Séance du
jeudi 29 février 2024 à
17h
3e
législature -
1re
année -
9e
session -
57e
séance
PL 12103-A
Premier débat
La présidente. Voici le prochain point: le PL 12103-A. Nous sommes en catégorie II, cinquante minutes. Je cède la parole à M. Vincent Subilia.
M. Vincent Subilia (PLR), rapporteur de majorité ad interim. Merci, Madame la présidente. Chers collègues, après le rapport le plus court de l'histoire de ce Grand Conseil, j'ai l'honneur de vous présenter celui qui figurera probablement parmi les plus longs, puisque, pour vous donner quelques chiffres, ce sont pas moins de 227 pages, en incluant les annexes - je me dois de le signaler au titre de l'honnêteté intellectuelle -, qui ont été rédigées par mon excellent ex-collègue Edouard Cuendet et que j'ai le plaisir de vous détailler ici dans un exposé qui, je vous rassure, ne durera pas plus de trois minutes.
Quelques chiffres additionnels: en plus des 227 pages, ce sont sept années de labeur au gré de quinze séances ponctuées de douze auditions qui ont finalement abouti, comme vous le savez, au refus du projet de loi qui nous avait été soumis.
De quoi s'agit-il, Mesdames et Messieurs ? Vous aurez toutes et tous pris connaissance du rapport, il s'agit d'un véritable roman qui vous aura tenu en haleine - à tout le moins celles et ceux qui seraient insomniaques ! Il s'agit d'apporter une modification à la LIPAD - une loi dont il est abondamment discuté dans notre hémicycle - visant en substance à s'assurer que les systèmes de messagerie mis à disposition de nos têtes blondes - comprenez les élèves et étudiants de même que les collaborateurs du DIP, qui ne sont peut-être pas tous blonds - soient fournis par des services informatiques de l'Etat ou, à défaut, par des entreprises opérant depuis la Suisse.
Vous l'aurez compris, chers collègues, nous sommes ici au coeur d'un débat qui nous anime souvent, celui de la souveraineté numérique, comme on aime à l'évoquer, un domaine qui a connu de nombreuses évolutions. Vous conviendrez avec moi que depuis sept ans, le monde n'est plus du tout le même et que, dès lors, ce qui a été prôné à l'époque et qui répondait à des volontés certes tout à fait louables n'est plus absolument indispensable aujourd'hui.
L'objectif du texte est de rapatrier en Suisse le stockage des données relatives aux élèves majeurs et mineurs qui fréquentent les filières du DIP et de soumettre celles-ci au droit suisse. (Commentaires.) Je sens que Mme Magnin est une adepte du numérique et je lui en sais gré ! La raison pour laquelle la majorité a conclu au rejet du projet de loi est en réalité double et, encore une fois, je vous fais grâce des 227 pages du rapport.
D'abord, des garanties ont été apportées... (Commentaires.) Des garanties, oui, je sais que ce principe échappe à certains, mais des garanties ont été apportées par tous les professionnels qui ont été dûment auditionnés, issus non seulement du monde académique, mais aussi des rangs de l'Etat. Il nous a été démontré de façon très convaincante, me semble-t-il, que les systèmes auxquels le DIP a recours aujourd'hui offrent des garanties de sécurité, certes non infaillibles - on le sait, chacun peut faire l'objet d'une cyberattaque -, mais suffisamment solides pour que l'on n'ait pas besoin, comme on en a souvent la tentation dans notre pays, de réinventer la roue en créant un dispositif «home made» avec - encore un anglicisme - un «Swiss finish» qui nous ferait croire que nous sommes meilleurs que tous les autres et qu'il n'y en a point d'autres comme nous.
Oui, Mesdames et Messieurs les députés, les experts ont reconnu que les technologies utilisées - y compris par le DIP, il faut le souligner - sont suffisamment sécurisées. Le PLR était d'avis que ce projet de loi, dont certains considéraient qu'il avait été rédigé sur un coin de table - je ne serai pas aussi sévère -, représentait une caricature idéologique, un procès d'intention à l'encontre du DIP. Au-delà de ces propos, ce que l'on a pu constater de façon tout à fait avérée, c'est que les garanties de sécurité ont été données. Voilà le premier argument invoqué pour appuyer le rejet de l'objet.
Le second tient à un autre paramètre qui, aux yeux du groupe que je représente, est crucial, à savoir le respect d'une certaine orthodoxie budgétaire. Mesdames et Messieurs, comme vous le savez, la santé financière de l'Etat nous tient à coeur et les ressources sont limitées, d'autant plus lorsque l'on entend prodiguer quelques autres largesses sociales. Dès lors, un équilibre doit être trouvé.
