Vers la souveraineté numérique

La notion de « souveraineté numérique » est apparue au début des années 2000. En 2011, Pierre Bellanger, président de Skyrock, apporte une première tentative de définition du concept : « La souveraineté numérique est la maîtrise de notre présent et de notre destin tels qu’ils se manifestent et s’orientent par l’usage des technologies et des réseaux informatiques¹. » La quête de souveraineté numérique est donc un objectif commun aux entreprises, aux acteurs de la puissance publique et, plus récemment, aux usagers de l’internet, citoyens et consommateurs. À l’occasion des consultations du Conseil national du numérique, en 2014, plusieurs propositions conditionnaient la souveraineté nationale par une souveraineté numérique affirmée². Devant le poids économique toujours croissant des  GAFAs  (Google, Apple, Facebook et Amazon)³, la dépendance économique et le transfert de valeur massif alimentent un déséquilibre qui impose aux pouvoirs publics et aux acteurs économiques la mise en œuvre d’outils de régulation compatibles avec la libre circulation et la liberté, consubstantielles de nos usages de l’internet.

Les GAFAs dans leur ensemble nous ont habitués à un désistement consenti sur nos données personnelles. La contrepartie de cet abandon est un niveau de service de qualité au prix d’un flou inquiétant quant au devenir de nos données personnelles. Le consommateur ou l’usager d’un service a pris l’habitude de céder ses droits sans vraiment connaître les implications et les répercussions de ses actes sur ses données personnelles. Ce comportement est en train de changer vers un réflexe moins automatique. Certaines entreprises prennent la mesure du changement des mentalités en adaptant leurs services, soucieux de conserver la confiance d’un consommateur qui veut reprendre la main sur ses données.

Une enquête Harris Interactive de mars 2016 montre que deux tiers des Français attendent des entreprises qu’elles leur proposent des services plus personnalisés, mais seulement un tiers d’entre eux sont prêts, pour cela, à confier leurs données à ces dernières : « Au final, dans le contexte actuel d’une information parcellaire, souvent corrélée à une attitude de méfiance, voire de rejet, vis-à-vis du “Big Data”, seuls 15% des Français perçoivent le “Big Data” comme une source d’opportunité pour les consommateurs dont les besoins seront mieux connus, alors que 81% estiment qu’il sera à l’origine de risques de “fichage” de ces mêmes consommateurs⁴. »

Face à cette défiance des usagers-consommateurs, les entreprises s’engagent⁵ pour des pratiques plus éthiques et vertueuses, notamment par la mise en place de chartes data, afin de répondre aux exigences nouvelles de confidentialité, de transparence, d’assistance et de sécurité dans le traitement des données. Ce traitement éthique de la donnée représente un enjeu de souveraineté qui nécessitera la mise en place d’un cadre juridique adéquat, comme l’atteste l’évolution des lois européennes⁶, déjà parmi les plus protectrices au monde sur ces problématiques.

Du côté des États, la guerre pour la souveraineté des données est bien lancée et les campagnes sont menées avec plus ou moins de succès. En France, en 2009, le gouvernement finançait deux projets de cloud souverain, Cloudwatt et Numergy, nés du programme Andromède. De nouvelles sociétés ont vu le jour, soutenues par SFR et Bull pour Numergy, Cloudwatt étant issue de l’association d’Orange et de Thales⁷. Leur vocation : mettre à disposition des entreprises et de l’administration française des infrastructures informatiques capables d’héberger des données et des applications, accessibles à distance et sécurisées. Mais faute d’entente entre les industriels, les deux entités ne sont pas à la hauteur de l’objectif initial de « cloud souverain », malgré l’entêtement de l’État à soutenir un projet dont la feuille de route manquait de précision. Cette tentative illustre bien l’idée que l’innovation et la compétitivité ne se décrètent pas, mais qu’elles s’anticipent et se préparent.

Un signal bien reçu par les entreprises qui adaptent en conséquence leurs services et leur organisation interne, plus particulièrement celles dont l’activité repose sur l’exploitation de la data, cette pierre angulaire sur laquelle s’arc- boutent les notions de souveraineté et de confiance. Dès lors, comment neutraliser ces logiques de captation de la donnée par les entreprises ou les États sans balkaniser un réseau, dont l’essence même réside dans la libre circulation de l’information ? Il en va de la protection des droits des citoyens mais aussi de la confidentialité des informations des consommateurs. Après une adolescence faite d’expérimentations et d’un optimisme aveugle, sommes-nous les témoins d’une maturation de l’internet, d’une entrée dans l’âge de raison faite de désillusion et de désenchantement dans la foi aveugle du grand réseau sans frontières ? Les rapports de force qui opposent les États, les citoyens mais également les entreprises et les consommateurs façonnent un nouvel internet des souverainetés, nouvel espace dont les règles restent à définir.

Dans cet environnement s’affrontent plusieurs « cercles » de souveraineté. Le premier est celui de la donnée personnelle⁸, celle que le citoyen est libre de concéder, de confier à des partenaires. C’est aussi la donnée que le citoyen transmet à l’État et à certaines administrations. Mais payer ses impôts en ligne ne met pas l’usager à l’abri d’une récupération des hébergeurs. Dans ce premier cercle, la mission première de l’État est de protéger les citoyens et leurs données. Le deuxième cercle est celui de la souveraineté des entreprises et des organisations, au travers des données qui sont la principale ressource des entreprises, leur valeur ajoutée. Troisième et ultime cercle, celui de la souveraineté des États qui, face aux géants de l’internet, ne peuvent peser dans le débat sur la protection des données que dans le cadre d’ensembles régionaux, comme l’Union européenne, dont la position et les mécanismes de protection s’affirment, de plus en plus, contre l’hégémonie américaine. Comment ces nouveaux rapports de force définissent les règles d’une gouvernance en genèse ?

