19 minute read
Reconquérir la souveraineté numérique
sont le reflet des biens et des personnes dans l’espace numérique. Or celles-ci étant captées par les outils que nous utilisons dans l’espace numérique, garde-t-on alors le contrôle de notre destin et de nos choix ? Sommesnous souverains ?
Être souverain signifie être capable de produire et de comprendre ce que nous utilisons. Le général de Gaulle l’avait bien compris lorsqu’il nous a lancés dans la révolution de l’atome et qu’il a doté la France de l’indépendance énergétique et militaire grâce à la puissance nucléaire. Il avait compris que, pour être souverain, il fallait se doter d’ingénieurs et faire les investissements nécessaires pour produire nous-mêmes la puissance nucléaire dont nous avions besoin.
Advertisement
Soixante-dix ans plus tard, la question se pose pour le numérique : nous sommes-nous donné les moyens d’être indépendants ? Ou sommes-nous en état de servitude ? Sommes-nous devenus, non pas souverains, mais vassaux ? Dépendants de puissances étrangères ?
L’étude que nous présentons ici est née de ce constat et de la volonté d’aller au fond du sujet. C’est un travail fouillé, de plus de 130 pages, organisé en trois parties :
– un rappel de ce qu’est la souveraineté dans le monde traditionnel et un arpentage de l’espace numérique, dans lequel non seulement celui-ci est décrit de manière fonctionnelle, technique, mais où sont aussi rappelées sa géographie et son histoire, parce que le numérique a
une histoire, il a une géographie, comme on tend trop souvent à l’ignorer ;
– nous avons ensuite étudié l’espace numérique à travers la notion de souveraineté, afin d’établir un constat et une liste de défis ; – enfin, nous avons formulé sept mesures à prendre en vue de restaurer notre souveraineté numérique. Ces sept propositions sont de stature présidentielle : nous souhaitons que les candidats à l’élection présidentielle de cette année, et plus généralement le monde politique français, s’emparent enfin convenablement du sujet de la souveraineté numérique.
I. LA PANNE FRANÇAISE ET EUROPÉENNE (1980-2022)
A. La souveraineté appliquée au numérique
La souveraineté se construit autour de quatre piliers : la population, le territoire, la puissance et la légitimité politique. Appliqués à l’espace numérique, que deviennent ces concepts ?
– La population. Si la population française est, pour faire simple, localisée en France, nos données, qui sont notre reflet dans l’espace numérique, n’y sont pas. Elles ne sont pas en France. Elles ne sont probablement même pas en Europe. Il y a un hiatus entre la population européenne, qui est en Europe, et les données sur la population européenne, qui n’y sont pas.
– Le territoire. On entend beaucoup dire que le numérique a aboli le territoire. Qu’il n’y a plus de frontières.
Nous serions dans le cloud, dans les nuages. Rien n’est plus faux. Les données sont bien évidemment sur terre.
Et cette terre est morcelée en territoires souverains, avec leurs lois. Si les données ne sont plus en France ou en Europe, on comprend tout de suite qu’elles ne sont plus, ou plus que, sous l’empire des lois françaises et européennes. Le déficit de souveraineté que cela implique est patent.
– La puissance. La puissance, dans le monde non numérique, c’est la puissance militaire, la puissance économique, la puissance culturelle, le soft power. Dans le monde numérique, la puissance réside dans les capacités
de calcul, les infrastructures de stockage et de réseau, et les talents, les ingénieurs, les data scientists qui savent faire fonctionner et concevoir les outils numériques. Or si l’Europe a une puissance militaire, nucléaire notamment, une puissance culturelle et économique, elle n’est pas au même niveau en matière de stockage et de calcul. On le constate par exemple dans le domaine des supercalculateurs. Nous avons certes des champions, Atos, par exemple. Un certain nombre d’opérateurs dont nous pouvons être fiers. Mais il y a un déficit de puissance en comparaison du monde non numérique.
