
La souveraineté numérique est avant tout une affaire de volonté
La souveraineté numérique fait parler et même beaucoup parler, depuis quelques mois. En tête de cette parole publique franche, le Député Philippe Latombe, rapporteur d’une mission parlementaire d’information sur le thème « Bâtir et promouvoir une souveraineté numérique nationale et européenne ». L’autre porte-voix de cette thématique est Bruno Le Maire qui dirige le « ministère de l’Économie, des Finances et de la Souveraineté industrielle et numérique ». Ainsi donc, et c’est nouveau, la souveraineté numérique fait débat jusque dans notre Parlement et nos organes exécutifs.
Ce qui n’est pas nouveau, c’est la réalité du problème. En 2016, nous avions déjà pointé cette problématique dans un ouvrage intitulé « Quand le digital défie l’État de droit » (Ed. Eyrolles -primé au FIC 2017 par le prix du jury), « digital » étant le mot anglais pour numérique. Nous avions en effet dénoncé un système mis en place par certaines sociétés américaines, notamment les GAFAM. Ce système avait pour objectif l’évitement de l’État de droit et la privation d’un accès des citoyens européens à celui-ci. Les moyens ? De très longues CGU acceptées par tous, le plus souvent sans lecture, soumises à la Loi et aux juges californiens, l’impossibilité d’entrer en contact avec ces entreprises autrement que par des formulaires qui tombent dans des boites noires insondables, etc. Or, cette réalité est toujours d’actualité. Ce qui a changé, c’est le discours public qui se développe en France, et même au sein de la Commission européenne avec Thierry Breton, qu’on espère soutenu à l’intérieur même des autorités communautaires. Car oui, la question de la souveraineté numérique est avant tout une affaire de volonté. Nous allons expliquer pourquoi.
Quand la volonté fait défaut
Tout d’abord, on peut se poser la question de savoir pourquoi en Europe, on en est arrivé là ? Un oligopole de grandes entreprises américaines, en premier lieu les GAFAM, qui règnent sans contestataires chacun sur leur marché européen. Dans d’autres parties du monde, Chine ou Brésil par exemple, cette réalité est toute autre. Google créé en 1998, est arrivé en Europe en 2003. Facebook l’a suivi et Amazon Web Services également. Twitter sera le dernier arrivé. Quant à Apple et Microsoft, ils étaient déjà présents mais l’Internet et le cloud computing n’ont fait que renforcer leur emprise sur leurs marchés respectifs. Qu’a fait la Commission européenne Barroso face à cette situation ? Rien. Seule la France sous la présidence Sarkozy a eu la bonne vision, celle de mettre en place un cloud souverain et français. Mais la mise en œuvre a été catastrophique. Plutôt que de s’appuyer sur les acteurs cloud existants, le Gouvernement Fillon s’est lancé dans la constitution de deux entités au demeurant concurrentes, Numergy avec Sfr et Cloudwatt avec Orange. Au final, beaucoup d’argent public gâché pour un échec retentissant et une occasion manquée. Quant à la Commission européenne, elle était bien aux abonnés absents. Aucune politique publique n’était proposée pour permettre l’émergence de champions européens. Pire encore, les réglementations empilées les unes derrière les autres, venaient alourdir de contraintes les concurrents européens des entreprises américaines, et leur rendait le match encore plus difficile si ce n’est impossible.