À l’origine du concept de « balkanisation » de l’internet se trouvent les débats sur le filtrage et la fragmentation du réseau, étroitement liés aux problématiques de politiques et de sécurité nationale, mais aussi les tensions autour de l’articulation des cadres juridiques. C’est bel et bien à une remise en cause du modèle de gouvernance multi-acteurs de l’internet que nous assistons. Les aspirations toujours plus fortes de cadrage politique des États, tant sur les usages que sur les contenus, illustrent cet état de fait, tout comme les pressions commerciales des GAFAs, dont les intérêts commerciaux sont étroitement liés au cloisonnement numérique des contenus.

L’internet balkanisé est un terrain nouveau : celui d’une gouvernance dans laquelle les États veulent faire valoir, voire imposer, leurs règles, sur un cyberespace encadré politiquement, techniquement et juridiquement. Mais jusqu’où légitimer et tolérer les ingérences nationales, stimulées par la récente remise en cause de la suprématie des États-Unis sur l’internet ?

La notion de « balkanisation⁹ » recouvre une réalité complexe, des dynamiques multiples et souvent contradictoires de fragmentation et d’ouverture, qui s’opèrent à différents niveaux du réseau, physique ou légal. D’où la difficulté à définir une stratégie de souveraineté française ou européenne, tant pour les enjeux politiques que commerciaux. En outre, il n’existe pas un seul, mais plusieurs cyberespaces : l’idéal d’un cyberespace libre, ouvert et accessible à tous, semble chaque jour fragilisé, non seulement par les tensions politiques et économiques qui le traversent, mais aussi par une organisation plus complexe qu’il y paraît. L’internet mondial est composé de sous-ensembles, culturels, régionaux, et fait d’usages qui diffèrent selon les régions. Mais dans cet internet fragmenté, la suprématie des États-Unis est encore prégnante, en termes de moyens techniques, d’infrastructures, mais également sur le plan des contenus émanant du sol américain. Même constat dans les domaines militaires, du renseignement ou dans celui de l’encadrement juridique des contrats. Le principe d’« extraterritorialité¹⁰ » permet d’étendre et de diffuser ce pouvoir à l’étranger, jusqu’aux révélations du site Wikileaks.

Le cas Snowden marque un point de bascule dans la remise en cause  de la suprématie américaine. Une mise à jour des failles technologiques devant un cyberespace qui trouve un nouveau centre de pouvoir dans les pays émergents et, plus particulièrement, en Asie du Sud-Est. L’affaire fait également apparaître les limites d’une souveraineté américaine de plus en plus contestée. C’est notamment en réaction aux révélations du site Wikileaks que s’est forgée une véritable prise de conscience politique. L’expression de cet activisme technologique, politique et juridique, pose les fondamentaux d’une aspiration à une souveraineté numérique partagée. Une souveraineté qui tend essentiellement à préserver le respect, l’intégrité et la confidentialité des données, face à l’appétit croissant des gouvernements ou des géants de l’internet. Ces mouvements de repli souverain sont pourtant contradictoires avec les impératifs de coopération internationale, dans la lutte contre la cybercriminalité, par exemple. Des révélations aux effets d’électrochoc, pour une Europe qui n’entend plus se laisser faire, quitte à passer à la contre-attaque.

Le Safe Harbor est l’illustration des  souverainetés  croisées,  à  l’origine du très attendu régime juridique de transfert de données : le « bouclier de confidentialité », ou Privacy Shield, qui encadrera le transfert des données des entreprises entre l’Europe et les États-Unis. Invalidé le 6 octobre 2015 par la Cour de justice de l’Union européenne (CJUE), ce bouclier permettait temporairement aux entreprises de poursuivre leur activité en attendant la mise en place d’un nouveau cadre. Plus de 4 000 sociétés, dont les GAFAs, mais aussi de nombreuses PME européennes l’utilisent depuis quinze ans. Une seconde version devait corriger les limites du premier accord. Les États-Unis sont donc amenés à revoir leur copie, pointés du doigt par la CJUE, qui dénonce l’intrusion de leurs agences de sécurité dans l’accès et l’exploitation des données personnelles des citoyens européens une fois les données transférées sur leur territoire. L’Europe veut protéger ses citoyens et leurs droits fondamentaux, lorsque les États-Unis protègent ses champions économiques et leur croissance. L’invalidation par la CJUE de l’accord transatlantique Safe Harbor est donc un acte majeur. Dans le même esprit, la décision des responsables allemands de la protection des données, le BfDI (l’équivalent allemand de notre Commission nationale de l’informatique et libertés, CNIL¹¹), de suspendre les transferts de données vers les États-Unis et de demander aux entreprises opérant en Europe de ne stocker leurs données que sur le territoire de l’Union européenne pose les fondements d’un traitement de la donnée plus respectueux de la souveraineté des États et des citoyens. La protection et l’encadrement juridique des données deviennent un élément central de la politique numérique européenne au fur et à mesure que la data s’affirme comme la nouvelle valeur.

La data s’érige comme la nouvelle valeur marchande de l’internet et la multiplication des services en ligne fragmente d’autant plus le cyberespace, remettant en cause la neutralité du Net¹². Par opposition, les acteurs économiques de l’internet ont tout intérêt à entretenir et à préserver un environnement ouvert et interopérable pour le développement et l’expansion de leurs activités commerciales. Mais la balkanisation de l’internet n’est pas à sens unique : elle est la conséquence de frictions entre les aspirations souveraines des États, des acteurs privés, des entreprises et des citoyens. Dans tous les cas, ces initiatives et revendications essentiellement dans la donnée brute, mais dans la valeur ajoutée du traitement compatible avec les besoins des entreprises. Chaque jour, plus de 2,5 trillions d’octets¹³ nous parviennent sous des formats très variés : courriels, SMS, posts sur les réseaux sociaux, vidéos, données de géolocalisation, indices de mesure de nos capteurs… Désignée par certains comme le nouveau pétrole, la data devient un enjeu stratégique pour l’entreprise et le Big Data se positionne comme l’outil le plus adéquat pour traiter efficacement ce tsunami de données. Et la promesse du Big Data est quasi prophétique : traiter une masse de données brutes pour en faire des leviers concurrentiels pour l’entreprise. Du côté du client, l’exploitation des données doit théoriquement permettre d’affiner son expérience et ses échanges avec l’entreprise, au plus proche de ses besoins. Enfin, d’un point de vue opérationnel, le Big Data doit permettre une gestion et un pilotage plus dynamiques et plus fluides de la chaîne de valeur.

