« Cyberbalkanisation », « inertie bureaucratique »… La gouvernance de l’Internet est-elle menacée ?

Faudrait-il déconnecter la Russie de l’Internet, à titre de sanction pour la guerre russo-ukrainienne ? Les grandes firmes de la Big Tech menacent-elles le droit pour tous d’accéder librement au Web ? Quels moyens et protocoles faudrait-il déployer ? Les initiatives de création d’un « Internet souverain » peuvent-elles compromettre l’Internet que nous connaissons ? Et plus important encore, à qui faut-il confier le pouvoir de trancher ces questions ?

Le sujet de la gouvernance de l’Internet n’est pas mis suffisamment au cœur des débats. Pourtant, elle pourrait bien façonner le monde numérique dans lequel nous vivons. Directrice générale du Lodz Cyber Hub et Professeure titulaire en droit international de l’Université de Lodz, en Pologne, Joanna Kulesza est membre de plusieurs organisations internationales. Elle a signé de nombreuses publications. Elle aborde ici les enjeux de la gouvernance de l’Internet.

À l’occasion du colloque Geopolitics of Internet Routes organisé par Geode le 16 décembre 2022, Joanna Kulesza a appelé de ses vœux une gouvernance de l’Internet équilibrée entre professionnels des technologies et entrepreneurs, entre société civile et acteurs étatiques.

En disant cela, parliez-vous de la gouvernance d’organismes techniques comme l’ISOC, l’ICANN, l’IETF, d’organismes internationaux comme l’IGF et l’UIT, ou de la coopération entre ces organismes et d’autres parties prenantes ?

Le paradigme qui vaut actuellement, que vous pouvez observer aussi bien dans le programme 2005 de l’UIT que dans les débats du sommet WSIS+20, correspond à la dernière approche que vous avancez, plus large.

C’est également la position de l’UE, quand on parle d’un ordre régi par les normes. L’UE, les États européens, dont la France en particulier, défendent fermement l’idée d’une gouvernance de l’Internet dans laquelle on autorise trois catégories de parties prenantes – entreprises, société civile et pouvoirs publics, dans leurs rôles respectifs – à façonner l’avenir de l’Internet.

À quels dangers la gouvernance de l’Internet est-elle confrontée en réalité ?

Le plus préoccupant pour moi serait ce qu’non nomme « Splinternet », le risque de balkanisation du cyberespace. L’initiative « DNS for EU », préparée par la Commission européenne, fournit ici un exemple intéressant. Pour le dire rapidement, sans prendre de gants, l’UE envisage de construire son propre Internet. Certains comparent ce projet à l’initiative Runet, lancée par la Russie voilà quelques années, ou encore à la façon dont la Chine a paramétré dès le départ ses infrastructures Internet. L’idée serait d’avoir un résolveur public européen, que les fournisseurs européens d’accès à l’Internet seraient contraints d’utiliser.

C’est une chose de se demander si tout cela va fonctionner, mais c’en est une autre de déterminer si cet objectif politique est souhaitable. Voilà ce qui me pose question. Voulons-nous créer un résolveur européen ? Dans ce cas, si vous vous connectez à l’Internet en France ou en Pologne en interrogeant ce résolveur public, certains contenus (par exemple, des propos d’incitation à la haine), seraient automatiquement écartés des résultats de la requête, parce que c’est ainsi que le résolveur serait paramétré.

Ne faut-il pas y voir un moyen pour l’Europe de renforcer sa souveraineté par rapport aux États-Unis ? Après tout, les résolveurs DNS sont principalement américains.

Tout à fait d’accord. C’est précisément l’objectif politique avancé. Mais mon point de vue, celui d’une juriste en droit public international et dans une certaine mesure, contributrice de la gouvernance de l’Internet, l’objectif devrait plutôt être de préserver l’Internet dans sa globalité. Si l’Europe, qui est l’un des principaux promoteurs du modèle multipartite, décide soudain d’accaparer une partie des DNS, on ne pourra plus parler d’un Internet global et universel. Sans compter que cette évolution ne résoudrait pas le problème économique auquel nous sommes confrontés sur le plan des infrastructures et des services professionnels.

Selon vous, comment faudrait-il faire évoluer la gouvernance au sein d’instances techniques et internationales comme l’IGF et l’UIT ?

La comparaison entre l’IGF et l’UIT est intéressante, parce qu’en réalité, l’IGF n’a absolument aucun pouvoir décisionnaire. L’IGF est un forum, le cadre d’échange courtois où différents groupes d’intérêts présentent les solutions qu’ils privilégient. Quand l’Agenda de Tunis a mis en place l’IGF, il n’aurait pas pu lui accorder moins d’autorité. L’UIT, en revanche, est une organisation internationale. Nous avons déjà connu une « guerre de l’Internet » de ce genre il y a quelque temps, quand certains ont avancé que l’UIT voulait prendre le contrôle des protocoles Internet.

Mais cela n’est jamais arrivé. Soit parce que l’UIT a fait d’elle-même machine arrière, soit parce qu’elle a été empêchée d’enfreindre le modèle reposant sur des groupes à intérêts multiples. Les protocoles sont toujours définis par l’ICANN, l’IGF et l’IETF. Je suis convaincue, comme le sont officiellement certains pays d’Europe et les États-Unis, que c’est une bonne chose. En effet, un Internet régulé par l’UIT souffrirait de l’inertie bureaucratique d’une telle instance.