– La légitimité politique. En France et en Europe, nous avons construit l’État-nation autour de l’élection et de l’adhésion. Dans le numérique, l’équivalent de l’adhésion, c’est l’acceptation des cookies, c’est l’acceptation des conditions générales d’utilisation qui font plusieurs dizaines de pages. Qui va lire les conditions générales d’utilisation pour lesquelles il faut souvent plusieurs dizaines de minutes ? Personne, bien entendu. Sans compter que pour les comprendre, il faut plusieurs jours. Le déficit de souveraineté est, là aussi, patent : il y a soumission volontaire, d’une certaine manière, puisque nous acceptons les cookies et les CGU pour bénéficier tout de suite du service. Nous sommes pressés, sans cesse plus pressés, et nous ne comprenons plus ce que nous acceptons sans perdre de temps.
De plus, en matière politique, la souveraineté s’exprime non seulement à l’intérieur d’un État, mais aussi dans les relations de celui-ci avec les autres pays. La France
et l’Europe ont concouru à l’émergence d’organisations internationales telles que l’ONU, où nous avons une place majeure. Dans le numérique, nous n’avons pas la même place. Pas du tout. Les organes de régulation du numérique, apparemment uniquement techniques, ont en réalité un poids considérable. Or ils sont principalement situés aux États-Unis. L’ICANN, qui dirige et qui gère la racine des noms de domaines, est une société de droit californien. La racine d’Internet devrait pourtant être un bien commun. L’Internet Society, l’ISOC, qui a une influence considérable sur les normes et le W3C, est, elle aussi, située aux États-Unis et est totalement sous influence américaine. La plupart des personnalités qui y décident sont clairement d’obédience américaine, certaines viennent d’Asie, et les Européens sont en minorité.
B. Les causes de la panne européenne
Le déficit de souveraineté français et européen en matière de numérique est donc patent. Il appelle une réaction, car le péril est réel. Si nos données sont ailleurs, si la gouvernance de l’espace numérique se fait sans nous, alors nous serons les vassaux d’autrui. Notre prospérité, notre sécurité seront sous la dépendance d’autrui et exposées à son bon vouloir.
Pour quelles raisons l’Europe s’est-elle ainsi laissée distancer au sujet du numérique ? On peut les résumer à trois. Tout d’abord, une incapacité à s’unir. Deuxièmement, une culture de consommateurs au lieu d’une culture de bâtisseurs. Nous avons ouvert aux quatre
vents notre continent avec un droit de la concurrence tourné exclusivement vers le consommateur, vers le produit le plus compétitif, sans avoir fait émerger des champions européens, ce que nous avions réussi à faire dans les années 1970 avec Arianespace et Airbus. Troisième cause enfin, un désengagement de l’État dans l’espace numérique. Dans le monde non numérique, l’État dispose de forces de police et de justice majoritaires relativement aux contingents des sociétés privées de sécurité. Dans le monde numérique, c’est exactement l’inverse. Les experts en cybersécurité constituent l’immense majorité du contingent. Les forces étatiques de police et de justice, l’ANSSI au premier chef, et le COMCYBER, ne sont absolument pas à la hauteur sur le plan quantitatif. Face à ce déficit de souveraineté, nous sommes partisans d’un colbertisme éclairé, c’est-à-dire d’un réengagement de la puissance publique pour protéger l’espace numérique et faire de l’espace numérique européen un espace sécurisé et garanti.
II. LES DÉFIS
À l’issue du constat que nous avons fait, nous avons essayé de regrouper les défis que la France et l’Europe doivent relever. Nous avons ainsi dégagé deux grandes catégories.
A. Les relations avec les États et les entreprises
Ces relations sont marquées en permanence par une conjugaison de compétition, de contestation, et d’affrontement. La compétition est quotidienne, elle anime dans la vie courante les relations entre les États et entre les entreprises. Même nos alliés sont aussi des compétiteurs. La contestation est fréquente et peut aller, dernière étape, jusqu’à l’affrontement sur le terrain ou, dans le domaine du numérique, par des actions de sabotage.
Compétition, contestation, affrontement : avec qui ?
Tout d’abord, avec les grands États. Les États-Unis, en premier lieu, qui disposent de capacités humaines et technologiques considérables, avec des moyens extrêmement importants de traitement de la donnée de façon étatique. Ceux sont eux qui développent les applications, les réseaux sociaux, ce qui est bien entendu un avantage primordial.