Mais l’exploitation de la data porte aussi son lot d’inquiétudes. Comme le souligne Bernard Benhamou, secrétaire général de l’Institut pour la souveraineté numérique, les récents débats autour d’un amendement adopté¹⁴ dans le cadre de la loi numérique mettent à jour une double erreur d’analyse sur la nature des réalités industrielles et technologiques auxquelles la France et l’Europe sont confrontées¹⁵. L’amendement prévoit la création  d’un  « Commissariat à la souveraineté numérique » dont la mission première serait de favoriser la création d’un système d’exploitation (ou OS) souverain. L’idée de développer un système d’exploitation souverain est intéressante, mais peu viable au regard du nombre d’obstacles qui attendent le projet : les OS mobiles représentent pour l’heure l’essentiel des enjeux industriels, mais ils seront bientôt dépassés par de nouvelles générations de systèmes d’exploitation, développés autour des objets connectés, contournant nos terminaux mobiles. « Penser qu’une initiative nationale (et non européenne comme pour le standard GSM) pourrait constituer une alternative crédible relève au mieux du vœu pieux », affirme Bernard Benhamou¹⁶.

Second point faible de l’amendement : la création par l’État d’outils de chiffrement souverains. Un outil dont la finalité serait la protection des données citoyennes et celles des entreprises, à travers un chiffrement des messages et des données dont l’État serait le seul détenteur. Mais comme l’a montré l’affaire Snowden, les initiatives des États visant à contrôler l’ensemble des moyens de chiffrement ont le plus souvent des effets pervers : une faille créée volontairement pourra également être exploitée par des groupes terroristes¹⁷.

Qui gouverne réellement l’internet ? Difficile d’apporter une réponse définitive à cette question tant des milliers de personnes participent aux interactions qui animent le réseau. En effet, il convient de dissocier le gouvernement ou la gouvernance de l’internet et ses pendants politiques et juridiques d’une part, et la gestion de l’internet d’autre part, davantage liée aux aspects techniques du réseau. De fait, les décisions techniques découlent, plus ou moins directement, d’arbitrages politiques, et, réciproquement, ces décisions politiques sont impactées par les contraintes techniques. Une influence croisée qui suscite inquiétudes et tensions quant à la liberté des acteurs comme la souveraineté des usagers. Par conséquent, la « gouvernance de l’internet », fonctionne selon un schéma « multi-acteurs » associant les États, les sociétés civiles, les entreprises et les organismes à vocation internationale. L’Internet Corporation for Assigned Names and Numbers (Icann¹⁸) et l’Internet Engineering Task Force (IETF) définissent une partie de ces aspects techniques que sont les protocoles du réseau, conjointement avec le World Wide Web Consortium (W3C), en charge des standards du web. Voilà plusieurs décennies que la prééminence américaine, garante supposée d’un réseau unique, ouvert et décentralisé, est largement contestée. Lors de la Conférence mondiale sur les télécommunications internationales de 2012, à Dubaï¹⁹, plusieurs pays, dont la Chine, la Russie et l’Arabie saoudite, ont contesté cette domination américaine et ont revendiqué le « droit souverain » des gouvernements à « réguler le segment national de l’internet ». Tentative avortée, puisque l’Europe et les États-Unis s’y sont fermement opposés. « L’architecture de l’Internet est devenue à la fois un enjeu de sécurité majeur et un enjeu de souveraineté. Le fait même, pour un État, que le pouvoir sur une ressource technique, comme un nom de domaine de premier niveau, soit détenu par un autre État, est un problème », explique Bernard Benhamou²⁰.

Et si la véritable bataille avait lieu à l’extérieur de l’Icann ? La question se pose légitimement, plus particulièrement lorsque le vice-président de l’institution, Christopher Mondini, déclare que la nécessaire réforme de l’organe vise à garantir un système à l’abri des parasitages des États. Il convient toutefois de relativiser le poids d’une institution encore peu connue du grand public, aux prérogatives relativement limitées lorsqu’il est question de faire face aux assauts des États visés par des soupçons de censure ou de surveillance du réseau ou encore face à l’appétit des GAFAs. Mais, d’un point de vue politique, juridique et symbolique, l’institution aura sans nul doute un rôle à jouer dans la définition de la souveraineté numérique.

Depuis les attentats du 11 septembre 2001, les organisations djihadistes ont considérablement perfectionné leurs stratégies internet. Le cyberterrorisme est une menace réelle pour les nations comme pour les entreprises. Par ailleurs, les assauts cyberterroristes peuvent également émaner d’États. De l’attaque russe contre les systèmes d’information de la Géorgie²¹ aux hackers syriens pro- Assad, les terroristes ont résolument investi le terrain du Net pour mener leur offensive. Pour les États, les menaces ne manquent pas : piratages des moyens de télécommunication, des infrastructures sensibles comme les aéroports, les gares et les métros, etc. Et si les attaques cyberterroristes restent discrètes, elles n’en sont pas moins nocives. La souveraineté des gouvernements s’en retrouve fragilisée en termes d’image, mais qu’en sera-t-il du jour où deux trains seront déviés de leurs courses, matérialisant cette nouvelle menace dans le quotidien des citoyens ?