Les États pourraient toujours vouloir s’ingérer dans la gouvernance de l’Internet…

Bien sûr, et ils votent des lois en ce sens. C’est ce que l’UE tente de faire avec l’initiative « DNS for EU ». La Chine intervient depuis longtemps sur l’Internet, notamment par le routage. Mais ce que fait l’UE avec le RGPD est encore plus significatif, en agissant sur le fonctionnement des registres et des registraires. Le RGPD a contraint l’ICANN à reconnaître le respect de la vie privée comme étant un paradigme directeur.

Et l’UE tente d’aller plus loin également, avec le DSA (Digital Services Act), le règlement européen sur les services numériques. Ce règlement va contraindre de très grandes plateformes à s’engager sur le respect des droits humains tels qu’on les conçoit en Europe.

Les États privilégient la voie législative et réglementaire, l’investissement dans les infrastructures plutôt que de contribuer au renforcement du modèle multipartite. Mais cette approche risque de conduire à définir un Internet différent selon les régions du monde. Mon avis est que les États devraient plutôt contribuer à notre modèle tel qu’il est. Sinon, on pourrait se retrouver avec une « ONU de l’Internet ». Et je n’ai pas besoin de vous rappeler la complexité et la lenteur de fonctionnement de l’ONU.

Parlons des infrastructures. En décembre 2022, vous avez parlé de Starlink, qui fournit un accès Internet en Ukraine, et proposait ce service à l’Iran. Le système a fonctionné dans un cas, mais pas dans l’autre. Pourquoi ?

La réponse est simple : tout dépend des « droits d’atterrissage » accordés aux opérateurs. Pour fournir un accès par satellite, il faut une station à terre. Cette station relève naturellement de la juridiction d’un État. Si cet État est en guerre comme l’Ukraine, ou s’il est en proie à l’instabilité comme c’est le cas en Iran, il sera difficile de déployer une station terrestre sécurisée et opérationnelle. On demande alors à un pays voisin d’octroyer des droits d’atterrissage pour les satellites, afin de proposer le service dans le pays qu’on veut aider.

Pour l’Ukraine, la Pologne a accepté d’accorder des droits d’atterrissage à Starlink, qui a ainsi pu répondre à la demande de service de l’Ukraine. En Iran, c’est l’inverse qui s’est produit. Téhéran n’aurait jamais accepté que Starlink propose ce service à une société qu’elle s’efforce de maintenir dans l’obscurité, pour ainsi dire. Hors d’Iran, les stations terrestres les plus proches sont en Turquie. Et pourquoi Ankara aurait-elle compromis sa position sur la scène internationale en permettant qu’une société rebelle, du point de vue des autorités iraniennes, accède au service ?

La Chine domine actuellement le déploiement des satellites sur orbite basse. Quels pourraient être les dangers de cette position dominante ?

On fait face ici à un problème de sécurité de la supply chain, tout comme pour la 5G. Nous avons voulu un Internet plus rapide, et les infrastructures nécessaires étaient chinoises pour l’essentiel. Nous avons voulu savoir ce qu’il y avait derrière ces infrastructures que nous achetions. Il a fallu tirer les enseignements des révélations d’Edward Snowden : le matériel américain présentait une porte dérobée permettant à la NSA d’accéder aux SMS de la chancelière (Angela) Merkel, par exemple. Qu’en serait-il du matériel chinois, régi par des protocoles chinois ? Nous devons aussi nous montrer prudents avec Starlink ou d’autres services.

Forte des révélations d’Edward Snowden et de l’expérience 5G, pour laquelle il n’existait pas vraiment de solution de repli, l’Europe investit des milliards d’euros dans sa propre infrastructure satellitaire : le programme Iris2 annoncé l’an dernier. Avec ce programme, nous serons mieux armés face aux menaces que nous rencontrons actuellement sur le plan de la confidentialité et de la sécurité nationale.

L’Internet unifié que vous défendez est-il contesté par la progression constante des GAFAM dans le déploiement des infrastructures ?

Cette tendance peut être préoccupante mais les couches de code et de protocole de ces infrastructures restent sous contrôle de parties prenantes multiples, et soumises aux législations nationales. L’infrastructure fournit tout au plus une autoroute pour les protocoles, qui déterminent ensuite quels contenus sont disponibles et à quel endroit.

Prenons l’exemple de la demande formulée par l’Ukraine, visant à mettre la Russie hors ligne à titre de représailles pour les opérations d’invasion. Si cette demande avait été adressée à l’UIT, cette organisation intergouvernementale aurait peut-être fait le choix politique de répondre « oui, cette demande entre dans le cadre des sanctions. Nous allons déconnecter la Russie ».

Beaucoup d’entre nous auraient alors totalement perdu confiance dans l’Internet. L’Internet que nous connaissons aurait cessé d’exister. À l’inverse, dans le modèle de pluralité d’intérêts que nous défendons, ceux que nous aimons appeler les « gardiens de l’Internet » ont rejeté cette demande, répondant en substance : « Toutes nos excuses, même si nous condamnons ce que fait la Russie en Ukraine, nous n’allons pas interrompre le service ».

Toute la différence est là. La propriété des infrastructures n’est qu’une partie de l’équation. Heureusement pour nous, la couche de protocole est gérée par des processus multipartites, pour le meilleur comme pour le pire, et c’est comme ça que nous continuons de fonctionner. Si les États veulent s’ingérer dans la couche de protocole, l’UIT pourrait acquérir une autorité conduisant à prendre des décisions politiquement marquées.