute que la décision finale aura des effets structurants.

Je conclurai par un mot sur les conséquences que pourrait avoir sur TikTok le règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle (RIA), en lui imposant des obligations strictes de transparence, de sécurité et de responsabilité sur l’usage des algorithmes et des outils d’intelligence artificielle (IA), notamment ceux qui influencent le comportement des utilisateurs. À cet égard, le RIA interdit la mise sur le marché ou l’utilisation d’une IA reposant sur des techniques subliminales ou manipulatrices, qui altèrent le comportement ou la capacité de décision. Le RIA proscrit également l’utilisation d’une IA exploitant les vulnérabilités liées à l’âge, au handicap ou à la situation sociale. Donc, concrètement, TikTok devra évaluer et maîtriser les risques liés à ses systèmes d’intelligence artificielle, en particulier ceux générant des effets addictifs ou portant atteinte à la santé mentale des jeunes. TikTok devra également démontrer que ses algorithmes ne manipulent pas indûment les utilisateurs et ne favorisent pas la désinformation ni la discrimination.

Le cadre européen fournit des outils de régulation adaptés à TikTok, à condition d’assurer une mise en œuvre cohérente et une coordination efficace entre les autorités. C’est le cas, me semble-t-il, pour le RGPD, comme pour le DSA et le RIA.

Mme Laure Miller, rapporteure. Quelle part avez-vous prise à l’élaboration des lignes directrices ? La Cnil a-t-elle pu ou pourra-t-elle apporter sa contribution ? Pouvez-vous préciser votre appréciation sur leur moindre ambition en comparaison du référentiel de l’Arcom ?

Pouvez-vous également nous présenter de manière plus détaillée le projet d’identité numérique européenne ? Là encore, avez-vous été consultés ?

Mme Marie-Laure Denis. S’agissant de l’élaboration des lignes directrices de la Commission européenne, avant de vous répondre, je préfère vérifier si la Cnil y a contribué et de quelle manière. Le comité européen de la protection des données (CEPD), qui réunit l’ensemble des Cnil européennes, va rendre un avis sur ces lignes directrices.

Nous considérons qu’elles sont moins satisfaisantes que le référentiel de l’Arcom car elles ne retiennent ni le tiers vérificateur indépendant, qui, de notre point de vue, permet vraiment de concilier protection des données et protection des mineurs et de garantir un contrôle de l’âge efficace, ni le double anonymat.

Quant à l’identité numérique, je fonde des espoirs sur cette solution. Nous sommes très impliqués dans les travaux menés au niveau européen, qui sont assez complexes, assez techniques. À la faveur de la révision du règlement eIdas, l’idée est de créer un portefeuille numérique, ou wallet, qui présente le grand avantage de pouvoir décliner votre identité de façon sélective. C’est ce que l’on appelle les attributs : je peux prouver mon âge sans avoir à donner mon identité ; pour bénéficier d’une réduction à la piscine de ma commune, je peux prouver que j’y réside sans avoir à dire mon nom ni mon âge. Ce dispositif, très protecteur de la vie privée, apparaît comme une solution prometteuse et robuste pour contrôler l’âge.

La France fait partie des trois pays que la Commission européenne a désignés pour expérimenter, dès la fin de ce semestre, le portefeuille numérique.

Mme Laure Miller, rapporteure. Quel regard portez-vous sur l’exploitation des données personnelles des utilisateurs par TikTok ? Y a-t-il une singularité par rapport aux autres réseaux sociaux ?

Pouvez-vous en dire davantage sur les 150 plaintes que vous avez reçues l’année dernière, si j’ai bien compris ? Ce chiffre a-t-il évolué ? Quels sont les motifs des plaintes ? Les mineurs en sont-ils souvent l’objet, ou seulement de manière marginale ?

Mme Marie-Laure Denis. De mon point de vue, la singularité de TikTok réside dans le déroulement continu d’un flux de contenus que les utilisateurs ingèrent passivement, à tel point que la plateforme donne l’impression de ne pas vraiment être un réseau social. Sur d’autres réseaux, la communication avec des tiers a davantage d’importance. TikTok propose aussi des fonctionnalités qui n’existent pas ailleurs, comme TikTok Shop ou TikTok Lite. Enfin, son algorithme semble être d’une efficacité redoutable.

La Cnil a reçu 150 plaintes visant TikTok depuis la création de ce dernier. Les plaintes qui sont en cours d’instruction par nos services sont de deux types.

Les premières, au nombre de vingt-cinq, proviennent de sociétés qui contestent des transferts de données vers la Chine. L’outil TikTok Analytics, en particulier, engendrerait des transferts de données à caractère personnel en dehors de l’Union européenne, notamment vers la Chine, la Malaisie, les États-Unis, Singapour, le Brésil ou encore l’Australie. La DPC, notre homologue irlandaise, vient de prononcer une sanction à l’encontre de TikTok pour ce motif, assortie de l’injonction de se mettre en conformité avec le RGPD dans un délai de six mois.

Les plaintes de la seconde catégorie, au nombre de huit, portent sur des demandes d’effacement de comptes ou de contenus. Certains utilisateurs souhaitent revenir sur leur décision de diffuser des contenus qui les concernent ou qui concernent des proches ; ils ont perdu leur identifiant et n’arrivent pas à les effacer.

D’autres utilisateurs s’aperçoivent que des contenus dans lesquels leur image apparaît sont diffusés sans leur consentement afin de leur porter préjudice.

En première intention, les services de la Cnil adressent généralement un courrier à TikTok pour effectuer des vérifications préliminaires et préparer les dossiers en vue d’un éventuel transfert à l’autorité de contrôle cheffe de file, notre homologue en Irlande. Dans certains cas, cela permet de répondre plus rapidement aux plaignants. Nous transmettons la majorité des plaintes à la DPC.

Mme Laure Miller, rapporteure. Avez-vous un interlocuteur dédié chez TikTok, avec lequel vous pouvez parler de ces plaintes ?

M. Mathias Moulin, secrétaire général adjoint de la Cnil. Nous sommes convenus avec l’autorité irlandaise de la procédure qui vient d’être décrite, appelée preliminary vetting, pour travailler en circuit court. Avec Google cette procédure fonctionne très bien.

