– 1 –

L’Assemblée nationale,

Vu l’article 88-4 de la Constitution,

Vu les articles 16 et 114 du traité sur le fonctionnement de l’Union européenne (TFUE),

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données,

Vu la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques),

Vu la directive 2010/13/UE du Parlement européen et du Conseil du 10 mars 2010 visant à la coordination de certaines dispositions législatives, réglementaires et administratives des États membres relatives à la fourniture de services de médias audiovisuels (SMA),

Vu le règlement (UE) 526/2013 du Parlement européen et du Conseil du 21 mai 2013 concernant l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) et abrogeant le règlement (CE) n° 460/2004,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données),

Vu la résolution du Parlement européen du 15 juin 2017 sur les plateformes en ligne et le marché unique numérique,

Vu la communication de la Commission européenne « Stratégie pour un marché unique numérique en Europe » du 6 mai 2015,

Vu la communication de la Commission européenne « Créer une économie européenne fondée sur les données » du 10 janvier 2017,

Vu la communication de la Commission européenne « Un système d’imposition juste et efficace au sein de l’Union européenne pour le marché unique numérique » du 21 septembre 2017,

Vu la communication de la Commission européenne « Lutter contre le contenu illicite en ligne. Pour une responsabilité accrue des plateformes en ligne » du 28 septembre 2017,

Vu la proposition de directive du Parlement européen et du Conseil du 14 septembre 2016 sur le droit d’auteur dans le marché unique numérique,

Vu la proposition de règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement « vie privée et communications électroniques ») du 10 janvier 2017 (COM[2017] 10 final),

Vu la proposition de règlement du Parlement européen et du Conseil concernant un cadre applicable à la libre circulation des données à caractère non personnel dans l’Union européenne du 13 septembre 2017 (COM[2017] 495 final),

Vu la proposition de règlement du Parlement européen et du Conseil relatif à l’ENISA, Agence de l’Union européenne pour la cybersécurité, et abrogeant le règlement (UE) n° 526/2013, et relatif à la certification des technologies de l’information et des communications en matière de cybersécurité (règlement sur la cybersécurité) du 13 septembre 2017 (COM[2017] 477 final),

Considérant que la stratégie de la Commission européenne en faveur du marché unique du numérique vise à favoriser la croissance d’un secteur dans lequel l’Union européenne compte de nombreux atouts ;

Considérant que, selon la Commission européenne, un marché unique du numérique fonctionnel permettrait à l’Union européenne de bénéficier d’un surcroît de 415 milliards d’euros de croissance par an, associés à des milliers d’emplois supplémentaires ;

Considérant la nécessité d’intégrer une réflexion éthique sur l’utilisation et le développement des technologies numériques ;

Considérant la nécessité de mettre en œuvre le règlement général sur la protection des données le 25 mai 2018 ;

Considérant que la protection des données de télécommunication est un complément nécessaire à la protection des données personnelles assurée par le règlement général sur la protection des données ;

Considérant que la confidentialité des données personnelles doit être protégée, y compris en ce qui concerne les nouveaux acteurs des télécommunications et ce, dans les différentes phases de collecte, de transfert, de traitement, de mise à disposition et de stockage des données ;

Considérant en particulier l’apport du chiffrement dit « de bout en bout » pour améliorer la protection de la confidentialité des communications numériques entre les personnes ;

Considérant qu’il est crucial que l’internaute puisse exprimer, en ce qui concerne les traceurs, un consentement éclairé, libre, spécifique et univoque, tel que défini par le règlement général sur la protection des données ;

Considérant que la conservation des données personnelles sur des terminaux dans la durée doit demeurer une exception circonscrite par un cadre clairement défini et assuré par des mesures proportionnées ;

Considérant l’affaire United States v. Microsoft Corporation (17‑2), pendante devant la Cour suprême des États-Unis d’Amérique, visant à arbitrer si Microsoft doit ou non communiquer aux autorités fédérales américaines des données, y compris personnelles, hébergées sur le sol de l’Union européenne, et le risque que ferait porter, le cas échéant, un tel principe d’extraterritorialité du droit américain sur la souveraineté numérique de l’Union européenne ;