La Chine, elle, exerce plutôt une stratégie de contrôle du territoire et de maîtrise des équipements. La Chine, c’est quand même huit cents millions de smartphones. La
part des téléphones chinois, Huawei, Oppo, Xiaomi, a peut-être déjà pris le pas sur les autres origines et Huawei est très bien positionné pour ce qui est des équipements d’infrastructure.
Troisième grand État enfin, la Russie, qui historiquement a toujours été en pointe dans le domaine de la technologie numérique, il suffit de penser à Kaspersky. Il faut enfin citer deux petits pays. Tout d’abord, Israël, qui développe des technologies de pointe. L’affaire Pegasus a montré qu’il s’agit d’un écosystème de start-ups, avec un centre comme Beer-Sheva, que nous essayons en France de reproduire avec le Campus Cyber. Ensuite, la Corée du Nord, qui elle, fait du cyber-rançonnage presque de façon étatique.
Ces relations de compétition, contestation, et affrontement ne jouent pas qu’entre États. Déjà, parce qu’il y a un jeu entre organisations étatiques et groupes indépendants, pirates, corsaires, selon le terme qu’on préfère. Par exemple, pour la Russie, APT 28 et APT 29, dont on a parlé l’an dernier, avec l’attaque sur SolarWinds.
Ensuite, parce que les États doivent compter avec les géants du numérique, les GAFAM américains, bien entendu, qui développent pratiquement l’intégralité des applications que nous employons, mais aussi les BATX chinois, avec cette différence qu’en Chine, le gouvernement n’hésite pas à les mettre au pas. Du côté chinois, il y a aussi une présence massive en matière d’équipements.
En résumé, nous utilisons des applications américaines sur des téléphones chinois. Dire cela est à peine caricatural. L’Union européenne, pourtant, a des atouts. Prenons ASML. Très peu de gens connaissent cette entreprise néerlandaise. C’est pourtant le premier compétiteur de LVMH en Europe, en matière de capitalisation boursière. ASML fabrique les deux tiers des machines de pointe nécessaires à la fabrication de microprocesseurs. Ceux-ci, d’ailleurs, ne sont pas tant fabriqués en Chine qu’en Corée du Sud et Taïwan, ce qui est un problème pour la Chine. On voit ainsi qu’il n’y a pas que la prépondérance chinoise et américaine et que l’Europe a des niches d’excellence, des technologies, qui devraient être un moyen de pression dans nos discussions avec les Américains ou les Chinois.
B. Remédier à l’ignorance et l’indifférence citoyenne 85 % des Français de plus de 12 ans ont un smartphone, 65 %, un ordinateur et 58 %, une tablette. Le numérique est bien développé en France. Le problème, plus que la méconnaissance, c’est l’indifférence des Français par rapport à ce qu’ils font et ce à quoi ils consentent en utilisant ces appareils numériques. Que donne-t-on comme information lorsqu’on demande à domicile des renseignements à Alexa ou à l’Assistant Google ? Où vont les données ? Qui les exploite ? Comment sontelles traitées, où sont-elles hébergées ? Que permettentelles de connaître de la personne et de ses activités (la réponse est : énormément…) ? Toutes ces questions se posent, d’autant plus qu’avec la Covid et le confinement,
le e-commerce s’est considérablement amplifié. Le défi à relever est que les entreprises et surtout nos concitoyens soient bien conscients de ce à quoi ils consentent et qu’ils le fassent en connaissance de cause, en mettant des limites. La souveraineté numérique ne pourra pas être reconquise si chacun continue de se désintéresser des données qu’il produit et de ce qu’elles deviennent.
III. SEPT PROPOSITIONS POUR CONQUÉRIR NOTRE SOUVERAINETÉ NUMÉRIQUE
À partir du constat d’une perte préoccupante de souveraineté, notre rapport formule un ensemble de sept propositions en vue de recouvrer notre souveraineté en matière numérique. Leur nombre a été volontairement limité pour en faire un programme simple et précis, compréhensible par les citoyens et applicable par les autorités politiques.
Ces sept propositions se déclinent en trois volets : économique, éducation et recherche, juridique et politique.