M. le président Arthur Delaporte. Ce point de contact est-il une adresse e-mail ou une personne identifiée ?

M. Mathias Moulin. C’est une adresse e-mail, sauf erreur de ma part.

M. le président Arthur Delaporte. Vous n’avez donc pas d’échanges de vive voix avec des responsables de TikTok ?

M. Mathias Moulin. Notre présidente s’est rendue en Irlande récemment, mais TikTok ne fait pas partie des interlocuteurs avec lesquels nous avons un dialogue régulier, me semble-t-il.

Mme Marie-Laure Denis. J’ai rencontré le directeur juridique monde et le responsable France de TikTok en mars 2023, de mémoire, à leur demande.

M. Mathias Moulin. Il s’agissait d’une première rencontre assez protocolaire durant laquelle TikTok a exposé sa stratégie de façon générique et globale, étant entendu que nous ne sommes pas son autorité de régulation au quotidien. Pour le reste, nos services n’ont pas d’échanges réguliers et structurés avec lui, y compris dans le cadre de l’instruction des dossiers, car, une fois encore, nous ne sommes pas son autorité référente et compétente.

Nous partageons avec d’autres acteurs le souhait de rendre le preliminary vetting plus efficace. Nous en parlerons avec notre homologue irlandais lors de la réunion du CEPD du 3 juin. L’objectif est de faire davantage pression sur les sites, a fortiori sur TikTok, afin que le circuit court fonctionne mieux.

Quant aux mineurs, ils nous sollicitent assez peu : il ne leur paraît pas naturel de déposer une plainte auprès de la Cnil. C’est la raison pour laquelle nous avons souhaité développer l’outil FantomApp. Les jeunes y trouveront des liens pour exercer leurs droits auprès de TikTok, contacter l’association e-Enfance en cas d’urgence et porter plainte auprès de nos services ; ils auront accès à une procédure simplifiée de demande de retrait de contenus. Cet outil répondra donc à leurs besoins.

Mme Marie-Laure Denis. Je serais étonnée que nous n’ayons pas un interlocuteur chez TikTok. Lorsque nous avons élaboré la charte Studer avec l’Arcom, nous avons voulu pouvoir agir rapidement auprès des plateformes et il me semble que nous avons des interlocuteurs auprès de chacune ; TikTok doit en faire partie, mais je ne peux pas l’affirmer.

Je précise que j’ai rencontré TikTok et Google à Dublin il y a quelques semaines, avec le président de l’Arcom, dans le sillage d’un voyage de la ministre chargée du numérique et de l’intelligence artificielle ; nous avons abordé la question du contrôle de l’âge des utilisateurs.

La Cnil contribue activement, avec le CEPD – la Cnil des institutions européennes – à l’élaboration de lignes directrices sur la protection des données des enfants. Ces lignes directrices abordent certains points clés relatifs au traitement des données sur les plateformes et sur internet : identification des responsables qui traitent les données de mineurs – qui doivent appliquer une protection adéquate –, vérification de l’âge, contrôle parental, exercice des droits, en particulier du droit à l’effacement.

Mme Anne Genetet (EPR). Pourquoi n’obtenez-vous presque jamais de réponse de TikTok ? Quelles mesures faudrait-il prendre pour le contraindre à répondre ?

S’agissant de la vérification de l’âge, je comprends qu’il faille préserver la vie privée, mais la protection des mineurs ne nécessite-t-elle pas des mesures particulières ? Le portefeuille d’identité numérique européen ne sera pas développé avant 2026, et nous risquons d’attendre très longtemps les outils prévus par la Commission européenne. Pourquoi n’utiliserions-nous pas l’application France Identité, qui fonctionne très bien ?

Mme Marie-Laure Denis. De fait, TikTok traite avec la DPC.

Nous entretenons avec cette dernière des relations beaucoup plus constructives que lorsque le RGPD est entré en vigueur. Nous sommes convenus d’une procédure informelle de bon sens : si TikTok nous répond et que nous pouvons résoudre une demande d’effacement de contenu, tant mieux, cela évite de remonter le problème à la DPC. Ce fonctionnement est toutefois informel, et TikTok n’est pas tenu de nous répondre. Nous n’avons aucun moyen de le contraindre, même si nous coopérons avec la DPC.

Mme Anne Genetet (EPR). Vous avez signalé que cette procédure fonctionnait bien avec d’autres opérateurs comme Google, vis-à-vis desquels la Cnil n’est pas non plus compétente. Comment expliquer cette différence de comportement ?

Mme Marie-Laure Denis. Je vous confirme que Google nous répond.

Mme Anne Genetet (EPR). Un élément de droit – la menace d’être considéré comme un éditeur, par exemple – explique-t-il que Google soit vigilant et réagisse différemment ?

Mme Marie-Laure Denis. La Cnil a des relations anciennes avec Google, notamment au sujet du droit à l’oubli ; nous avons eu des actions très volontaristes à son égard, et des décisions de justice sont venues cadrer les choses.

M. Mathias Moulin. La procédure de preliminary vetting, c'est-à-dire la possibilité de contacter un opérateur qui relève de l’autorité irlandaise sans passer par cette dernière, est informelle. Elle nous a paru souhaitable pour les mineurs et pour les cas les plus simples, qui demandent d’agir vite et qui ne nécessitent pas une analyse juridique ou des investigations particulières. Le canal direct que nous ouvrons avec les réseaux sociaux et les grandes plateformes est de l’ordre de la convention, du gentlemen’s agreement. Si un acteur refuse de nous répondre et nous renvoie à l’autorité irlandaise en vertu du mécanisme du guichet unique, nous n’avons pas le choix. Il se trouve que ce gentlemen’s agreement fonctionne plutôt bien avec Google, avec lequel nous avons des relations historiques, ainsi qu’avec Microsoft. TikTok nous fait entrer dans un cadre formel, avec des procédures plus longues. Les leviers dont nous disposons dépendent alors de notre relation avec la DPC.

Mme Marie-Laure Denis. On peut en tout cas constater que les plateformes ont des stratégies relationnelles différentes vis-à-vis du régulateur français.