Si, dans un premier temps, on a pu imaginer - c'était le cas du premier signataire - que tout cela ne coûterait que des clopinettes, pour le formuler ainsi, eh bien en réalité, ce sont des milliers de francs qu'il faudrait mobiliser sur une période extrêmement longue pour permettre de créer un dispositif «sui generis» qui réponde à ce qui était perçu comme un problème inquiétant en matière de perméabilité du système.
Ainsi, pour des raisons qui tiennent tant à la sécurité qu'à l'économicité eu égard aux moyens de l'Etat, une majorité de ce plénum - enfin, de la commission, mais j'espère naturellement que le plénum la suivra - a estimé que ce projet de loi devait être rejeté, et ce à l'issue, je le répète, de travaux déployés sur sept ans, de douze auditions et de quinze séances menant à un rapport de 227 pages. Voilà comment l'argent du contribuable peut être employé à bon escient dans notre République et canton de Genève. Je vous remercie beaucoup.
Une voix. Bravo.
Mme Céline Bartolomucci (Ve), députée suppléante et rapporteuse de minorité ad interim. Mesdames et Messieurs les députés, je suis d'accord avec mon préopinant: les travaux ont été longs et fastidieux, mais pour aboutir au final sur un refus par deux non contre un oui, le reste des voix étant des abstentions. Aussi, je ne pense pas que le débat soit tout à fait clos autour de ce vaste sujet.
Ce projet de loi, déposé en 2017 par le groupe des Vertes et des Verts, vise à protéger les écoliers genevois des géants du numérique que l'on connaît sous le sigle GAFAM, soit Google, Apple, Facebook, Amazon et Microsoft - ou GAMAM depuis le changement de nom de Facebook en Meta. Moi-même ingénieure informatique de formation, je suis particulièrement sensible à cette question, mais aussi critique envers les possibilités qu'offrent les outils relatifs à internet, et j'espère pouvoir vous convaincre des risques de leur utilisation au DIP, notamment par rapport aux données personnelles des élèves.
Depuis le dépôt du texte, le pouvoir des GAFAM n'a cessé d'augmenter et les scandales sur leur usage abusif des données personnelles à des fins politiques, commerciales et parfois délictueuses se sont multipliés. Ici, c'est particulièrement Google qui est visé, car il a depuis bien trop longtemps infiltré les écoles genevoises. Ainsi, le projet de loi vise à introduire un nouvel article dans la LIPAD afin de protéger les élèves non seulement pendant leur parcours à l'école publique sous la responsabilité de l'Etat - lors de cette période, leurs données peuvent être captées à des fins de profilage commercial, politique ou autre -, mais également une fois leur cursus terminé, puisque les données existantes peuvent aussi être utilisées contre leur intérêt après leur sortie du système scolaire.
Le but est d'agir selon deux axes, d'abord sur la messagerie: le premier alinéa de la nouvelle disposition demande à l'Etat d'attribuer, en interne, une adresse électronique officielle à chaque élève, comme c'est le cas dans les universités, les EPF et les HES, pour éviter que ce service soit fourni par une entreprise privée, par exemple Google. Je ne vous apprends rien en vous disant que Google a un intérêt immédiat et très concret à la captation des données produites par les élèves via leur adresse électronique. Le deuxième alinéa propose qu'en cas de nécessité, la messagerie puisse être fournie par des entreprises suisses et domiciliées en Suisse à la place de l'Etat.
Le deuxième volet du projet de loi concerne le stockage: le troisième alinéa a trait aux espaces personnels de stockage mis à disposition des élèves pour leurs travaux et précise qu'ils doivent être fournis par un centre de données en Suisse et soumis à la législation suisse. L'idée est simple: il s'agit d'empêcher que certains pays, par exemple les Etats-Unis avec leur «Patriot Act», puissent obliger les entreprises ayant leur siège sur leur territoire à fournir leurs données même si celles-ci sont produites dans un autre Etat comme la Suisse et même si elles sont censées être protégées par des conventions, comme c'est le cas ici.
Vous le savez, la crise sanitaire et les mesures de confinement ont fait se développer de manière inédite le travail et la formation à distance. On peut ainsi aisément retrouver dans un même lieu et sous une même adresse IP les activités personnelles de la famille, les données des entreprises, les administrations, les ONG, les partis avec les données privées des membres du foyer, enfants compris. Depuis le covid, les GAMAM ont vu leurs chiffres d'affaires et leurs bénéfices exploser alors que la crise économique frappait de manière indiscriminée le reste de l'économie mondiale et suisse.