En France, depuis 2003, la cybersécurité est présentée comme une priorité du gouvernement, comme en témoigne la réorientation des services de sécurité, de police et de gendarmerie, à commencer par la Direction centrale du renseignement intérieur (DRCI), pour qui la surveillance d’internet est une action prioritaire. En dépit d’une esquisse de coopération internationale, d’un échange européen de données et de bonnes pratiques, l’État réagit toujours plus lentement que les terroristes. Pour l’heure, on considère davantage le cyberespace comme l’instrument plutôt que comme la cible d’actes terroristes. Toutefois, il est aujourd’hui avéré que les mouvances terroristes comme al-Qaida ou l’État islamique possèdent les moyens techniques de mettre en œuvre des attaques sur les systèmes informatiques. Et si ces réseaux ne possèdent pas les interconnexions suffisantes pour pirater des secteurs vitaux de l’économie, les terroristes s’intéressent de plus en plus à ce type de cibles. Outre la question des moyens, la lutte contre le cyberterrorisme soulève la question de la souveraineté des citoyens : celle de l’équilibre fragile entre des pouvoirs de surveillance exorbitants du droit commun et le respect des libertés publiques.

Depuis les attentats du 11-Septembre, la menace d’attaques cyberterroristes est croissante. Bien que les attaques sur le monde physique ne déclinent pas, comme le montre la série d’attentats sur le sol français depuis les deux dernières années, les spécialistes de la cybersécurité cherchent à limiter l’impact de la menace à travers la mise en place d’une « ligne Maginot » issue des différents scenarios envisagés²². Par ailleurs, les ressources financières actuelles des groupes terroristes leur permettent d’acquérir les moyens et les services nécessaires à de nouvelles actions, mais aussi à la mobilisation de moyens techniques pour hacker des systèmes informatiques. Les terroristes s’intéressent encore peu à ce type de cibles, mais nous assistons à l’émergence d’un nouveau concept : celui d’une « cyberguérilla », menace diffuse pouvant être perpétrée aussi bien par des groupes d’individus restreints que des acteurs isolés.

Si la cyberlutte contre le terrorisme en est à ses débuts, la guerre pour une souveraineté économique est en revanche bien entamée. L’Union européenne et ses États membres peuvent-ils protéger leurs citoyens contre, par exemple, la surveillance des réseaux par la National Security Agency (NSA)²³ ? La protection des citoyens et des États semble aller de pair avec celle des données, qu’il conviendrait de « démondialiser ».

Dans le cadre de l’Union européenne, l’enjeu de la souveraineté est également économique : les récents scandales d’optimisation fiscale posent la question d’une territorialisation des revenus des GAFAs afin de les contraindre à un cadre fiscal qui prendrait en compte les revenus réels de leurs activités dans les pays concernés. La guerre pour une souveraineté numérique européenne est également idéologique et culturelle : on peut, dès lors, s’interroger sur la viabilité d’un projet tel que la bibliothèque numérique européenne²⁴ face au succès de Google Books.

Les souverainetés de l’internet concernent l’ensemble des secteurs et des champs de compétences de l’Union européenne sous toutes ses formes : souveraineté numérique, souveraineté de l’information, souveraineté individuelle du citoyen, cloud souverain… Les contours de la notion même de souveraineté sont d’autant plus déstabilisants qu’ils sont en perpétuelle évolution. La remise en question de la domination des États-Unis sur l’internet, tant du point de vue technique, qu’économique ou politique, pousse l’Europe à s’affirmer mais aussi à définir de nouvelles compétences, de nouvelles prérogatives et valeurs, vis-à-vis des États et des entreprises et des géants du Net. Pour Annie Blandin-Obernesser, professeur de droit à Télécom Bretagne, la bataille pour les souverainetés dans le cadre européen soulève une question fondamentale : celle de la compatibilité de la défense de valeurs propres de l’Union européenne, comme l’ouverture, fondatrice de l’internet²⁵. Quant à la protection des données à caractère personnel, un projet de règlement européen viendra remplacer l’actuelle directive 95/46/CE²⁶, rédigée il y a plus de vingt ans, et devrait être applicable dès 2018. Une avancée considérable, puisque les GAFAs ne pourront notamment plus opposer la disparité des réglementations des états membres pour ne pas les appliquer.

Sur le plan de la compétitivité, le levier de la commande publique est essentiel dans le soutien des entreprises européennes. Comme le propose l’Institut pour la souveraineté numérique, une commande publique de l’État et des collectivités permettrait de flécher le pourcentage des commandes à destination des PME les plus innovantes. Par leurs choix politiques de développement économique, les collectivités et les territoires de l’Union européenne peuvent accompagner et soutenir la capacité des entreprises locales à exister sur un marché très offensif.

Dans un rapport de juillet 2015, Akim Oural, membre  du Conseil  national du numérique, s’exprimait en ce sens : l’accompagnement de la modernisation publique en faveur du développement économique et de l’emploi est un enjeu majeur de la vitalité et de la compétitivité numérique des territoires. Il écrivait d’ailleurs « qu’un soutien appuyé, aux entreprises numériques dans les territoires et à ces nouveaux écosystèmes, est l’un des moyens de renforcer la souveraineté de notre territoire français, […] d’assurer une indépendance de la France à l’égard des solutions imposées de manière uniforme par les géants de l’Internet en règle générale américains et demain chinois²⁷. »

Quelle souveraineté pour un consommateur ou un usager assez peu éclairé dans l’usage de sa donnée ? Avec l’avènement du Big Data, les entreprises et les services publics redéfinissent leurs stratégies en intégrant ce nouveau paramètre : comment comprendre et anticiper les besoins du consommateur en temps réel, afin d’interagir avec ce dernier le plus efficacement possible ? A priori, difficile de s’opposer à cet objectif. Comment ne pas approuver un constat logique, qui implique de savoir qui est le consommateur, quels sont ses attentes et ses besoins ? D’un point de vue économique, les nombreuses législations qui encadrent l’utilisation des données seraient autant de freins à la croissance des entreprises en Europe. Les citoyens, consommateurs de services commerciaux ou usagers de services publics, peuvent-ils prétendre aujourd’hui encore à la souveraineté de leurs données ? Une problématique qui fait écho au bras de fer juridique entre le groupe Apple et la justice américaine, suite au refus de la marque d’autoriser le FBI à accéder aux données de l’iPhone d’un terroriste présumé.

