Menu

Bâtissons la souveraineté numérique de demain dès aujourd'hui

BATISSONS LA SOUVERAINETE NUMERIQUE DE DEMAIN DES AUJOURD'HUI

Une vision globale du fonctionnement de notre Société ne suffit pas à décrire les contours de la souveraineté numérique. Il est nécessaire d’y adjoindre une extrapolation des questions auxquelles tout acteur de la vie quotidienne sera exposé demain. Bien que des chercheurs, des professionnels du numérique, des politiciens, des passionnés y travaillent d’arrache-pied, cela ne suffit pas. C’est une prise de conscience de la part de tous les échelons générateurs de données qui assure la souveraineté numérique.

 

Retrouvez l'ensemble de cet article en version pdf en cliquant ici.

 

La souveraineté, une non-définition

Quantité de définitions existent mais ce qui importe ce sont ses manifestations. Elle renferme des notions telles que l’autonomie et l’indépendance tant dans les actes que les idées. Par conséquent la souveraineté se construit progressivement et cette frêle existence menace à tout instant d’être perdue. Par les relations qu’elle teinte, elle demande forcément un effort voulu de la part de toutes les parties en présence. Mais elle ne saurait apparaître au détriment des autres, c’est pourquoi elle demande à laisser une liberté d’engagement et de désengagement. Enfin comme toute chose vivante, elle ne doit pas consommer trop d’énergie pour être mise en place. En résumé, la souveraineté se rapproche plus d’une notion de confiance à l’image d’une relation entre individus.

 

Le contexte y prend toute sa place

Il est indéniable qu’à l’heure actuelle l’Europe n’est pas le leader économique de la donnée mondiale. L’avantage géopolitique est clairement du côté des Etats-Unis et de la Chine. Pour rivaliser avec ces deux superpuissances, les atouts certes importants de la France, ne suffisent pas ou plus. Fini la créativité nationale autonome, place à de nouveaux GALILEO. Il est nécessaire de faire évoluer le référentiel d’innovation, tout est question d’échelle. Rester sur une dimension nationale, ne permet pas de déployer un plan d’action significatif, au minimum le point de vue européen est à envisager.

Le point délicat actuellement est que ces grandes puissances n’ont pas de changement d’identité et encore moins de structure, en cours ; mais l’Europe, oui. Une nouvelle mentalité émerge et cela demande un peu de temps. Après le démantèlement des pouvoirs nationaux entrepris depuis quelques années, place à un avantage jusqu’ici sous-exploité : la diversité culturelle.

Lorsque l’on aborde la question des données, les algorithmes et l’Intelligence Artificielle ne sont pas loin. Il est attendu de ces outils qu’avec des données en quantité il est possible au système d’apprendre et d’anticiper. Donc l’un des points décisifs de ceux-ci repose sur la nature des données, sources de biais. D’ailleurs plus les données sont teintées de cultures, de conceptions différentes et plus les résultats sont pertinents et adaptables.

Aussi ce qui semble être une faiblesse au premier abord, et qui sert trop souvent de justification à un manque de confiance en soi, est en réalité une force.

En plein XIXème siècle Emile de Girardin se positionnait déjà en précurseur de la souveraineté numérique : « Gouverner c’est prévoir : la meilleure manière d’assurer la paix, c’est de devancer les complications susceptibles d’amener la guerre. » Ainsi le possesseur de données structurées, et en quantité, est capable de faire une prédiction comportementale de qualité et d’acquérir un pouvoir. Cela est source d’affaiblissement de la notion de souveraineté. Assurément le cloud souverain ne saurait se restreindre à quelques entités particulières mais se doit de toucher tous les générateurs de données.
 

 

Qui s’est enrichi lors de la ruée vers l’or ? Les vendeurs de pelles…

Prenons l’exemple de la France qui a une importante relation historique à la donnée. Au travers de la création des archives nationales ou encore du suivi médical de la population, les données ne manquent pas et leur valeur ne fait qu’augmenter. Ainsi à l’heure actuelle celle-ci est même très certainement supérieure à celle des GAFAM. Mais cette valeur ne peut revenir qu’à l’exploitant des données.

Or la tendance actuelle est à l’externalisation via des clouds non européens. Résultat, l’exploitation des données est faite correctement avec pour retour des services payants dont les particularités culturelles sont amoindries. D'ailleurs, un nombre croissant de clients dits « grands comptes » prend la décision de passer sur des offres plus attractives. Ils voient ensuite leur facture augmenter de 30 à 50 % et de plusieurs milliers de jours homme de migration dans les années qui suivent.