J’en viens à France Identité. Jusqu'à présent, la Cnil et l’Arcom ont abordé le contrôle de l’âge sous l’angle de l’accès aux sites pornographiques, et non de l’accès aux réseaux sociaux. Or je ne suis pas sûre que les personnes qui se connectent à des sites pornographiques aient très envie de passer par un site officiel du gouvernement français comme France Identité, estampillé bleu blanc rouge ; un frein psychologique entre en ligne de compte.

À cela s’ajoutent des questions techniques. Je ne suis pas certaine que France Identité puisse gérer de façon fine et sélective les différents attributs de l’identité – âge, nom, domicile, etc. –, comme le fait le portefeuille européen. N’étant pas experte, je me garderai de l’affirmer. Je pourrai en revanche vous transmettre des éléments sur le sujet, si vous le souhaitez.

Il me semble aussi que si nous voulions contrôler l’âge des utilisateurs grâce à France Identité, TikTok devrait développer une API (interface de programmation d’application) pour le partage des données, ce qui serait assez complexe. Il doit y avoir de bonnes raisons à ce que cela n’ait pas été mis en place. Quoi qu’il en soit, la direction interministérielle du numérique (Dinum) ou France Identité – voire les deux, c’est à vérifier – vont déployer l’EU mini wallet dans le cadre de l’expérimentation qui aura lieu en France, et bénéficieront d’un accompagnement à cette fin. Un prototype est attendu fin juin.

M. le président Arthur Delaporte. L’article 28 du DSA impose aux fournisseurs de plateformes en ligne accessibles aux mineurs de mettre en place des mesures appropriées et proportionnées pour garantir un niveau élevé de protection de la vie privée, de sûreté et de sécurité des mineurs sur leur service. Nous avons beaucoup parlé de la limite d’âge de 13 ans, mais comment les plateformes contrôlent-elles la minorité de leurs utilisateurs ?

M. Mathias Moulin. TikTok analyse certains paramètres des comptes pour identifier les utilisateurs susceptibles d’avoir moins de 13 ans, et se fonde sur des éléments déclaratifs. Cependant, la base légale de l’inscription à un réseau social reste le contrat. Le droit français prévoit qu’un mineur n’a pas besoin de l’accord de ses parents pour accomplir les actes de la vie courante – acheter une baguette de pain par exemple – mais qu’il doit l’obtenir pour les autres actes. Il reste à savoir si la souscription contractuelle à un réseau social relève de la vie courante, et quels outils de contrôle parental peuvent être appliqués.

Nous ne sommes pas compétents pour interpréter le contrat par lequel les utilisateurs souscrivent à TikTok ; en revanche, nous pouvons lui demander de minimiser les données collectées pour vérifier l’âge et de respecter le double anonymat. Si un opérateur de réseau social veut instaurer un dispositif de contrôle de l’âge – qu’il fixe la limite à 13 ou 15 ans – reposant sur le double anonymat, cela ne nous pose pas de difficulté. Une solution conjuguant le contrôle parental et le contrôle de l’âge, dans le respect du double anonymat, serait parfaitement légitime, puisqu’elle minimiserait les données. Nous passerions d’un enjeu de protection des données à un enjeu contractuel reposant sur l’opérateur, celui-ci ayant la légitimité d’appliquer un tel dispositif.

Mme Anne Genetet (EPR). Deux amendes ont été infligées à TikTok en 2023 et 2025 pour des faits passés. Cela signifie-t-il que nous pourrions mettre TikTok à l’amende chaque année pour les mêmes motifs s’il ne réagit pas ?

Mme Marie-Laure Denis. Si TikTok ne remédiait pas aux manquements qui sont sanctionnés par ces amendes, oui. La seconde amende, relative à des transferts de données vers la Chine, vient d’intervenir ; TikTok a six mois pour montrer à notre homologue irlandais qu’il s’est mis en conformité. La Cnil a pris une part très importante dans la transmission des plaintes et a beaucoup échangé avec la DPC. Les premières années suivant l’entrée en vigueur du RGPD, il a fallu contraindre cette dernière à réguler TikTok, entre autres, et à prononcer des amendes significatives. Depuis, l’autorité irlandaise est beaucoup plus constructive.

Mme Anne Genetet (EPR). Qu’adviendra-t-il si TikTok ne se soumet pas à l’injonction de la DPC de se mettre en conformité avec le RGPD ?

Mme Marie-Laure Denis. De nouveaux contrôles peuvent intervenir, donnant lieu à de nouvelles sanctions. Les amendes qui ont été infligées à TikTok ne sont pas négligeables ; la preuve en est que les sanctions récemment prononcées par la Commission européenne contre deux Gafam sont inférieures aux deux amendes additionnées de TikTok. Les autorités de régulation européennes ont infligé des milliards d’euros d’amende depuis la mise en œuvre du RGPD ; à l’échelle de la France, la Cnil n’est pas en reste. Les injonctions faites aux plateformes de se mettre en conformité avec le RGPD importent encore davantage.

M. le président Arthur Delaporte. Nous vous remercions.

Puis la commission auditionne M. Gilles Babinet, coprésident du Conseil national du numérique, et M. Jean Cattan, secrétaire général.

M. le président Arthur Delaporte. Je vous remercie de nous déclarer tout intérêt public ou privé de nature à potentiellement influencer vos déclarations. Je vous rappelle également que cette séance est retransmise en direct sur le site internet de l’Assemblée nationale. L’enregistrement vidéo sera ensuite disponible à la demande. L’article 6 de l’ordonnance du 17 novembre 1958 relative au fonctionnement des assemblées parlementaires impose aux personnes auditionnées dans le cadre de travaux d’enquête de prêter le serment de dire la vérité, toute la vérité, rien que la vérité. Je vous invite donc à lever la main droite et à dire : « Je le jure ».

(M. Gilles Babinet et M. Jean Cattan prêtent serment.)