Protéger les données quitte à sacrifier l’innovation vitale aux entreprises ? Tel est le dilemme qui se pose dans le traitement de la data. En France, chaque entreprise est tenue de déclarer à la CNIL tout traitement de données personnelles, dans la mesure où cette société est établie sur le territoire national. L’entreprise est également tenue d’identifier le responsable du traitement des données. De nombreuses entreprises estiment que la législation européenne est trop contraignante en matière de protection des données et que ce cadre freine l’innovation numérique, cruciale dans la compétitivité des entreprises face aux géants américains. L’une des différences majeures entre l’approche américaine et la vision européenne dans le traitement de la data est que, outre-Atlantique, la régulation se fait a posteriori, alors que l’Europe et la France avancent sur un terrain balisé par le principe de précaution.

Les usagers de services publics numériques ne font pas plus confiance à l’État qu’à une entreprise privée pour la protection de leurs données. Face    à ce sentiment de défiance, Sophie Nerbonne, directrice de la conformité  à la CNIL en 2015, prônait la collaboration entre acteurs publics et privés : « l’innovation responsable nécessite de briser les silos entre les différents acteurs, qui doivent travailler ensemble sur ce sujet : entreprises, législateurs, régulateurs, et hébergeurs²⁸ ». Mais comment écrire et sanctuariser les règles d’un jeu en perpétuelle mutation, où les acteurs, les compétences, les pouvoirs mais aussi la réglementation se coconstruisent autant qu’ils se neutralisent ?

Entre Safe Harbor et Privacy Shield : vers une cyber-riposte graduée

La Commission européenne a  reconnu  l’adéquation  du  Privacy  Shield  le 12 juillet 2016. Une décision peu relayée dans les médias mais qui était pourtant le point d’orgue de longues négociations entre l’Union européenne et les États-Unis, suite à l’arrêt de la CJUE. La protection des données personnelles est un droit fondamental, garanti par l’article 8 de la Charte des droits fondamentaux de l’Union européenne²⁹. Cette protection des données des citoyens européens s’étend au-delà des frontières de l’Union, notamment lors de transferts hors du territoire européen. Plus concrètement, les transferts de données personnelles, en dehors de l’Union européenne ne sont autorisés que si le pays destinataire de ces données est jugé « adéquat » par l’Union. Il devra donc présenter les garanties équivalentes à celles qu’apporte le droit européen. C’était le statut des États-Unis, dont les entreprises avaient adhéré au dispositif de Safe Harbor.

Un an auparavant, la CJUE, par son arrêt d’octobre 2015³⁰, invalidait la décision de la Commission européenne qui reconnaissait l’adéquation du dispositif de Safe Harbor. La Cour considérait la décision de la Commission comme trop hâtive, sans garantie quant à l’accès et à l’utilisation  faite  par les autorités américaines au nom du Patriot Act, et que les ressortissants européens ne disposaient d’aucun droit en recours contre ces accès et ces usages. Réunies dans le cadre du G29, plusieurs autorités de protection des données, dont la CNIL, demandaient alors aux États-Unis de revoir leur copie, afin d’aboutir à un accord dans un délai de trois mois. Un premier accord fut trouvé, qui aboutira au Privacy Shield³¹ : un succès en demi-teinte puisque, s’il instaure de nouvelles garanties telles que la désignation d’un médiateur en charge des recours contre l’accès aux données des Européens par les autorités publiques américaines, l’accord comporte toujours des zones d’ombre, comme les modalités de la collecte des données ou l’effectivité du droit au recours.

Le GDPR, nouvel enjeu stratégique de souveraineté pour l’Union européenne

L’adoption du Règlement général sur la protection des données (en anglais, General Data Protection Regulation, GDPR) permettra aux citoyens européens de bénéficier d’une protection de leurs données plus cohérente et harmonisée dans l’ensemble de l’Union européenne. Avancée majeure, les citoyens européens auront enfin un droit de regard quant au traitement de leurs données par des organisations privées. Reste à déterminer les changements que les organisations devront intégrer pour se conformer à cette nouvelle avancée réglementaire, qui entrera en vigueur dès le 25 mai 2018. Le GDPR va également introduire de nouveaux standards minimaux pour le traitement, la sécurité et le partage des données personnelles des résidents de l’Union européenne. Les entreprises doivent se mettre à la page et anticiper les changements nécessaires pour une mise en conformité à deux ans de la date fatidique. Concernant la Grande-Bretagne, il est peu probable que le Brexit entrave l’application du GDPR outre-Manche, car il concerne les données personnelles de tous les citoyens européens et le Royaume-Uni n’a toujours pas spécifié les modalités de sa sortie de l’Union. En conséquence, l’ensemble des réglementations européennes en vigueur s’y s’applique toujours.

Le GDPR va donc se substituer aux dispositions nationales des pays membres en matière de protection de données. La force de cette harmonisation réside dans la mise en place de nouvelles mesures standardisées au sein des organisations, une trame commune qui simplifiera les activités d’entreprises qui doivent aujourd’hui jongler entre vingt-huit cadres de protection différents. Chaque État membre conservera le droit de compléter et de renforcer la législation européenne par des dispositions locales.

Autre point fort de ce nouveau cadre, le « droit à l’oubli », ou le recours à des technologies de protection des données pouvant être vérifiées. Les pénalités sont également revues à la hausse : les amendes pourront aller jusqu’à 4% du chiffre d’affaires annuel³² des organisations, ou 20 millions d’euros maximum pour les infractions les plus graves. Très majoritairement, les entreprises semblent prêtes à jouer le jeu et prévoient d’accroître leurs investissements afin de se conformer aux exigences de protection et de souveraineté des données. En cas de manquement, les répercussions seront lourdes de conséquences sur les entreprises qui, si elles ne s’adaptent pas dans une période de deux ans, courront le risque d’être soumises à des pénalités et à des audits des systèmes de protections des données.