7 propositions pour la reconquête
Volet
Économique
• Stimuler les investissements privés dans le numérique. • Armer le droit de la concurrence face à l’économie de la donnée. • Créer des professions réglementées pour le numérique.
Volet Éducation & Recheche
• Investir dans la recherche numérique fondamentale française et européenne. • Campagne de sensibilisation citoyenne avec l’édition d’un livret d’instruction civique numérique.
Volet Juridique & Politique
• Imposer une souveraineté juridique européenne pour les données les plus sensibles
• Définir et piloter une stratégie de cybersouveraineté
A. Le volet économique 1. Stimuler les investissements privés dans le numérique
Le continent européen a cet atout qu’il dispose d’une très forte épargne. Les ménages épargnent beaucoup en Europe. Beaucoup plus qu’aux États-Unis. Mais, paradoxalement, la PME française investit quatre fois moins que son homologue outre-Atlantique. Il y a donc un écart entre l’investissement et l’épargne. En France et en Europe, l’épargne n’est que très peu orientée vers le secteur productif, et encore moins vers le secteur numérique. Les entreprises qui produisent des services numériques en Europe ont beaucoup de mal à y lever des fonds. Partant de ce constat, notre proposition, qui reprend très largement celle du rapport sénatorial porté par Franck Montaugé et ses collègues en octobre 2019 3 , vise à instaurer trois mesures.
1.Pérenniser pour le numérique le dispositif de défiscalisation IR-PME.
Ce dispositif permet aux ménages de déduire de leur assiette fiscale 18 % de ce qu’ils investissent, seuil porté à 25 % en période Covid. Nous proposons de pérenniser ce droit quand il s’agit du numérique. Les investissements réalisés dans le numérique français et européen pourraient être déduits de l’assiette fiscale à hauteur de 25 %, peut-être même plus, afin que l’épargne des ménages s’oriente vers l’investissement dans le numérique français et européen.
................................................................................................................................................................................................................... 3. Le devoir de souveraineté numérique, 1er octobre 2019, disponible sur : https:// www.senat.fr/rap/r19-007-1/r19-007-11.pdf.
2.Assouplir le dispositif de crédit d’impôt recherche et de jeune entreprise innovante.
Ce dispositif accueille actuellement mal l’innovation numérique, qui est essentiellement une innovation d’usage et pas toujours une innovation intégrale.
3.Baisser, voire supprimer, la taxe foncière pour les centres de données d’entreprises européennes établies sur le territoire français ou européen.
Le problème de la souveraineté numérique, c’est notamment que nos données ne sont pas situées en
Europe. Si nous voulons qu’elles y reviennent, il faut qu’il y ait des centres de données, en Europe. Évidemment, vu leur impact écologique, il faudra assortir cette mesure d’exigences environnementales.
Le droit de la concurrence, dont la fonction est de préserver la diversité sur le marché, interdit pour cette raison les concentrations qui la mettent en danger. Il oblige en particulier deux sociétés, qui souhaitent fusionner, à notifier leur opération aux autorités de concurrence, si le chiffre d’affaires de la société résultante dépasse un certain seuil. Les autorités peuvent alors autoriser la fusion, l’interdire ou l’autoriser avec des réserves ou des engagements. Ce système marchait très bien dans les années 1970-80. Mais il est désormais en panne. Car dans l’économie de la donnée, le chiffre d’affaires d’un grand nombre d’acteurs n’est pas équivalent à leur puissance de marché. Quand LinkedIn est
racheté par Microsoft en 2016, son chiffre d’affaires est ridicule et la fusion est donc passée sous les radars, alors que l’on comprend bien que Microsoft, avec les données de LinkedIn, est en position ultra-dominante sur le marché des réseaux sociaux professionnels. Les exemples de ce type sont légion. Si vous consultez notre étude, vous verrez que les acquisitions des GAFAM et des BATX dans les années 2015-2020 ont littéralement éradiqué la concurrence sur certains marchés. La publicité en ligne, par exemple, est aux mains de trois acteurs, Google, Meta et Amazon. Des oligopoles ou des quasimonopoles de cette ampleur-là, on n’en avait plus vu depuis la Compagnie des Indes et les cartels des années 1930. Le droit de la concurrence doit donc être réformé. Nous proposons d’ajouter au critère de chiffre d’affaires celui de la part de marché gratuit. Autrement dit, quand une entreprise du numérique a un projet de fusion ou d’acquisition, elle doit examiner la part de marché gratuit que cela va lui donner. Si cette part de marché est prépondérante, elle doit alors notifier les autorités de concurrence et révéler les types de données auxquelles elle aura accès, les interconnexions qu’elle envisage et les usages qu’elle prévoit.