L’un des grands témoins, et parfois acteur, de cette situation sont les Services de Sécurités d’Information (SSI) qui cherchent entre autres choses à sécuriser les données. Dans le même temps des stratégies entières d’entreprise cherchent à externaliser ces dernières. Au nom de la diminution des coûts et d’une vision à court terme, la sécurité se retrouve sacrifiée.  Cela traduit une sorte de paradoxe de la part des donneurs d’ordres. La volonté d’avoir un service qui soit gratuit et de qualité mettant en pratique l’adage d’Internet : « Si c’est gratuit, c’est que vous êtes le produit ». C’est pourquoi la solution de la souveraineté doit à la fois être collaborative, économiquement viable et respectueuse des données. Le temps de la réflexion est révolu, il doit laisser place à celui de l'action.

 

Décentraliser le pouvoir

Pour cela remettre les individus au centre de l’action pour qu’ils passent du rôle de consommateur captif à celui d’acteur. Actuellement celui qui départage dans une soirée entre amis est plus souvent le moteur de recherche d’Internet et ses premiers résultats, qu’un accord construit. Cette démarche engagée malmène la démocratie et laisse le champ libre aux fake news ou à l’accès à de nouveaux services.

Pour donner corps à cette approche idéologique, il est possible de mettre en œuvre des structures non plus hiérarchiques mais réparties. D’autant plus que le très haut débit facilite cette décentralisation. L’exemple des messageries codées de bout en bout en est un bon exemple. A l’heure actuelle, le chiffrement des messageries dites codées de bout en bout repose essentiellement sur quelques personnes qui ont accès aux clefs de déchiffrement. Autrement dit le pouvoir est hyper centralisé, par ceux que l’on nomme des tiers de confiance.

Une fois que l’Etat aura redéfinit ce qu’est un tiers de confiance, et favorisé sa multiplication, les Utilisateurs reprendront en partie la main sur leurs données. Cela permettra par la même occasion d’identifier quelles sont les failles des systèmes et qui les connaît.

D’ailleurs cette démarche permettrait d’aider les Citoyens engagés à mettre en œuvre la souveraineté numérique au quotidien. S’ils sont conscients des conséquences de leurs actions au sein de l’entreprise, il se doivent d’utiliser la solution « corporate ». Par conséquent ils deviennent complices bien malgré eux de la dévalorisation de l’entreprise, de leur employeur. Leur savoir-faire est gaspillé.

 

Protéger les savoir-faire

Ce savoir-faire est primordial pour que l’entreprise conserve toujours un peu d’avance sur ses concurrents. Mais cela nécessite un temps de recherche et de liberté. Aussi la mise en place de lois contraignantes ne saurait favoriser cette inventivité. C’est pourquoi la vérification semble plus bénéfique que la contrainte initiale. Afin de dissiper tout malentendu, il est important de préciser que cette vision n’est pas non plus synonyme de désengagement de la part du Législateur, bien au contraire. Il reprend ici toute sa dimension de garant de la sécurité pour le plus grand nombre et d’incarnation du message. Cela se traduit notamment par le fait d’utiliser l’Administration française comme une vitrine technologique aux yeux du reste du monde afin de valoriser la démarche vertueuse engagée.

Du côté des entreprises, celles-ci peuvent aussi promouvoir l’open source, ou lorsque cela ne leur est pas encore possible, tendre dans cette direction, pour continuer d’enrichir la symbiose engagée avec les autres acteurs du marché.

 

Apprendre à apprendre

Le danger qui pèse sur la souveraineté numérique est avant tout humain. Comme le montre Edgar Morin la formation des générateurs de données revêt une importance primordiale. Par la méconnaissance des outils, des usages et des menaces issus du monde numérique, les acteurs mettent la sécurité des données en péril. Au même titre que la santé est dépendante des organismes avec lesquels le corps vit, il est nécessaire de sensibiliser à une « hygiène numérique ». Un utilisateur qui déclassifie ses données pour des raisons de praticité dans son environnement quotidien de travail, expose ses données, et par la même celles de son entreprise. C’est bien la compréhension du cheminement des données qui permet d’utiliser n’importe quelle solution technologique. Il est nécessaire de déconstruire une vision encore trop souvent superstitieuse du monde numérique, qui l’associé à quelque chose de magique.

 

Le progrès comme liant des actions quotidiennes

Des organismes existants, comme l’AFNIC par exemple, sont à même d’aider les entreprises en mettant en place une sensibilisation à l’importance des mises à jour de sécurité de leurs servers DNS. Les effets seront d’autant plus importants que les entreprises feront parties du CAC40 par exemple.