Cette mise en conformité s’appuiera sur les technologies de chiffrement requises pour protéger les données sensibles. L’obligation d’information en cas de fuite de données représente également un challenge pour les entreprises et les organisations, qui devront mettre à niveau leurs moyens de résolution des problèmes afin d’être en mesure de dresser rapidement un tableau précis des incidents.

Pour une gouvernance internationalisée de l’internet

Au-delà des stratégies européennes, une prise de conscience internationale émerge pour une nouvelle gouvernance internationalisée de l’internet. Alors qu’elle était contrôlée par les États-Unis depuis 1998, l’organisation en charge des noms de domaines et de la structure technique de l’internet s’ouvre. Une révolution assez discrète pour le grand public, mais dont la portée symbolique est réelle. Depuis le 30 septembre 2016 à minuit, l’Icann n’est plus sous la coupe du ministère américain du Commerce. Cette organisation administre les noms de domaines comme le .fr ou le .com des adresses internet. Elle assure par ailleurs une gestion logistique du réseau au niveau mondial. Pour Christopher Mondini, vice-président de l’Icann, cette nouvelle gouvernance n’aura pas de conséquence substantielle sur le fonctionnement de l’internet mais devrait le prémunir d’influences étatiques trop marquées. L’Icann se transforme, évoluant peu à peu vers une sorte de « Nations unies de l’internet » : une gouvernance pluripartite, fédérée autour de quatre collèges représentant le secteur privé, les experts techniques, la société civile et les gouvernements. Une cour d’arbitrage connaîtra des litiges et pourra annuler une décision. En France, cette réduction de l’influence américaine aurait été accueillie positivement si le secrétariat d’État au Numérique ne s’était pas inquiété d’une nouvelle architecture qui, tout en relativisant la place des États, ferait la part belle aux grandes entreprises de l’internet³³. Outre-Atlantique, la fin du monopole de la gouvernance suscite moins d’émoi : une transition indispensable bien qu’imparfaite, selon Daniel Castro, vice-président de l’Information Technology and Innovation Foundation (Itif). Une transition qui marque toutefois un moment constitutionnel crucial pour la refondation de la gouvernance de l’internet.

Backdoors et chiffrement des données : comment trouver l’équilibre entre la quête de souveraineté des États, les aspirations sécuritaires et la protection des libertés publiques ?

Sans sécurité, pas de souveraineté. Jusqu’où aller pour définir et protéger le périmètre de ces données ? Pour les États et les entreprises, l’exigence de sécurité ne doit pas prévaloir sur les libertés individuelles et la protection des données personnelles. C’est l’avis de la CNIL, exprimé lors de la présentation de son rapport annuel en 2015 34. Dans un contexte profondément marqué par la lutte contre le terrorisme, de nombreux États légifèrent sur le renseignement, ouvrant le débat sur la question du chiffrement des données. Alors que certains dirigeants voient dans le chiffrement un outil au service des terroristes, la CNIL considère que le chiffrement des données peut être « un élément vital de notre sécurité ». Le chiffrement peut également être un outil de protection des systèmes d’information des entreprises et des États, toujours plus exposés aux cyberattaques de hackers indépendants ou même de gouvernements étrangers. Les porte-parole d’administrations et d’États plaident pour la mise en place de « portes dérobées », ces backdoors qui permettraient aux autorités d’accéder aux données chiffrées stockées sur les téléphones mobiles, jusqu’à évoquer des sanctions à l’encontre des entreprises qui se mettraient dans la situation de ne pouvoir coopérer avec les autorités. Des mesures inutiles pour la CNIL, qui rappelle que le cadre légal actuel est suffisant : il autorise les « réquisitions numériques, l’accès aux données de connexion, les interceptions de correspondances, les enregistrements audiovisuels, la captation de données informatiques affichées à l’écran ou introduites au clavier, ou encore le recours à des experts techniques dans le cas de données chiffrées³⁵ ».

Sous le prétexte de la lutte contre la cybercriminalité, c’est l’ensemble de l’écosystème d’internet qui se trouve fragilisé. En effet, le risque collectif est trop important et de telles mesures affaibliraient le niveau de sécurité des individus face à l’ampleur du phénomène cybercriminel, mais elles ne permettraient pas d’empêcher des hackers d’utiliser un outil de chiffrement qui leur serait propre. En France, la position du gouvernement tendrait à privilégier le chiffrement des données personnelles et des courriels. L’amendement voté dans le cadre de la réforme pénale, prévoyant de punir de « cinq ans d’emprisonnement et de 350 000 euros d’amende », le fait « de refuser de communiquer à l’autorité judiciaire requérante enquêtant sur des crimes ou délits terroristes […] des données protégées par un moyen de cryptologie dont il est le constructeur³⁶ » a, quant à lui, été adopté. Une décision contraire  aux  recommandations de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), également favorable au chiffrement. Pour Tim Cook, le PDG d’Apple, affaiblir le chiffrement tout en offrant un accès aux autorités par le biais d’une porte dérobée, ouvrirait une « boîte de Pandore³⁷ » qu’il sera difficile de refermer : une clé laissée sous le paillasson ne profiterait pas qu’à ceux qui veulent faire le bien. D’autres personnes mal intentionnées pourraient la trouver également, l’enjeu étant de garantir l’accès aux backdoors aux seules personnes bien autorisées. Autant de conflits souverains qui, sous couvert de sécurité nationale, nuisent à la compétitivité d’entreprises tributaires de la confiance que les usagers leur témoignent dans la protection et la confidentialité de leurs données.