M. Gilles Babinet, coprésident du Conseil national du numérique. Je vous remercie d’avoir organisé cette audition sur le sujet des réseaux sociaux, et plus particulièrement de TikTok, que nous considérons comme fondamental. TikTok se distingue par deux caractéristiques majeures : son origine chinoise, qui soulève des interrogations quant au respect de la confidentialité des données, et sa cinématique particulière, représentative d’une nouvelle génération de réseaux sociaux. Cette dernière caractéristique est désormais partagée par d’autres plateformes telles que YouTube, Instagram ou Snapchat, qui permettent un traitement massif de données par des algorithmes d’intelligence artificielle, intensifiant considérablement l’interaction entre l’utilisateur et la plateforme.

Le Conseil national du numérique (CNNUM) estime que l’enjeu dépasse largement TikTok et concerne l’ensemble des réseaux sociaux et leur impact sur notre société. Nous nous appuyons notamment sur les travaux de M. Robert Putnam, sociologue et économiste américain, qui a étudié l’évolution du temps d’écran. Ses observations montrent une augmentation significative du temps consacré aux écrans, qui est passé de deux heures par jour à près de quatre heures aux États-Unis entre 1980 et 1988, pour atteindre aujourd’hui sept heures et quart aux États-Unis et environ cinq heures quarante en France.

Cette évolution entraîne des conséquences profondes sur notre société. Elle réduit ce que M. Putnam appelle les « conversations désagréables », c’est-à-dire les confrontations avec des personnes que nous n’avons pas choisies dans la vie réelle. De nombreux lieux de médiation sociale, tels que le café du village, l’église, la place publique, le service militaire ou les services publics disparaissent. M. Putnam recense ainsi une douzaine de lieux fortement affectés par l’émergence des écrans et des techniques de captation de l’attention qui y sont associées.

Nous sommes face à des modèles d’affaires reposant sur cette captation de l’attention, où le citoyen-consommateur n’a aucune maîtrise sur le contenu qui lui est présenté, celui-ci étant imposé par des algorithmes opaques. Cette dynamique pose un défi fondamental pour la démocratie car nous estimons que les réseaux sociaux, sous leur forme actuelle, ne sont pas compatibles avec un fonctionnement démocratique sain. Nous assistons à une altération profonde du débat démocratique, avec une prédominance des propos à l’emporte-pièce au détriment des discours nuancés et complexes, qui ne correspondent pas aux critères de stickiness privilégiés par les algorithmes des plateformes. Le risque, à terme, est que seuls les discours radicaux trouvent leur place, contaminant ainsi le débat public et politique, et menaçant notre capacité à vivre ensemble.

M. Jean Cattan, secrétaire général du Conseil national du numérique. Dans la continuité des propos précédents, il me semble nécessaire de réfléchir à des solutions structurelles et de repenser l’architecture globale des réseaux sociaux. TikTok est aujourd’hui à l’avant-garde en matière d’outils de captologie, qui visent à maximiser la monétisation de l’attention des utilisateurs. Il est donc impératif d’envisager des remèdes qui dépassent à la fois la structure de la plateforme et le cadre actuel règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE dit Digital services act (DSA) mis en œuvre par la Commission européenne.

Nous proposons plusieurs pistes de réflexion. Tout d’abord, il faut envisager une véritable portabilité des données, imposée aux entreprises et non limitée à un simple droit pour les utilisateurs. Ensuite, nous préconisons le développement de l’interopérabilité, à la fois horizontale, comme le laisse entrevoir le règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 dit Digital markets act (DMA) et verticale. Il est également nécessaire d’accroître la capacité des utilisateurs à paramétrer la structure des plateformes.

Bien que le débat sur les mineurs soit un excellent point de départ pour réfléchir à ces outils, nous pensons qu’ils devraient être étendus à l’ensemble de la population, car c’est notre conception même de la démocratie qui est en jeu. La mise en place de ces solutions nécessite toutefois de repenser fondamentalement notre vision des réseaux sociaux, que nous devons considérer non plus comme des monopoles sur l’ensemble de leurs fonctionnalités, mais comme des infrastructures sur lesquelles d’autres acteurs (entreprises, associations, services publics) pourraient se greffer.

En résumé, préserver l’intégrité de notre tissu social et de notre système démocratique nécessite de reconsidérer notre conception des réseaux sociaux.

Nous devons également renouer avec une tradition d’intervention étatique dans l’économie, qui a notamment fait le succès de secteurs organisés en réseau tels que les télécommunications. Cette approche implique d’accepter que, pour garantir une société et une démocratie ouvertes, l’État doit intervenir afin d’ouvrir les infrastructures en situation de domination. C’est précisément dans ce contexte que les remèdes précédemment évoqués prennent tout leur sens.

Actuellement, force est de constater que la Commission européenne, qui détient quasiment le monopole de la mise en œuvre des règles concernant les très grandes plateformes, dont les principaux réseaux sociaux, n’a pas encore endossé ce rôle de régulateur d’infrastructures. Elle se positionne davantage comme une entité de contrôle, vérifiant simplement que les entreprises ont correctement évalué les risques qu’elles sont susceptibles de propager, ce qui est fondamentalement différent. Il est donc impératif que la Commission opère une transition, en passant d’une posture de forteresse, agissant comme un simple contrôleur d’entreprises responsables de leur propre gestion des risques, à celle de véritable chef d’orchestre. Elle doit s’impliquer activement dans la structuration des infrastructures sociales que représentent les réseaux sociaux. Cette évolution constitue une orientation majeure à promouvoir et un prérequis indispensable à toute intervention efficace des autorités publiques sur le marché des réseaux sociaux.

Nous devons enfin nous interroger sur le rôle que peuvent jouer les États membres, parallèlement aux actions de la Commission. Un débat est en cours concernant leur marge de manœuvre au niveau national, notamment à la suite de l’arrêt Google Ireland du 9 novembre 2023, qui interprète la directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur dite directive e-commerce. Je considère personnellement que cet arrêt ouvre de nouvelles opportunités pour les États, en ce qu’il leur permet d’agir de manière ciblée sur certaines plateformes telles que TikTok en proposant des solutions spécifiques et proportionnées. Cette commission d’enquête pourrait ainsi constituer le point de départ d’une nouvelle approche, potentiellement applicable tant au niveau européen que national. C’est pourquoi nous sommes particulièrement enthousiastes à l’idée d’y contribuer.