 

Des acteurs périphériques mais décisifs

D’autres acteurs non spécialistes ont aussi un rôle important à jouer comme les Législateurs. Les lois structurants les évolutions du marché du numérique conditionnent de fait la souveraineté numérique. C’est le cas notamment des Parlementaires qui doivent être formés spécifiquement sur le sujet des données. L’idée ici n’est bien évidemment pas d’influencer les idéologies, mais d’être pragmatique pour que chacun puisse s’exprimer en pleine conscience. La Démocratie a tout à y gagner. Au même titre que les dérives évoquées plus avant au sein des entreprises, même si les lois sont pensées avec un prisme de souveraineté, il faut encore qu’elles soient applicables. La conséquence logique est la mise en œuvre de la jurisprudence et la nécessité là aussi de former les juristes pour sa mise en œuvre optimale.

Le domaine du numérique comporte de nombreux points communs avec celui du droit maritime comme le rappelle le Député E. BOTHOREL. D’ailleurs là aussi des outils sont disponibles pour protéger des lois extraterritoriales. C’est le cas notamment avec des outils nationaux comme l’article R226-3 du code Pénal, qui peut permettre d’exclure des acteurs si l’Etat le souhaite. Or faut-il encore que cette volonté soit présente. Fort heureusement pour la France, c’est le cas comme l’a rappelé à plusieurs reprises le Président de la République en exprimant sa volonté d’investissement pour réduire la dépendance des infrastructures françaises aux actuels géants du numérique. Une volonté politique est engagée visant à protéger les données, comme cela serait attendu d’un patrimoine national. Les lois ne font pas tout mais elles peuvent aider.

A l’exemple de ce qui s’est fait par la mise en place de quotas dans le domaine culturel public via la diffusion de médias sur la télévision, la radio, etc., le numérique français, et européen par la même occasion, a toutes les chances de s’exprimer. Reste à trouver le moyen le plus adapté.

La mise en place du RGPD traduit beaucoup d’attentes. Sous réserve qu’il soit appliqué, compris et amélioré. Des données qui peuvent sembler anodines au premier abord peuvent être corrélées et devenir des données sensibles, voire stratégiques. Une définition de ces données pourrait, là aussi constituer à une partie de la réponse à la souveraineté numérique. De plus l’application des règles incluant des mises à l’index de solutions pendant une certaine durée pourraient calmer les ardeurs de certains développeurs et les obliger à envisager sérieusement la protection des utilisateurs, leurs clients.

La certification permet aussi une régulation de la part des entreprises et de l’Etat, et ne constitue aucunement un élément discriminant. Néanmoins celle-ci ne saurait dépendre que de normes américaines comme cela est trop souvent le cas. L’exemple ne peut venir de l’extérieur de l’Europe puisque par définition il est déconnecté des référentiels européens. Seule solution, oser créer un modèle de pensée et des standards européens. Ceux-ci participeront à la croissance des fleurons technologiques et déjà existants. Mais ce référentiel nécessite une harmonisation des législations européennes pour lever quelques-uns des obstacles réglementaires, fiscaux ou encore culturels présents. A l’issue, Bruxelles sera en capacité d’héberger un régulateur du numérique opérationnel respecté et respectable.

En proposant un cadre juridique adapté à la souveraineté numérique tout le monde y gagne. L’objectif sera de mettre en place des règles de la concurrence qui soient loyales. Cela permettra aux Entreprises d’être en capacité de faire leur partie du contrat citoyen, à savoir celui de constituer une réponse économique viable. C'est ainsi que les lois tirent leurs forces : de ceux qui les appliquent.

Pour poursuivre cette démarche globale, les Citoyens sont une composante importante. Au même titre que chacun verrouille son domicile avec sa clef, la capacité d’activer ou non ses données pourrait être envisagé. Pour cela créer une sorte de domicile numérique. Ainsi le réseau se protège à l’aide de ses propres ressources.

D’autres acteurs incontournables sont les Collectivités et les entreprises publiques. Il semble incohérent qu’à l’heure actuelle les règles d’achat public ne soient pas adossées à la notion de souveraineté numérique. Ainsi comment se fait-il que les solutions qui respectent les intérêts européens ne soient pas favorisés et ce au nom du droit de libre concurrence ? La mise en place d’un small business act favoriserait l’émergence d’un socle technologique cohérent protégeant la liberté des citoyens qui attendent des services de ces structures. Ce type de solution permettrait d’augmenter le nombre de clients des solutions locales et d’entretenir l’émergence d’alternatives crédibles au moins sur le marché européen.