Vers une généralisation des chartes éthiques numériques

La souveraineté des usagers-consommateurs sur leurs données est l’expression claire de leur volonté de reprendre le contrôle, sur une information jusqu’alors concédée aveuglément aux entreprises et aux administrations. Dans cette logique, le groupe La Poste entend par exemple se positionner comme un tiers de confiance dans le traitement de la donnée de ces usagers, bien au-delà de son rôle historique dans le traitement logistique du courrier et des colis. La mise en place d’une charte data devrait permettre aux clients de reprendre la main sur l’utilisation de leurs données grâce à un portail Web d’open data, dataNova³⁸. En 2017, une plateforme dédiée à la gestion des données devrait voir le jour, conformément aux engagements du groupe, qui vont dans le sens de davantage de sécurité et de traçabilité dans la circulation des données.

Plusieurs études réalisées en France et en Europe mettent en lumière l’inquiétude croissante qu’ont les consommateurs quant à l’usage de leurs données privées. En janvier 2014, une étude du CSA³⁹ montrait que 81% des Français se disaient « préoccupés » par la protection de leurs données personnelles. Une inquiétude qui concernait en priorité leurs données sur internet (85% des sondés). Une étude du groupe Orange, réalisée entre décembre 2013 et janvier 2014 dans plusieurs pays européens⁴⁰, montrait quant à elle que 78% des interrogés avaient du mal à faire confiance aux entreprises lorsqu’il est question de l’utilisation de leurs données personnelles, que 78% des sondés considéraient que les fournisseurs de services avaient accès à trop d’informations sur leur consommation, leurs habitudes et leurs préférences, et que 82% pensaient que les consommateurs avaient peu de moyens de contrôler l’utilisation de leurs données personnelles par les entreprises et les institutions.

Face à cette défiance, les entreprises développent une politique de confiance numérique. Une prise de conscience que le scepticisme des consommateurs et des usagers vis-à-vis de leurs politiques d’exploitation et de protection des données privées représente une menace réelle pour leur image de marque et, par répercussion, pour leur croissance. Elles sont dorénavant plus soucieuses de protéger les données qui leur sont confiées.

Dans une étude du groupe Dell⁴¹ consacrée au comportement des entreprises face à la donnée, il apparaît ainsi que pour 87% des entreprises sondées la protection des données constitue une priorité dans leur projet de transformation numérique. Il est donc probable que dans les prochaines années les entreprises devront considérablement intensifier leurs investissements dédiés à la sécurisation des données, de 40% des grands comptes et de 26% pour les PME. La politique de sécurité des données des entreprises doit être rendue plus accessible au grand public. Éléments communs à l’ensemble des chartes de protection des données personnelles : la transparence dans l’utilisation des données, l’information relative à l’identité du responsable chargé de  la collecte des données, mais aussi le contrôle par le consommateur de ses données propres. Enfin, certaines entreprises proposent l’accompagnement du consommateur dans la protection, la modification ou la suppression de ses données.

Depuis 2010, les expériences se multiplient avec, par exemple, la charte de données privées du groupe Orange signée en novembre 2013⁴², celle de l’entreprise Moët & Chandon⁴³, du site de création de CV Doyoubuzz ou encore celle de la société Axway⁴⁴. Cette dernière expérience se démarque, puisque la société Axway a fait le choix d’intégrer sa charte de données dans les conditions générales d’utilisation de son site internet. Enfin, la Charte « data friendly » de France Télévisions⁴⁵ est une initiative innovante, dans la mesure où les données personnelles des utilisateurs inactifs depuis plus de dix-huit mois sont automatiquement anonymisées. Par ailleurs, les services liés à cette charte sont accessibles de façon anonyme.

Conjointement à la volonté des entreprises de répondre aux attentes des consommateurs tout en préservant l’un des aspects fondamentaux de leur compétitivité, les chartes data répondent également à de nouvelles exigences légales depuis le mois d’octobre 2013 : les députés européens de la Commission des libertés civiles ont voté une révision majeure des règles sur la protection des données de l’Union européenne. Une nécessité afin d’actualiser un cadre législatif européen qui datait alors de 1995 (directive 95/46/CE) et des règles nouvelles qui répondent à l’urgence d’actualiser des principes juridiques qui ne correspondaient plus au nouvel environnement de l’internet. Il était impossible, dès lors, d’assurer une protection efficace du droit relatif à la protection des données. En France, la CNIL offre aux entreprises des documents visant à les aider dans le respect des règles de collecte, d’exploitation et de conservation des données des consommateurs. Une aide précieuse mais pas toujours suffisante pour éviter les écueils juridiques ou éthiques.

Comment rendre la souveraineté aux usagers sur leurs data ? Les solutions technologiques ouvrent la piste d’une maîtrise retrouvée, notamment par la promotion de nouveaux modèles de régulation made in France

Et si le made in France était la solution pour les start-up, TPE et PME, soucieuses de reprendre la main dans le contrôle de leurs données ? Outre le groupe OVH⁴⁶, la French Tech ne compte que quelques rares succès en matière de cloud et de solutions sécurisées. Il est donc urgent de densifier une offre qui a encore du mal à se remettre de l’échec du cloud souverain français Andromède. Et si les solutions souveraines émergeaient à l’échelle des régions, en associant plus étroitement les collectivités territoriales ? Des « fermes de serveurs⁴⁷ » et des espaces de partages de capacités logicielles représenteraient une nouvelle forme de « cloud souverain de proximité », comme le suggère Philippe Clerc, conseiller à CCI France et expert en intelligence économique internationale : la souveraineté française des données découlerait d’une souveraineté des territoires, d’une mutualisation des moyens, dans un cadre de proximité⁴⁸.