L’autre manifestation éclatante de cette absence de volonté européenne, a été depuis quinze ans, la faiblesse de réactions lorsque ces entreprises outre-Atlantique se soustrayaient à la Loi européenne. Le plus bel exemple est l’affaire du hashtag #unbonjuif sur Twitter, en 2013. Ce dernier donnait lieu sur le réseau social, à de nombreux débordements antisémites, dont certains d’une grande violence. À la requête d’associations antiracistes, la justice française demandait à Twitter les logs de connexion permettant d’identifier les auteurs de ces contenus antisémites. En dépit d’une ordonnance du Président du Tribunal de Grande Instance de Paris du 24 janvier 201314, qui sera suivie d’une seconde ordonnance du Premier Président de la Cour d’appel de Paris, Twitter refusa de répondre aux réquisitions judiciaires, considérant que « les contenus hébergés sont stockés sur des serveurs lui appartenant situés aux États-Unis » et qu’il ne se trouve pas soumis à la législation européenne. Imagine-t-on une seule entreprise française, résister ainsi à la Loi et aux juges ? Le Parquet disposait même d’un texte pénal, punissant de 1 an de prison et de 75 000 euros d’amende, tout dirigeant de société dite « hébergeur » fonctionnel de contenus illicites, qui refusait de coopérer avec la justice. Or, le Parquet qui disposait ici du moyen d’envoyer en correctionnel les dirigeants de cette Société, brillera alors par son absence totale de réaction. Aux États-Unis, Hollywood attaqué sur le droit d’auteur par la plateforme YouTube et ses publications, engagera un rapport de force en justice réclamant des milliards de dommages et intérêts pour contrefaçon des droits d’auteur, rapport de force qui fera reculer cette plateforme, laquelle prendra des mesures drastiques pour respecter les droits d’auteur.
Il n’est jamais trop tard…
L’État de droit a ça de formidable, qu’un homme ou quelques-uns, peuvent renverser une situation. Max Schrems en est un exemple. Alors qu’il n’était qu’un simple étudiant en droit en 2012, il engageait une action judiciaire contre Facebook qui, par ricochet, devenait un recours contre un accord conclu entre le département du commerce du gouvernement américain et la Commission européenne. Cet accord permettait à une entreprise américaine, contre le paiement de quelques centaines dollars et une simple déclaration unilatérale, de s’affranchir des règles impératives en matière de données personnelles, aujourd’hui le RGPD. Il pouvait ainsi collecter les données personnelles des résidents européens puis les transférer sur ses infrastructures aux États-Unis, pays qui ne dispose d’aucune réglementation en matière de données personnelles au niveau fédéral, en toute légalité grâce à cet accord intitulé Safe Harbor. C’est la Cour de justice de l’Union européenne qui invalidera, en octobre 2015, cet accord scandaleux. Un seul homme aura donc bousculé les règles établies au préjudice des résidents européens.
Cette volonté, on la retrouve dans les règles posées par Bruno Le Maire, ce 12 septembre 2022. Sa philosophie semble simple. Réglementer pour interdire ceci ou cela, ne va pas résoudre la question. En effet, les entreprises européennes utilisatrices des services cloud ont peu d’alternatives à Google, Amazon Web Services ou Microsoft. Alors le Ministre annonce des mesures fortement intéressantes. En premier lieu, Bruno Le Maire entend apporter une aide aux PME fournisseurs du cloud, pour l’obtention d’une certification dénommée « SecNumCloud ». Cette certification a été conçue et est délivrée par l’Anssi dès lors que le candidat à la certification, répond à des critères techniques, organisationnels et même juridiques qui assurent, notamment, que les données confiées à ce prestataire par les clients utilisateurs, ne vont pas s’échapper en dehors de l’Union européenne. Une seconde mesure annoncée est de faire en sorte que la commande publique s’oriente pour des « données particulièrement sensibles » vers ces fournisseurs de cloud certifiés SecNumCloud. On crée donc les conditions pour aider des fournisseurs cloud à respecter notre souveraineté numérique, c’est-à-dire nos valeurs et nos règles de droit souverainement décidées par la représentation démocratique et en parallèle, on crée pour ces acteurs vertueux, l’espoir d’un marché, créateur de richesses. De la sorte, on peut espérer que lesdits acteurs se renforceront au point d’investir dans le service, le développer, l’améliorer, voire en faire une offre concurrente sérieuse à ceux des acteurs non respectueux de notre souveraineté. Voilà comment par une volonté éclairée, s’appuyant sur des règles de droit et avec une visée économique, on peut aider à apporter une première réponse, à la question de la souveraineté numérique. Un exemple à suivre.
A lire aussi
- Souveraineté numérique
- Cyber sécurité industrielle
- Sécurité et stabilité du cyberespace
- Cyber criminalité
- Identité numérique & KYC
- Lutte anti-fraude
- Sécurité opérationnelle
- Cyber risques
- Transformation numérique