Mme Laure Miller, rapporteure de la commission d’enquête sur les effets psychologiques de TikTok sur les mineurs. Vous avez parfaitement raison, monsieur Babinet, de souligner que la problématique des réseaux sociaux ne se limite ni à TikTok ni au jeune public. Notre décision de circonscrire cette commission d’enquête à un objet précis découle des contraintes inhérentes au fonctionnement parlementaire. Le temps imparti pour mener une commission d’enquête étant limité, il nous a semblé judicieux de nous concentrer sur un sujet bien défini. Cette approche nous permet d’apporter des réponses aussi efficaces que possible, tout en nous réservant la possibilité d’élargir ultérieurement nos recommandations à d’autres aspects. Nous avons donc jugé plus pertinent de nous focaliser sur un sujet spécifique, d’où notre choix de nous concentrer à la fois sur TikTok et sur les mineurs, tout en étant pleinement conscients que la problématique est bien plus vaste.

Le CNNUM a-t-il été amené à se prononcer ou à contribuer à l’élaboration et à la mise en œuvre du DSA au niveau européen ? Quelle a été votre implication dans ce processus ?

Par ailleurs, quel regard portez-vous sur nos politiques d’éducation au numérique ? La sensibilisation apparaît comme un élément essentiel de nos politiques publiques actuelles. Après avoir auditionné de nombreux acteurs intervenant dans les écoles et plus généralement dans l’éducation au numérique, l’impression qui se dégage est celle d’une certaine dispersion des efforts. Quelle est votre analyse à ce sujet ? Faut-il intensifier ces actions ? Serait-il préférable de les centraliser autour d’un acteur unique dans un objectif de clarté ?

Enfin, pourriez-vous développer davantage votre point de vue sur la nécessité d’une approche plus interventionniste, notamment à l’échelle de la Commission européenne ? Je partage votre opinion sur l’existence d’une marge de manœuvre pour les États membres de l’Union européenne, permettant des interventions individuelles. Pourriez-vous détailler cette perspective et nous faire part de vos idées concernant une possible intervention nationale dans la régulation de ces plateformes ?

M. Jean Cattan. Concernant le DSA, un travail de fond a été mené sur une période d’environ dix ans. Les premiers rapports du CNNUM traitant de l’imposition d’obligations de non-discrimination aux plateformes remontent aux années 2014, 2015 et 2016. Un travail approfondi sur l’interopérabilité a également été réalisé en 2020.

Au cours de la mandature désignée en 2021, coprésidée par M. Gilles Babinet, un rapport particulièrement marquant sur l’économie de l’attention a été publié début 2022 (Votre attention, s’il vous plaît ! Quels leviers face à l’économie de l’attention ?). Ce document a significativement influencé les débats et a renforcé notre capacité de dialogue avec les autres entités, puisqu’il nous a permis d’aborder la question de la régulation économique sous l’angle de ses finalités sociétales. Cette contribution a ouvert la voie à des échanges plus soutenus avec le gouvernement, ainsi qu’à des interactions qui se sont déroulées de manière informelle, au fil des discussions parlementaires, grâce aux liens étroits entretenus entre le cabinet des ministres et le CNNUM.

Par ailleurs, notre participation à la Task Force Platform, qui réunit mensuellement les acteurs ministériels, nous permet de partager régulièrement nos points de vue. Le pilotage de la négociation est assuré par le ministère de l’économie et des finances, qui dispose d’un pôle dédié à la régulation des plateformes. L’approche interministérielle adoptée a considérablement renforcé la position française dans les négociations du DSA.

Certains aspects, notamment en matière de gouvernance, ont été tranchés à un niveau politique très élevé, comme la décision de placer la Commission au centre du dispositif. Le choix effectué a permis l’aboutissement du texte, ce qu’il convient de reconnaître. Aujourd’hui, ce texte finalisé pourrait nous permettre d’avancer vers une forme de fédéralisation de la démarche et de l’action, mobilisant ainsi toutes les forces nationales prêtes à s’investir sur ces questions à travers l’Europe.

Concernant la mobilisation des forces, un travail considérable reste à accomplir en termes de cohésion de l’action territoriale menée par de nombreux acteurs. Cette réalité s’est particulièrement manifestée lors du pilotage du Conseil national de la refondation (CNR) numérique par le CNNUM, notamment sur le volet dédié à l’apaisement de l’espace en ligne. Nous avons constaté à la fois un grand dynamisme et une opportunité pour l’État de jouer un rôle fédérateur en rassemblant et en soutenant un écosystème, assurant ainsi une cohésion que les acteurs associatifs ne peuvent intégrer seuls dans leur activité quotidienne.

Dans la continuité des travaux du CNNUM, notamment l’ouvrage Civilisation numérique rédigé par M. Gilles Babinet et Mme Françoise Mercadal-Delasalles, nous estimons que l’État doit jouer un rôle essentiel de soutien à l’action citoyenne. Cette nouvelle mission étatique est essentielle car, si l’État n’agit pas nécessairement directement, il crée les conditions propices à l’action.

Enfin, concernant les marges d’action nationale, en lien avec le champ de votre commission d’enquête particulièrement pertinent au regard de la jurisprudence européenne, l’action législative nationale ne peut être que ponctuelle, ciblant des acteurs spécifiques, voire un seul acteur occasionnellement, sur des questions précises, afin d’assurer des solutions proportionnées. Dans cette optique, nous pouvons par exemple envisager, dans la continuité des initiatives de nombreux acteurs, des mesures sur le contrôle de l’âge. Ces discussions sont en cours, mais il convient d’explorer d’autres pistes bénéfiques pour l’ensemble de la société.

À cet égard, les lignes directrices mises en consultation par la Commission européenne sur la protection de la jeunesse offrent de nombreuses idées, notamment dans leur seconde partie qui ne traite pas du contrôle de l’âge. Le droit au paramétrage, sporadiquement présent dans le DMA et le DSA, pourrait être approfondi afin de renforcer la liberté de choix de l’utilisateur et faciliter l’accès à certaines fonctionnalités.

Une plus grande ouverture des interfaces de programmation (API) pourrait également être envisagée, notamment pour la recherche et les tiers proposant des services de modération alternatifs, non basés sur l’économie de l’attention. Des acteurs français comme Bodyguard, qui appliquent des surcouches sur les réseaux sociaux, mériteraient un accès plus large à ces API.