Considérant que la libre circulation des données non personnelles en Europe doit s’accompagner d’un principe de collaboration entre les autorités nationales des États membres ;

Considérant qu’il convient de faciliter la possibilité pour l’utilisateur de changer de fournisseur de services numériques et de faciliter la portabilité des données personnelles sans atteinte au savoir-faire et à la propriété intellectuelle du fournisseur de services ;

Considérant la nécessité de s’assurer de la qualité des produits échangés sur le marché unique du numérique ;

Considérant en particulier que la cybersécurité des produits, services ou processus doit être une priorité et que le degré de certification de leur sécurité doit être adapté, mais continuer à s’appuyer sur les standards de certains États membres, dont la France, qui figurent actuellement parmi les plus sécurisés au monde ;

Considérant la nécessité d’encourager tous les États membres à établir une politique publique de cybersécurité ambitieuse ;

Considérant qu’une telle politique ne peut s’appuyer que sur des autorités publiques ayant les moyens de répondre à des crises répétées mais aussi de diffuser les bonnes pratiques d’hygiène numérique ;

Considérant qu’une telle politique ne peut être menée actuellement que par les agences nationales, en coordination les unes avec les autres ainsi qu’avec l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) ;

Considérant la nécessité de favoriser l’élaboration, avec les acteurs concernés, d’une doctrine civile d’emploi des technologies de l’information en matière de cybersécurité, dans le respect de la responsabilité éthique des entreprises et des principes fondamentaux du droit de l’Union européenne ;

Considérant la nécessité d’un système fiscal juste et efficace à l’échelle du marché unique du numérique, condition indispensable à une concurrence loyale entre les entreprises du secteur ;

Considérant le soutien que de nombreux États membres ont apporté à l’initiative française en faveur d’une taxe de péréquation sur le chiffre d’affaires des entreprises numériques, appelée « taxe d’égalisation », et l’agenda des travaux mis en place par la Commission européenne à ce sujet le 21 septembre 2017 ;

Considérant, que, selon l’Organisation de coopération et de développement économiques (OCDE), le modèle économique et certains attributs essentiels de l’économie numérique peuvent exacerber les risques d’érosion de la base d’imposition et de transfert des bénéfices des sociétés ;

Considérant la volonté du Conseil européen de poursuivre la dynamique du chantier européen sur la fiscalité du numérique, en lien avec les travaux pour l’établissement d’une assiette commune consolidée pour l’impôt sur les sociétés (ACCIS) ;

1. Salue la poursuite de la stratégie pour un marché unique du numérique par la Commission européenne ;

2. Soutient l’intégration des services de communication par contournement, également appelés « over the top », dans le règlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques ;

3. Salue l’interdiction de stocker ou de collecter des données personnelles sur des terminaux sans le consentement des utilisateurs ;

3 bis (nouveau). Salue la décision de la Commission européenne d’intervenir, au nom de l’Union européenne, en qualité d’amicus curiae dans l’affaire United States v. Microsoft Corporation, précitée ;

4. Demande à ce que le consentement de l’utilisateur ne soit pas présumé en amont par le paramétrage automatique du navigateur internet mais à ce que ce consentement soit explicitement recueilli, notamment pour ce qui est des traceurs ou des cookies accessibles aux tiers, après une information claire de l’utilisateur ;

5. Estime que l’adaptation de la législation française au règlement général sur la protection des données doit viser une harmonisation maximale avec nos partenaires européens, afin de favoriser un cadre commun de protection des données personnelles ;

6. Estime que les données relatives au trafic et les données de localisation ne peuvent être conservées par les autorités publiques que de manière proportionnée et à des fins expresses de sécurité et de défense nationale ;

7. Souhaite garantir aux internautes leur droit d'exprimer le consentement libre, spécifique, éclairé et univoque au traitement de leurs données personnelles ;