L'intégration des géants du web dans l'économie mondiale en fait aujourd'hui des acteurs politiques fâcheusement et extrêmement présents, non seulement grâce à leur puissance financière, mais également par leur impact sur la liberté d'expression, la consommation en général et les médias. Par conséquent, ce texte est plus que jamais d'actualité, même si, techniquement, il ne traite que la pointe de l'iceberg. En attendant une utopique et salvatrice gouvernance mondiale du net, les Etats qui désirent protéger leurs citoyens d'une utilisation abusive de leurs données personnelles devraient être amenés à agir avec une grande prudence.
Voilà longtemps qu'on enseigne dans le postobligatoire genevois que depuis le début des années 2000, les GAFAM forment un oligopole qui se partage le marché de l'internet en ciblant et en traçant tous les aspects de la vie publique et privée. On explique dans ces cours que les géants du web font régulièrement l'objet de critiques sévères, voire de poursuites judiciaires, s'agissant du non-respect de la sphère privée des internautes, des abus de position dominante ainsi que sur le plan fiscal. Dès lors, on ne peut que s'étonner que le DIP, qui met en avant avec objectivité et sérieux les dégâts causés par les GAFAM de même que les risques qu'ils font porter, incite en parallèle les élèves à recourir à ces services, notamment à Google qui est le plus puissant d'entre eux.
En outre, les bulles informationnelles mises en place automatiquement par les algorithmes de Google lorsque l'on surfe sur internet empêchent l'accès à une information diverse et objective, d'autant plus précieuse dans le cadre du cursus scolaire. Certes, le DIP se doit de rester innovant et d'utiliser des outils pédagogiques de notre temps; à cet égard, il est tout à fait normal et légitime qu'il poursuive son programme d'école en ligne et prépare les élèves au partage de données et au travail collaboratif. Cependant, cette politique n'est pas compatible avec l'usage de services d'une entreprise privée telle que Google ou de tout autre géant de l'information, car ces sociétés n'offrent pas le minimum de garanties que le canton se doit d'exiger quant à la protection des données personnelles, notamment celles des enfants et des jeunes, qui sont les plus exposés et les plus sensibles aux appels des sirènes du net et des réseaux sociaux.
L'un des arguments avancés aujourd'hui est d'ordre financier: il n'existerait, sur le marché de l'éducation, aucune autre solution logicielle aussi concurrentielle que Google, notamment parce que Google semble presque gratuit. Sauf que nous sommes nombreux à connaître cet adage: «Si c'est gratuit, c'est toi le produit.» Le modèle d'affaires de Google est loin d'être gratuit: l'acquisition d'immenses quantités de données constitue un paiement en nature considérable.
Depuis 2017, année du dépôt de cet objet, de nombreuses plateformes suisses offrent les mêmes prestations que les outils Google employés actuellement au DIP; la toute-puissance à bas prix de Google ne constitue plus un argument valable. Je rappelle d'ailleurs qu'il y a quelques années, un dispositif suisse «home made» avait été développé, mais c'était malheureusement bien avant la pandémie. Les technologies éducatives helvétiques existent, mais sont totalement éclipsées par les géants informatiques américains et chinois au détriment de la protection des données des écoliers et de toute la famille.
Il apparaît maintenant urgent que l'Etat évalue correctement les risques personnels pour les élèves ainsi que les risques financiers pour le DIP, notamment dans le cas de plaintes de parents pour violation de la sphère privée de leur enfant ou d'eux-mêmes à des fins commerciales. Plus généralement, il serait important que le Conseil d'Etat évalue précisément les risques de l'utilisation des GAFAM au DIP, mais également dans l'administration cantonale. Pour toutes les raisons évoquées précédemment et afin de remettre au goût du jour ce sujet contemporain essentiel - et malgré les 227 pages du rapport -, le groupe des Vertes et des Verts sollicite le renvoi du projet de loi à la commission de contrôle de gestion. Merci. (Applaudissements.)
Une voix. Bravo.
La présidente. Merci, Madame. Vous sollicitez le renvoi à la commission de contrôle de gestion, c'est bien cela ? Donc pas à la même commission qui a traité le projet de loi initialement. (Remarque.) Très bien, je mets cette proposition aux voix.
Mis aux voix, le renvoi du rapport sur le projet de loi 12103 à la commission de contrôle de gestion est rejeté par 50 non contre 32 oui.
La présidente. Suite à cette belle présentation, je vais suspendre le débat, que nous reprendrons après les points fixes et les urgences, c'est-à-dire demain après-midi.