 

En conclusion

Le code fait loi comme le disait Lawrence Lessig dans son célèbre article : Code is Law – On Liberty in Cyberspace. Certes, mais il mettait aussi en avant dès les années 2000, soit une éternité dans le monde numérique, que l’architecture et la manière d’organiser le réseau étaient encore plus importantes. Comme toute structure d’échange entre individus, car c’est bien de cela qu’il s’agit, elle repose sur une notion de confiance. D’ailleurs les actuels géants du numérique l’ont bien compris et ils savent que tout changement dans le comportement des acteurs, des consommateurs, est de nature à fragiliser le pouvoir acquis. La donnée c’est bien, savoir s’en servir c’est mieux, mais travailler ensemble est aussi vital.

 

Merci à toutes les personnes qui ont répondu présentes à la Soirée de la Souveraineté Numérique, organisée à l’Assemblée Nationale le mardi 23 juillet 2019. Par leurs interventions, expertises elles ont participé à l’élaboration de ce document. Celui-ci n’est pas la transcription des idées individuelles, mais bien une synthèse. Aussi il ne saurait engager personnellement ou professionnellement les personnes citées suivantes : Wilfried BARTSCH – OPERATION LANCELOT, Pierre-Antoine BEAUDOIN – NVIDIA, Benoît BERTHE – LOKLY, Karel BOUGOIS – LE VOICE LAB, Alain BOUILLE – CESIN, Léonard COX – QWANT, Stanislas DE MAUPEOU – THALES, Guillaume DESVEAUX – STORIT.IO, Thomas FAURE – WHALLER, Sébastien GARNAULT – CYBERTASKFORCE, Jean-Pierre LACH – PIMAN, Éric LEANDRI – QWANT, Éric LEMAIRE – YOOCAN, Sébastien MENARD – QWANT, Kevin POLIZZI – JAGUAR NETWORK, Frédéric PRADEILLES – CNES, Pierre-Alain RAPHAN – DEPUTE, Olivier ROUSSEAU – BE-BOUND, Laoreato SANTONASTASI – HYPERPANEL, Alexandre ZAPOLSKY – LINAGORA.


– Propositions de 28 actions à entreprendre –

Comportemental

  • Combattre les biais sociétaux et favoriser la mixité tant sociale que de genre.
  • Faire prendre conscience aux consommateurs du pouvoir qu’ils détiennent et des conséquences de leurs actions au quotidien.

 

Politique

  • Incarner le message politique.
  • Faire de l’Administration française une vitrine technologique.
  • Passer d’une vision nationale autocentrée à une vision coopérative européenne.
  • Mettre en place un small business act au sein des entités publiques et des politiques d’achats publics.
  • Augmenter les ressources de l’ANSSI pour se donner les moyens d’agir.

 

Législatif

  • Harmoniser les systèmes législatifs nationaux au sein de l’Europe pour assurer une vision européenne congruente.
  • Redéfinir les tiers de confiance.
  • Définir la notion de donnée sensible spécialement pour les données générées par la Collectivité.
  • Etudier la notion juridique de domicile numérique.

      

Formation

  • Former les actifs spécialistes du numérique ou non, quel que soit leur statut (initial, continue ou reconversion).
  • Enseigner l’utilisation du numérique aux Jeunes dès le début de leur scolarité et au travers d’une école nationale de la technologie.
  • Sensibiliser tous les Citoyens au numérique.
  • Combattre les biais sociétaux et favoriser la mixité tant sociale que de genre.
  • Faire prendre conscience aux consommateurs du pouvoir qu’ils détiennent et des conséquences de leurs actions au quotidien.  
  • Former les Parlementaires et les Juristes à la donnée numérique. Des « Poléthiciens ».
  • Eduquer à « l’hygiène numérique ».
  • Utiliser l’AFNIC comme ambassadeur dans la sensibilisation à la protection des servers DNS.

 

Standards de la profession

  • Créer un système d’entraide entre les entreprises qui assure la viabilité et la compétitivité des offres.
  • S’orienter vers l’Open Source autant que possible.
  • Faire évoluer les tiers de confiance en favorisant leur répartition et non leur centralisation.
  • Maitriser l’accès aux données, pour comprendre le conditionnement des choix de tout à chacun.
  • Construire une relation client basée sur :
    • La transparence dans le fonctionnement.
    • La prévisibilité sur les tarifs.
    • La réversibilité pour pouvoir changer de prestataire
  • Vérifier le respect des standards de référence de sécurité des données dans les appels d’offre publics et les conséquences associées : HDS, ISO27001, PCIDSS, etc.
  • Se donner des standards de chiffrement européens au même titre que ceux américains.
  • Poursuivre le développement d’un système d’exploitation européen sur le modèle français déjà existant.
  • Favoriser l’interopérabilité, la portabilité des données et des services.
  • Construire des infrastructures de gestion des données et du hardware.