3. Créer des professions réglementées
Les révolutionnaires, Napoléon et tout le XIXe siècle ont assis la société sur des « masses de granit », comme disait Napoléon : les notaires, les avocats, c’est-à-dire des professions réglementées garantissant la sécurité des transactions. Transactions foncières et rurales à l’époque, puis financières sous Napoléon III, qui a créé les
commissaires aux comptes pour contrôler les comptes et en certifier la véracité ainsi que la sincérité. Nous sommes aujourd’hui dans l’économie de la donnée et du numérique, mais nous n’avons pas ces « masses de granit ». Nous n’avons pas de professions réglementées répondant devant une instance ordinale d’obligations déontologiques et juridiques fortes, avec le risque d’être interdit d’exercer en cas de bévue ou de malversation. J’exerce comme avocat dans le secteur du numérique depuis dix ans et je peux garantir que l’économie informatique fonctionne en partie sur l’économie du bug. Les pertes sont colossales pour certaines entreprises françaises et, dans certains cas, parce que les gens qui ont porté le projet manquent soit d’éthique soit de compétence. Nous préconisons donc la création de trois professions réglementées : le commissaire à la donnée, à l’image du commissaire aux comptes ; l’auditeur d’algorithme ; enfin, l’ingénieur numérique, en charge de porter certains projets de grande ampleur.
B. Le volet éducation et recherche
Nous avançons dans notre rapport deux propositions touchant à l’éducation et à la recherche.
1. Stimuler les investissements privés dans le numérique, afin de prendre l’initiative en matière technologique. Pour cela, nous pourrions créer un fonds de dotation pour financer la recherche fondamentale européenne, qui serait abondé par exemple par la taxe GAFAM. Un autre outil serait de créer un prix à la manière du
Prix Turing ou du Prix Nobel qui récompenserait les chercheurs qui ont fait les plus grandes avancées dans le domaine de l’innovation numérique.
2. Notre deuxième proposition vise, quant à elle, à lutter contre l’ignorance et l’indifférence citoyennes en lançant une vaste campagne de sensibilisation et en créant un livret d’instruction civique numérique pour toutes les classes d’âge, dès le primaire, mais aussi pour les adultes. C’est très important : le numérique ne se limite pas à des compétences techniques ; il ne s’agit pas uniquement d’apprendre à nos concitoyens comment coder. Il faut leur apprendre de quoi le numérique est constitué, quel modèle économique il sert, qui peuple cet univers numérique, quels objets, quels acteurs. Cette culture générale doit être enseignée : sans elle, pas de choix éclairés possibles, pas de souveraineté numérique.
C. Le volet juridique et politique
Il s’agit du troisième et dernier volet de nos recommandations. Ce volet contient nos deux dernières propositions. Celles-ci sont moins originales, car déjà souvent avancées. Mais nous avons jugé nécessaire de les défendre à notre tour.
1. La première de ces recommandations, c’est d’imposer une souveraineté juridique européenne pour les données les plus sensibles. Nous devons avoir la garantie que ces données sont bien soumises à la juridiction française, ou européenne, et pas à des juridictions extraterritoriales
du type Cloud Act américain. Le niveau pertinent sera probablement européen, en raison de la nécessité d’avoir une masse critique pour peser et parce que des infrastructures strictement nationales ne peuvent être bâties du jour au lendemain.