Enfin, obtenir de simples informations sur les flux économiques et la valorisation des données par les réseaux sociaux permettrait de développer des arsenaux législatifs plus pertinents à l’avenir. Cette approche ne vise pas la contrainte, mais plutôt la collecte d’informations pour élaborer des dispositifs législatifs plus adaptés.

M. Gilles Babinet. Les plateformes traitent généralement les textes européens de manière peu transparente. L’accès aux données de recherche, par exemple, n’est pas conforme aux dispositions prévues par les textes. De même, l’accès aux API, aux algorithmes, la portabilité des données et la récupération des données dans le cadre du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE dit règlement général sur la protection des données (RGPD) sont rendus particulièrement difficiles, avec une expérience utilisateur très limitée. Le champ d’application des dispositions existantes reste donc considérable, avec une interprétation actuellement largement favorable aux plateformes.

Concernant l’éducation, ce sujet, bien qu’ancien, demeure d’une importance capitale. Dans les années 2000, avant même l’avènement des réseaux sociaux, on parlait déjà de « nétiquette », un code de conduite pour internet. Malgré les efforts de l’éducation nationale pour diffuser ces connaissances, directement ou par l’intermédiaire des associations, le défi reste entier.

La nature mouvante et rapide de ces systèmes, notamment avec l’émergence de l’intelligence artificielle générative qui impacte déjà les réseaux sociaux, nécessite un savoir extrêmement flexible, ce qui ne correspond pas à l’organisation actuelle de l’éducation nationale.

Dans ce contexte, nous avons lancé l’initiative Café IA, un projet de rencontre citoyenne à grande échelle. Nous venons d’ailleurs de rencontrer la ministre pour donner toute l’ampleur nécessaire à ce dispositif. Nous estimons qu’il est essentiel de mettre en place des mécanismes structurels de concertation citoyenne pour assurer la résilience d’un État démocratique. Cette réflexion, bien qu’elle intervienne en amont, nous semble indispensable pour préserver un État démocratique fonctionnel. Une forme d’agora citoyenne sur ces sujets permettrait aux individus de s’accorder sur des pratiques communes et de démystifier les perceptions souvent fantasmées des possibilités offertes par la technologie et l’intelligence artificielle.

Ainsi, au-delà des efforts nécessaires au niveau de l’éducation nationale, c’est un effort sociétal global qui nous permettra de continuer à vivre ensemble dans un contexte où l’algorithmisation de la société crée une opacification structurelle entre l’État, les acteurs économiques et les citoyens.

Mme Laure Miller, rapporteure. Le débat s’est récemment cristallisé autour de l’idée d’une interdiction d’accès aux plateformes pour les jeunes, en dessous de quinze ou seize ans. Cette proposition a même été évoquée par le chef de l’État, qui va jusqu’à envisager un référendum sur la question. Considérez-vous que cette idée d’interdiction d’accès aux plateformes avant un certain âge pourrait constituer une solution parmi d’autres ? Bien que nous soyons conscients qu’il ne s’agit pas d’une solution miracle, quelle est votre analyse sur cette proposition ?

M. Gilles Babinet. De nombreuses études sur la cognition, particulièrement chez les très jeunes enfants, soulignent la nécessité d’une supervision lors de l’utilisation des écrans. Je ne m’oppose pas à leur usage, même en bas âge, mais uniquement dans un cadre supervisé. Malheureusement, la majorité des utilisations ne respecte pas cette condition. Une interdiction jusqu’à six ans pourrait être envisagée.

L’interdiction jusqu’à quinze ans pose toutefois un problème, car elle laisse entendre qu’au-delà de cet âge, l’utilisation des réseaux sociaux ne présenterait aucun risque et que les adolescents possèderaient toute la maturité nécessaire. Cette approche tend à cautionner les pratiques délétères de ces plateformes, nocives pour notre démocratie et notre cohésion sociale. Ma principale critique est que les plateformes s’engouffrent dans ce débat. Cela revient à affirmer que la cigarette n’est dangereuse qu’avant quinze ans, alors qu’elle reste mortelle bien au-delà. Or nous avons su mettre en place de nombreuses politiques publiques visant à réduire la consommation de tabac.

Mme Laure Miller, rapporteure. En matière de prévention contre le tabagisme, nous avons jugé nécessaire de mener de vastes campagnes de prévention, toujours d’actualité, pour démontrer la nocivité du tabac et ses enjeux de santé publique. Néanmoins, nous avons également estimé indispensable d’en interdire strictement l’usage avant un certain âge, envoyant ainsi un signal fort à la société. Si nous associons le message d’interdiction à une campagne de prévention destinée à l’ensemble de la population, soulignant les dangers et appelant à la vigilance, ne pensez-vous pas que cela pourrait transmettre un message plus clair qu’actuellement ?

M. Gilles Babinet. Je pense qu’une partie du problème réside dans le fait que notre société a actuellement besoin de retrouver des messages d’autorité. Elle se satisfait trop rapidement d’une simple interdiction comme finalité de toute politique publique concernant les réseaux sociaux, alors que cette approche ne traite qu’une infime partie du problème. En réalité, elle risque même de l’aggraver en laissant croire que toutes les autres pratiques sont acceptables.

Je considère, par exemple, que le comportement des parents sur les réseaux sociaux est un enjeu primordial pour le bien-être des enfants. Or cet aspect est pourtant négligé. Les études menées sur la perception des réseaux sociaux par les enfants révèlent que leur principale préoccupation est la distance créée avec leurs parents, non pas à cause de leur propre utilisation excessive, mais en raison du temps considérable que leurs parents y consacrent. Nous nous trouvons dans une situation paradoxale et je pense que le débat est mal orienté.

