Souveraineté de l’IT : des pistes pour retrouver une indépendance numérique européenne
Franck Régnier-Pécastaing (de Talan) parcourt les initiatives en cours pour juguler la dépendance IT de la France et de l’Europe. Une dépendance qui, écrit-il, fait peser de lourds risques de sécurité et de prospérité. Mais des solutions existent.
Les enjeux de la souveraineté numérique ont des racines profondes. Mais la crise sanitaire les a plus que jamais mis en lumière.
Il y a un an, les entreprises comme les administrations ont dû, en urgence, dématérialiser leurs processus et généraliser le recours aux solutions de travail collaboratif. Les solutions qui ont été choisies, même par les Européens, sont pour la plupart américaines (Zoom, Google Meet, Microsoft Teams, Cisco Webex).
Ces outils ont permis de maintenir l’activité et de conserver un lien social. Mais ils ont aussi rappelé combien les États européens étaient dépendants d’acteurs étrangers, qui dominent l’économie numérique.
Une telle dépendance n’est pas sans risque. Les politiques de confidentialité très permissives en termes de collecte des données personnelles, des visios américaines, ont été dénoncées par l’ONG américaine Consumer Reports. Les outils chinois (ex. Alibaba, DingDing) sont encore plus Orwelliens.
Face à cette exposition aux risques, la Direction interministérielle du numérique (Dinum) a préconisé aux agents de la fonction publique de recourir à des solutions open source, majoritairement issues du terreau national, comme Jitsi, Private Discuss ou encore Tixeo.
Plus globalement, la « cloudification » des échanges et du stockage pose la question de savoir où se trouvent ses données, et si l’organisation les conserve et les partage en toute confidentialité.
Nos routes de l’information sous influence étrangère
Les États-Unis et la Chine assurent leurs supériorités par la position dominante de leurs plateformes sur le marché, couplée à des législations sur mesure – souvent à portée extraterritoriale (Privacy Shield, CLOUD act ou Loi sur la cybersécurité de la RPC du 7/11/2017).
« [Nos pays étant] dépendants de puissances étrangères pour faire circuler de l’information, les risques sur la prospérité et la sécurité européennes existent bel et bien. »
De plus, les États-Unis exercent une influence majeure au sein des organismes de gouvernance et de normalisation comme l’ICANN (attribution des adresses sur internet) ou l’IAB (architecture de l’internet). La Chine a riposté en lançant son propre système d’adressage (IPV9).
La Russie et quelques puissances « secondaires » s’assurent une autre forme de supériorité par l’usage massif des nouvelles technologies à des fins de déstabilisation ou de renseignement (usines à trolls, diverses attaques, etc.).
La cybersécurité devient un nouveau champ de conflictualité et par conséquent un nouvel enjeu de souveraineté.
En conséquence, ces nouvelles formes de suprématie menacent gravement la souveraineté des États européens. Étant désormais dépendants de puissances étrangères, pour se fournir et faire circuler de l’information, ils font face à des risques sur la prospérité et la sécurité européennes qui sont bien réels.
L’Europe, le bon échelon pour la souveraineté des états membres
Face à ces enjeux, la France et l’Europe ont longtemps été conscientes des risques sans toutefois trouver la bonne réponse. Dernièrement, elles se sont à nouveau saisies de ces sujets.
En France, le Sénat a publié un rapport en 2019 sur « Le devoir de souveraineté numérique » et l’Assemblée nationale a engagé une mission d’information sur le thème « Bâtir et promouvoir une souveraineté numérique nationale et européenne ». L’Agora 41 de l’ANSSI nourrit aussi cette réflexion au travers de think tanks indépendants spécialisés comme le « Cercle de la Donnée » qui publie son étude sur la souveraineté numérique au printemps 2021.
La Commission européenne a présenté, en décembre, deux règlements : le DSA (Digital Services Act) et le DMA (Digital Markets Acts). Les deux ont pour objectif une meilleure régulation de l’espace numérique sur le Vieux Continent.
« Faire entendre “une troisième voix”, entre le modèle freemium américain et le modèle chinois de l’hypersurveillance étatique. »
Dans le même esprit, des acteurs privés français et allemands ont initié le projet GAIA-X en octobre 2019. GAIA-X vise à bâtir un cloud de confiance européen afin d’offrir aux entreprises une alternative aux géants américains ou chinois, mais sans retomber dans les errements des « investissements d’avenir » du grand emprunt Sarkozy.
Pour sa part, la Cour de justice de l’Union européenne a invalidé, en juillet dernier, le régime dit « Privacy Shield » qui autorisait le transfert des données de l’UE vers les États-Unis. Un nouvel accord pourrait encore prendre des mois.
L’échelon européen semble donc être le bon pour peser sur la scène internationale et faire entendre « une troisième voix », entre le modèle freemium américain – basé sur l’économie de l’attention et l’exploitation débridée des données personnelles – et le modèle chinois de l’hypersurveillance étatique au travers du score social.
Faire un bond technologique et miser sur les innovations de rupture
Bâtir une souveraineté européenne n’est toutefois pas chose aisée. Les mégaplans ont tendance à favoriser les acteurs installés. Le numérique suppose davantage d’agilité.
En cela, l’approche du projet GAIA-X qui vise à favoriser l’émergence d’acteurs de taille plus modeste va dans le bon sens. Il faut en effet favoriser l’émergence de « licornes » et multiplier les initiatives liées à la commande publique.
« Il faut favoriser l’émergence de licornes et multiplier les initiatives liées à la commande publique. »
Aux États-Unis, les géants du cloud ont grandi grâce à des commandes publiques. Microsoft a récemment remporté un contrat de dix milliards de dollars pour concevoir le cloud du Pentagone. Des acteurs privés participent à de nouveaux complexes que l’on pourrait qualifier de « cognitivo-sécuritaires » qui remplacent peu à peu le « complexe militaro-industriel » du XXe siècle.
Compte tenu du retard pris par l’Europe, quels combats faut-il mener ? Ne vaut-il pas mieux faire l’impasse sur les domaines dans lesquels nous sommes dépassés pour faire un bond technologique et miser sur le monde d’après avec les deep techs ? C’est le pari fait par la France de devenir le numéro 3 mondial de la recherche quantique, derrière les États-Unis et la Chine. Pour y parvenir, un plan stratégique sur cinq ans prévoit un budget public-privé de 1,8 milliard d’euros. Objectif : accélérer la conception de l’ordinateur quantique.
Quant au cadre législatif européen sur les données, il n’est pas que contraignant. Il incite aussi et surtout à faire gagner en maturité les entreprises du continent et à considérer les données comme un actif valorisable – un avantage compétitif dans l’économie mondialisée.
Restent les citoyens pour lesquels l’acculturation et la formation devraient faire partie des actions prioritaires des États si nous ne voulons pas que nos démocraties soient gangrénées par « l’opium des imbéciles » (dixit Rudy Reichstadt).