On pourrait distinguer trois cercles, comme cela a déjà été dit à l’Institut Diderot il y a quelques mois 4 . Le premier contiendrait les données, les plus sensibles : les données régaliennes et les données des opérateurs d’importance vitale. Pour celles-ci, seraient réservés des réseaux privatifs, qu’il s’agisse de l’infrastructure ou des programmes. Le deuxième cercle serait celui de données moins sensibles, mais qu’on ne souhaite pas rendre accessibles au tout-venant. Pour celles-ci, des critères établis par l’ANSSI permettraient d’offrir aux entreprises ou aux particuliers la garantie qu’avec cette certification, leurs données sont soumises au droit français ou au droit européen et pas à des droits d’autres continents. Le troisième cercle, enfin, couvrirait le reste, en recommandant aux acteurs, s’ils veulent consentir à céder leurs données, de tout d’abord bien regarder les conditions d’utilisation.
2. Notre septième et dernière proposition est de définir et piloter une stratégie de cyber souveraineté. Étant donné la multitude de domaines qu’engage la souveraineté numérique : cybersécurité, droit, économie, éducation, recherche, financements, technologies, il nous a semblé
................................................................................................................................................................................................................... 4. Arnaud Coustillière, La transformation numérique de la défense française, Paris,
Institut Diderot, octobre 2019, p. 25-28 : https://issuu.com/institutdiderot/docs/ la_transformation_nume_rique_de_la_de_fense_page.
que cette stratégie, au niveau étatique, ne pouvait être qu’interministérielle et rattachée au gouvernement, c’està-dire au Premier ministre. Nous ne proposons donc pas un ministère de plein exercice, mais plutôt un organisme en appui de cette dimension interministérielle, pour définir et piloter une stratégie de souveraineté nationale dans toutes ses dimensions.
Questions de la salle Questions de la salle
Mireille Clapot 5 : Quelques-unes de vos propositions rejoignent celles que la Commission que je préside a émises dans un avis publié fin avril 20216. D’autres sont vraiment novatrices. Elles ouvrent le débat. Je voulais attirer votre attention sur un levier que, sauf erreur de ma part, vous n’avez pas cité : la commande publique. Il y a sans doute quelque chose à faire dans ce domaine pour favoriser ou, au moins, mettre à armes égales les entreprises françaises et européennes qui souvent nous disent, certes, qu’elles ont besoin de capitaux, mais aussi de clients.
Matthieu Bourgeois : Vous avez entièrement raison. Les États-Unis, eux, l’ont bien compris. Je pense notamment au Small Business Act. Sous leurs airs de néo-libéraux, ils n’hésitent pas à favoriser leurs propres entreprises. Il serait bon que les Européens revoient leur
................................................................................................................................................................................................................... 5. Députée de la Drôme et présidente de la Commission supérieure du Numérique et des Postes. 6. Avis 021-03 du 29 avril 2021 portant recommandations sur la sécurité numérique, disponible sur : https://csnp.fr/avis/.
rapport à la libre-concurrence. Il va falloir modifier le droit européen si l’on veut pouvoir discriminer en faveur d’entreprises européennes.
Bernard de Courrèges d’Ustou : Il y a des exceptions en ce qui concerne les équipements de défense : nous pourrions élargir le périmètre de ces exceptions au nom des intérêts européens. Mais quand on parle de droit européen, cela veut dire que les autres pays de l’Union sont d’accord. Or, Guillaume Poupard, le directeur général de l’ANSSI, nous disait encore ce matin que, même sur la protection de données sensibles, leur hébergement et leur traitement uniquement sur le sol européen, il y a des réticences de la part de certains de ses partenaires. Ce sera donc difficile. Mais ce n’est pas pour autant qu’il ne faut pas le faire.
Ludovic Haye 7 : Il y a quand même une volonté, aussi bien à l’Assemblée nationale qu’au Sénat, d’avancer sur ces sujets-là. Nous ne sommes pas attentistes, et d’ailleurs un certain nombre de nos propositions convergent avec les vôtres. Mais il faut y aller, probablement au niveau européen et probablement dans un autre cadre que l’Europe des 27.
Comment pensez-vous arriver à mettre en place vos propositions sans constructeur français ou plus plausiblement européen? Je n’arrive pas à imaginer une
................................................................................................................................................................................................................... 7. Sénateur du Haut-Rhin.