M. Jean Cattan. Nous ne devons pas, en effet, nous dispenser de réfléchir à toutes les questions annexes. Comment appréhendons-nous la relation des parents aux écrans, mais également au travail et à sa numérisation ? Comment abordons-nous la perméabilité entre les environnements professionnels et familiaux ? Comment concevons-nous des espaces publics où les enfants ont encore leur place ? Nous vous transmettrons une note reprenant nos éléments partagés notamment avec la mission Enfants et écrans. À la recherche du temps perdu, dans le prolongement de certains écrits tels que l’article du docteur Serge Tisseron paru dans Le Monde et intitulé « Où sont passés les enfants des villes ? » qui, bien que datant un peu, reste très pertinent. Quelle place accordons-nous au jeu, à l’accompagnement des enfants dans un collectif, en milieu urbain ou non ? La question de l’environnement de vie se pose. L’interdiction n’empêche certes pas de réfléchir à tout cela, mais le risque est que la réflexion s’arrête là, ce qu’il faut absolument éviter.

Concernant les plateformes, c’est l’enjeu d’infrastructure qui doit être traité, et ce indépendamment de l’âge. À titre d’exemple, le dernier rapport du Centre for Countering Digital Age sur les contenus pro-anorexie concerne YouTube et je doute que la limite d’âge corresponde aux questionnements et aux états psychologiques qui entrent en jeu. Pourquoi cette relation entre certaines personnes et certains contenus existe-t-elle ? Pourquoi certaines personnes cherchent-elles des réponses à travers un outil numérique plutôt qu’ailleurs dans la société ? Ces questions doivent être posées et la limite de quinze ans ne doit pas être un blanc-seing pour des pratiques inappropriées.

Enfin, vous avez pu observer la politique du groupe Meta demandant à Apple et Google de mettre en place le contrôle de l’âge sur les systèmes d’exploitation. Cela montre que la question du contrôle de l’âge nous entraîne dans des complications technico-juridiques et des jeux d’acteurs difficilement solubles en l’état.

Un chemin a été parcouru, et il est bon de le poursuivre car les autorités fournissent un travail important, mais ne nous empêchons surtout pas de réfléchir à tous les autres aspects.

M. le président Arthur Delaporte. Ces éléments corroborent les propos de nombreux acteurs que nous avons auditionnés. La mesure d’âge peut être perçue comme une façon d’occulter l’essentiel, c’est-à-dire tout ce qui se trouve en amont. Nous tentons d’instaurer une mesure d’âge a posteriori pour protéger d’un danger que nous pourrions potentiellement éviter. Un élément marquant des auditions, notamment celles des victimes, est que certains jeunes qui se sont suicidés avaient seize ans. Une barrière d’âge à quinze ans n’aurait donc pas empêché ces drames. Ces jeunes n’avaient pas d’usage particulier des réseaux sociaux auparavant et la situation peut donc dégénérer très rapidement, en quelques mois. Comme vous l’avez mentionné précédemment, c’est effectivement l’économie de l’attention qui est à l’origine de tout le reste, bien que des réseaux sociaux vertueux puissent exister.

Concernant justement les réseaux sociaux vertueux, avez-vous observé l’émergence de modèles économiques positifs ? Est-il envisageable d’avoir des réseaux sociaux souverains ? Pourriez-vous développer votre idée du contre-modèle que nous pourrions proposer ? Est-il possible de remplacer les Gafam ?

M. Jean Cattan. Dans la continuité de notre rapport sur l’économie de l’attention, nous avons exploré ces modèles alternatifs. Il apparaît clairement que le modèle dominant actuel, celui de la plateforme centralisée agissant en monopole sur l’ensemble de ses fonctionnalités (outil de recherche, application, algorithme, service de modération), est une vision fallacieuse du réseau social, qui le place sous le contrôle exclusif de son propriétaire, ce qui a engendré de nombreuses dérives à l’échelle mondiale.

Un autre modèle de réseau social, fondé sur une logique de protocole, est cependant envisageable. Ces derniers permettent de créer des réseaux sociaux distribués et décentralisés, où le contrôle est transféré, sinon aux utilisateurs, du moins à des collectifs et à des acteurs plus sensibles aux préoccupations d’intérêt général. Parmi les réseaux sociaux développés sur ce modèle, on trouve ceux utilisant les protocoles ActivityPub et AT Protocol, tels que Mastodon et Bluesky, ce qui signifie que nous pouvons échanger selon un langage commun, tout en utilisant des outils, des applications et des interfaces aux fonctionnalités potentiellement très différentes. Dans l’écosystème Mastodon, par exemple, une vingtaine d’applications sont déjà disponibles, malgré un nombre d’utilisateurs encore limité. Cette approche permet aux utilisateurs et aux collectifs de reprendre le contrôle du réseau social, grâce à une capacité d’action accrue et à ce langage commun entre utilisateurs qu’est le protocole.

ActivityPub, utilisé par Mastodon, est un protocole entièrement libre et ouvert. Bluesky, quant à lui, utilise un modèle ouvert mais encore contrôlé par une entreprise. L’enjeu majeur réside dans le soutien au développement et à la maintenance de ces protocoles au niveau technique, afin de favoriser l’émergence d’un écosystème.

L’objectif est que le réseau social de demain ne soit plus sous le contrôle d’un seul acteur, mais accessible à tous, car c’est là que réside le véritable contre-modèle. Qu’il s’agisse de Mastodon, de Bluesky ou d’autres plateformes à venir, cette logique nous permet d’envisager un avenir ouvert, plutôt que confiné au contrôle de quelques individus sur l’ensemble des réseaux sociaux de la population mondiale.

M. le président Arthur Delaporte. D’un point de vue prospectif, et compte tenu du fait que des contre-modèles commencent à émerger, quelles actions les pouvoirs publics peuvent-ils entreprendre afin d’encourager ce développement, tant du point de vue incitatif que réglementaire ? Notre cadre de protection actuel est-il suffisant, ou faut-il envisager des mesures coercitives renforcées contre les modèles dominants ? Quel est votre point de vue sur ces questions ?

M. Jean Cattan. Concernant les actions que peuvent entreprendre les pouvoirs publics, il existe plusieurs pistes à explorer, tant dans le cadre réglementaire actuel que dans les évolutions futures.