La protection des données en entreprise est un avantage compétitif

Les affaires Snowden et Wikileaks ainsi que l’enjeu plus médiatisé de la maîtrise des données personnelles en entreprise à travers la question du Safe Harbor concourent à une prise de conscience, de la part des chefs d’entreprise, des nouveaux défis de la souveraineté numérique. Toutefois, pour le dirigeant d’une PME ou d’une TPE qui envisage davantage ces problématiques sous l’angle de la sécurité des systèmes d’information ou de la cybersécurité, la notion même de « souveraineté numérique » demeure abstraite.

À ce titre, les enquêtes sur les pratiques de l’intelligence économique menées par la chambre de commerce et d’industrie (CCI) de Bretagne et d’autres organismes auprès des PME⁴⁹ sont riches d’enseignements : les résultats de l’étude montrent que 44,2% des PME ont mis en place une démarche de protection de l’information, que 59% ont sensibilisé leurs personnels à la notion de confidentialité des données, mais que, moins de 60% d’entre elles évaluent les menaces et les risques liés à cette protection des données. Les CCI souhaitent accompagner les PME dans la gestion de ces nouveaux enjeux, en partenariat avec les fédérations professionnelles et l’État.

Philippe Clerc propose de s’attaquer à la protection des données sous un angle stratégique proche de la lutte contre la contrefaçon : « Pour lutter contre cette menace, nous menons des campagnes de sensibilisation ciblées et régulières dans une étroite collaboration entre les entreprises, leurs représentants et les pouvoirs publics au sein du CNAC. Il s’agit du Comité National Anti- Contrefaçon, un lieu d’échange, d’analyse et d’influence. Il conviendrait d’agir de la même façon concernant la souveraineté des données plutôt que de créer un commissariat à la souveraineté numérique ». S’extraire de la dépendance technologique des GAFAs serait possible, mais pas sans une réelle impulsion des pouvoirs publics. Chambres des métiers, fédérations professionnelles, Medef et CGPME attendent cette volonté politique, condition pour promouvoir des solutions numériques françaises. Cet enjeu a été évoqué dans les travaux du Sénat lors des débats autour du projet de loi « Pour une République numérique⁵⁰ ».

Innovation ouverte, les FabLabs, font de la souveraineté des données un enjeu toujours plus complexe, face auquel le cloud apparaît comme une tentative de réponse tangible. L’entreprise française est prête pour le cloud : la condition première étant la délimitation précise d’un « cyberterritoire » par l’entreprise et d’un rapport de sécurité clair avec le fournisseur de services. D’autre part, les entreprises doivent également sensibiliser leurs employés sur la question de la souveraineté des données par la mise en place de protocoles de sécurité stricts. En quoi une meilleure protection des données pourrait-elle procurer un avantage  concurrentiel  aux  entreprises  françaises ?  Outre-Atlantique,  la protection des données a toujours été considérée comme un avantage compétitif pour les entreprises, alors qu’elle est trop souvent considérée comme un surcoût pour une entreprise française, qui a du mal à évaluer le retour sur investissement de tels efforts. Le tissu industriel français doit aujourd’hui intégrer les nouveaux usages de données et les nouveaux outils qui y sont liés, à savoir les technologies disruptives du Big Data, du cloud computing et de l’open data. Gageure de la révolution numérique, la souveraineté des données par les entreprises sera l’un des marqueurs du dynamisme de l’économie française.

• Pour un cadre normatif européen et international  d’une  nouvelle  Le pouvoir normatif et réglementaire de l’Europe, souvent tenu responsable des paralysies de l’Union européenne, pourrait jouer en sa faveur : l’Europe s’est construite autour d’un modèle d’intégration économique, de gouvernance et de gestion partagée de la norme. La création d’un véritable régime juridique de protection des données personnelles permettrait d’assurer la sécurité des données des citoyens européens. Ce cadre souverain participerait du rayonnement d’une politique européenne de protection des données, duplicable dans d’autres pays. De plus, ce cadre normatif souverain contribuerait à l’accroissement de l’attractivité de l’espace européen auprès des entreprises étrangères. Enfin, ce cadre renforcé permettrait de contenir l’extra- territorialité des États-Unis et, plus récemment, de pays émergents dans la guerre pour l’hébergement des données.

• Redéfinir la gouvernance internationale de l’internet. Afin d’établir les nouveaux cadres de sécurité collective à l’âge des réseaux interconnectés, l’articulation des positions des pays de l’Union européenne sur la gouvernance du cyberespace, dans le respect de la souveraineté des États membres et des valeurs qui les unissent, est nécessaire. Sur le plan diplomatique, la France a toujours défendu le caractère multilatéral de la gouvernance de l’internet, l’action légitime des gouvernements à travers le modèle multi-acteurs, favorable au dialogue entre ces différentes institutions, et plus particulièrement de l’Icann. L’instauration de noms de domaine internationalisés, tels que .Paris, illustre cette Tout en encourageant le rôle moteur des acteurs du secteur privé dans la gouvernance de l’internet, les États ont tout intérêt à promouvoir une gouvernance respectueuse de l’intérêt public, sans faire prévaloir les intérêts commerciaux ou régionaux. La souveraineté des États trouverait ainsi sa pleine compatibilité avec un cadre politique d’intérêt général favorable à la confiance aussi bien des citoyens et des consommateurs qu’aux investissements des entreprises.

• Entreprises : regagner la confiance de l’usager. Cette reconquête implique plus de confiance et de transparence dans le traitement de la donnée des usagers, à travers le triptyque « régulation-corégulation-autorégulation » de la Par ailleurs, un code de conduite international pour les entreprises multinationales et la création d’une instance mondiale de contrôle, à l’image du Comité international de l’internet déjà évoqué dans le cadre des Nations unies, est une piste tangible.

• La solution blockchain⁵¹ est un atout pour garantir la souveraineté de la donnée des Sécuriser une entreprise, une administration ou une infrastructure en repensant toute la chaîne de confiance par des liens fiables tout en garantissant l’intégrité, la confidentialité, la traçabilité et l’archivage de ces mêmes données, est une piste prioritaire.