8. Encourage le Gouvernement à supprimer tout obstacle injustifié à la libre circulation des données non personnelles au sein de l’Union européenne ;

9. Souhaite qu’en complément de cette libre circulation soient mises en place des règles en matière de sécurité et de sûreté des données non personnelles, qui garantissent la transparence de la localisation du stockage et du traitement de ces données ainsi que l’assistance mutuelle des autorités nationales compétentes pour faciliter l’accès aux données non personnelles stockées sur le territoire de l’Union européenne ;

10. Encourage la création d’un droit à la portabilité des données non personnelles afin de permettre à tout individu ou entreprise de récupérer les données générées par l’utilisation d’un service, à l’exception des données enrichies par ce service, et de les transférer facilement auprès d’autres prestataires ;

11. Considère que toute forme de certification de cybersécurité, notamment celle des objets connectés, doit se faire de manière adaptée à chaque type de produits, services et processus, mais garantir à chaque fois un niveau ambitieux de protection ;

12. Considère à ce titre que la sécurisation des produits, services et processus doit être fonction de leur exposition au risque de cybersécurité et de leur caractère stratégique, pour obéir à une approche proportionnée qui retiendra, selon le degré d’exigence, la solution la plus adéquate selon les niveaux de qualification ;

13. Regrette, dans ces conditions, la faiblesse du système de certification prévu dans le « paquet » cybersécurité et demande à ce que les autorités nationales chargées de la cybersécurité, conformément au principe de subsidiarité, demeurent dans chaque État membre les premières garantes de la protection des citoyens européens dans ce domaine ;

14. Refuse dès lors que l’accroissement du mandat de l’ENISA se fasse au détriment de l’action des agences nationales, ce qui pourrait aboutir à un affaiblissement de la politique de cybersécurité dans l’Union européenne ;

15. Se réjouit de l’initiative française en faveur d’une taxe d’égalisation pour les acteurs du numérique ;

16. Souligne que le secteur du numérique est particulièrement soumis aux stratégies d’optimisation fiscale non coopératives aboutissant à l’érosion des bases fiscales et au transfert des bénéfices des sociétés au sein de l’Union européenne ;

17. Encourage le Gouvernement à appuyer les travaux de la Commission européenne et du Conseil à ce sujet, en lien avec les travaux de l’OCDE, en vue d’un cadre de taxation équitable et d’une harmonisation des assiettes fiscales, tout en visant une harmonisation des taux d’imposition des services numériques ;

18. Souhaite vivement que, dans le cadre de la proposition de directive sur le droit d’auteur dans le marché unique numérique, les plateformes participent à la juste rémunération des créateurs et à une lutte immédiate et efficace contre le piratage et la contrefaçon ;

19. Souhaite que la Commission européenne prenne les mesures adéquates pour accroître la responsabilité des plateformes en ligne dans la lutte contre les contenus illicites et odieux, en application de sa communication « Lutter contre le contenu illicite en ligne. Pour une responsabilité accrue des plateformes en ligne » du 28 septembre 2017 ;

20 (nouveau). Demande instamment à ce que, dans le cadre du projet de révision de la directive 2010/13/UE du Parlement européen et du Conseil du 10 mars 2010 visant à la coordination de certaines dispositions législatives, réglementaires et administratives des États membres relatives à la fourniture de services de médias audiovisuels (SMA), les mineurs soient effectivement protégés des contenus préjudiciables disponibles sur les plateformes en ligne, grâce aux résultats combinés d’un plus grand pouvoir de contrôle et de sanction attribué aux autorités nationales et des efforts d’autorégulation de ces plateformes ;

21 (nouveau). Demande que la Commission européenne approfondisse son programme « Internet sans crainte » (« Safer Internet ») afin d’encourager l’apprentissage de pratiques numériques responsables dès le plus jeune âge, de développer une politique d’inclusion numérique ambitieuse et de lutter plus efficacement contre les usages nocifs d’internet auxquels sont exposés des publics vulnérables, notamment le cyberharcèlement.