Premièrement, il convient d’approfondir les notions de portabilité déjà présentes dans des textes comme le DMA, notamment dans ses articles 6 et 7. Bien que le RGPD ait introduit ce concept, son application actuelle, qui laisse à l’utilisateur la responsabilité de transférer ses données, s’avère peu efficace. Il faudrait plutôt s’inspirer du modèle des télécommunications, en faisant en sorte que le réseau social de destination ait l’obligation d’assurer que l’utilisateur ne perd aucune donnée lors de la migration. L’initiative Escape-X, rebaptisée HelloQuitX, démontre la faisabilité technique de cette approche. Il est essentiel d’aller plus loin dans l’application de l’article 6.9 du DMA afin de dépasser cette situation où l’utilisateur est laissé à lui-même, entre les mains de l’entreprise.

Deuxièmement, il faut promouvoir l’interopérabilité et poursuivre les travaux d’exploration sur ce sujet. Le groupe Meta utilise déjà le protocole ActivityPub pour faire communiquer ses différents réseaux sociaux entre eux, prouvant ainsi que ce qui était jugé impossible est en réalité tout à fait réalisable.

Troisièmement, l’État peut jouer un rôle direct en proposant du code informatique et des fonctionnalités, à l’instar de ce qui se fait déjà en France ou en Allemagne avec la Sovereign Tech Agency. La suite numérique de l’État, développée sur la base de logiciels ouverts, démontre notre capacité à proposer des services et des fonctionnalités qui surpassent souvent ceux des grandes entreprises du numérique.

Quatrièmement, il est essentiel de soutenir un écosystème qui développera et maintiendra des fonctionnalités alternatives à celles proposées par les réseaux sociaux dominants. Par exemple, Bluesky propose déjà un service de recommandations algorithmiques potentiellement plus vertueux que ceux des plateformes établies. Cela démontre que nous sommes tout à fait capables de proposer d’autres formes de recommandations, de modération et d’environnements applicatifs.

En conclusion, il est essentiel de passer à l’action concrète, parallèlement à un débat législatif argumenté. Cela permettra de démontrer que des alternatives viables aux modèles dominants actuels sont non seulement possibles, mais déjà en cours de développement.

M. Gilles Babinet. L’État doit être capable d’intervenir dans les algorithmes des institutions publiques, sous peine de les voir marginalisées. Nous constatons d’ailleurs que les plateformes ont une capacité infinie à dévoyer le droit en proposant des dark patterns ou des expériences utilisateurs déficientes.

En pratique, nous sommes tous contraints de cliquer sur « accepter » car personne ne prend le temps de régler en détail les paramètres des cookies. Un législateur doté d’une pensée orientée code aurait imposé une expérience utilisateur, probablement intégrée au navigateur, permettant de régler une fois pour toutes nos préférences en matière d’acceptation ou de refus.

Il existe de nombreux autres exemples. Dans le cadre du RGPD, la manière dont Meta fournit les données personnelles aux utilisateurs qui souhaitent les récupérer est scandaleuse. Ces données arrivent sous un format .zip inexploitable sans expertise en code ou sans outils spécifiques. Il est temps d’aller au-delà de la simple législation, de proposer des repositories sur des plateformes de partage de code et de garantir une expérience utilisateur optimale.

À mon sens, cela relève pleinement de la démocratie car, lorsque des systèmes vous imposent des algorithmes ou une certaine forme de navigation sur leurs services, l’esprit de la loi n’est plus du tout respecté.

M. le président Arthur Delaporte. Dans le cadre de la préparation de l’audition de TikTok, prévue le 12 juin prochain, quelles questions souhaiteriez-vous que nous leur posions ?

M. Jean Cattan. Concernant la transparence de l’algorithme, qui nous semble être le sujet central, nous avions publié un premier élément en 2022. Par une coïncidence totale, une rencontre avait eu lieu entre le gouvernement français de l’époque et M. Elon Musk. Je crois que c’est cette discussion qui avait mis sur la table la question de l’ouverture de l’algorithme de Twitter. Cela a été réalisé de manière quelque peu fallacieuse, avec un repository certes intéressant mais très partiel. La première question à poser à TikTok serait donc : sont-ils prêts à jouer le jeu de l’ouverture et de la transparence ?

Cette interrogation s’inscrit dans la lignée de la législation actuelle. Il est regrettable que seules les autorités européennes, à travers les articles 67, 68 et 69 du DSA, aient la capacité de mener des investigations approfondies auprès des réseaux sociaux. Dans le cadre de cette commission d’enquête, posons la question de l’ouverture de l’algorithme de TikTok, bien au-delà de ce qu’avait fait Twitter à l’époque.

Ensuite, dans la mesure où TikTok diffuse de nombreuses publicités affirmant que l’utilisateur est maître de son expérience, il serait pertinent de lancer un travail contributif, collectif et ouvert sur ce que signifie réellement avoir le contrôle de son expérience en tant qu’utilisateur. Cela concernerait l’expérience de signalement, les choix offerts ou encore le design de l’application. L’objectif serait d’établir une liste de ce qui serait souhaitable et de s’engager dans un travail ouvert et contributif. TikTok, comme les autres réseaux sociaux, est-il prêt à jouer le jeu de l’ouverture et de la contribution collective, ou se considère-t-il encore comme une forteresse centralisée, en monopole sur l’ensemble de ses fonctionnalités ?

M. le président Arthur Delaporte. Je précise que nous auditionnerons également les autres plateformes ultérieurement, et que nous pourrons leur poser les mêmes questions.

M. Gilles Babinet. Nous tenons à vous remercier pour cette initiative, que nous jugeons salutaire et centrale, qui permet de dépasser les débats réducteurs auxquels nous sommes habitués avec ce genre de sujets.

M. le président Arthur Delaporte. N’hésitez pas à nous transmettre par écrit tout document, information ou réponse que vous jugerez utile de porter à notre connaissance.

J’en profite pour vous informer que nous avons souhaité adopter une approche ouverte pour cette commission d’enquête. Nous avons ainsi lancé une grande consultation qui a recueilli plus de 30 000 participations, ce qui témoigne de l’intérêt du public pour nos travaux et, plus largement, pour la question des réseaux sociaux et de la santé mentale, qui est un véritable sujet de société.

La séance s’achève à douze heures.

Membres présents ou excusés

Présents. - M. Arthur Delaporte, Mme Anne Genetet, Mme Laure Miller