PRÉFACE
La souveraineté numérique suscite actuellement nombre de débats houleux sur des objets technologiques divers : le Cloud, l’intelligence artificielle, la 5G, … Des solutions très variées sont offertes face à cette problématique, allant de la standardisation technique aux investissements industriels en passant par la réglementation. Les missions d’information et de contrôle, les travaux de think tanks ou encore les prises de position politiques interrogent fréquemment cette notion de souverai-neté numérique dont on peine à définir les contours. Bien que les liens entre sou-veraineté numérique et sécurité numérique soient étroits, l’ANSSI assiste le plus souvent en observateur intéressé à ces débats qui dépassent largement ses mis-sions. Cependant, au cours de ses observations, un constat apparaît clairement pour l’ANSSI : la notion de souveraineté numérique emporte des acceptions divergentes, dont certains jouent pour mettre à mal l’affirmation d’une telle souveraineté. L’ab-sence de définition de la souveraineté numérique et les difficultés qui existent à cir-conscrire précisément cette notion contribuent largement à complexifier la mise en œuvre de politiques dédiées à la préservation de notre souveraineté numérique. L’étude conduite conjointement par le Cercle de la Donnée et l’Agora41, espace de réflexion libre sur la sécurité numérique animé par l’ANSSI, fournit en réponse un cadre de réflexion solide qui s’appuie sur une analyse historique, politique et juri-dique complète de la notion de souveraineté et de ses possibles traductions dans l’espace numérique. Elle donne ainsi des clés de lecture indispensables à l’appréhen-sion des tensions qui façonnent notre espace numérique et du « combat » pour son contrôle auquel s’adonnent les acteurs principaux du cyberespace, qu’il s’agisse d’États, de sociétés privées ou d’organisations internationales. Enfin, sur la base d’un diagnostic étayé, des propositions d’actions concrètes sont soumises aux lecteurs, avec comme fil conducteur l’idée selon laquelle la puissance publique n’est pas entièrement démunie face aux enjeux de la souveraineté numérique.
Deux axes de réflexion développés dans l’étude, qui sont un pas de côté par rapport aux activités plus traditionnelles de l’ANSSI, me semblent particulièrement intéressants.
En premier lieu, la question de la compréhension réelle des enjeux numériques et de leurs traductions politiques par les citoyens.
Tant les outils technologiques sont conçus pour disparaitre du regard des utilisateurs, effaçant toute complexité et ne délivrant que le service numérique dans une forme la plus fluide et intuitive pour chacun de ses utilisateurs, tant les enjeux politiques qu’ils véhiculent dis-paraissent aussi. Sans compréhension des technologies, des choix qui précédent à leur conception et à leur déploiement, des luttes structurelles entre acteurs éco-nomiques pour l’accès au marché, comment un utilisateur peut s’imaginer qu’en choisissant de recourir à une solution de visioconférence plutôt qu’à une autre, il choisit un modèle numérique, souverain ou non, basé sur l’exploitation des don-nées personnelles ou non, contrôlé par un État ou non… Le développement mas-sif du recours à une application de messagerie sécurisée comme Signal suite aux annonces de Facebook de la modification des conditions d’utilisation de Whatsapp dénote un intérêt réel, quoique ponctuel, pour ces questions. Pour lutter contre « l’indifférence citoyenne », seule la diffusion d’une culture numérique à tous les âges peut permettre à chacun de prendre conscience des problématiques numé-riques, qu’elles soient de cybersécurité ou de souveraineté. L’introduction dans les programmes scolaires, au primaire comme au secondaire, de modules d’enseigne-ment sur le numérique doit à ce titre être salué et encouragé, en développant des outils pédagogiques au profit des enseignants souvent déstabilisés face à cette disci-pline nouvelle et particulière qu’est le numérique. Cette sensibilisation des élèves et étudiants doit s’accompagner d’une sensibilisation des adultes, à la fois dans leur vie personnelle et professionnelle, pour que la souveraineté numérique ou en tout cas la gestion des dépendances numériques soit désormais pleinement intégrée comme un critère dans le choix d’une solution numérique plutôt qu’une simple considéra-tion annexe. Comme la cybersécurité, le recours à une solution numérique pourrait désormais être analysé à l’aune de la souveraineté numérique. Les choix stratégiques de nos administrations et de nos entreprises en matière de numérique ne peuvent plus aujourd’hui faire l’économie d’une analyse selon des critères de souveraineté. Pour conduire à cette prise de conscience, les travaux menés par les associations professionnelles, les autorités sectorielles et les dispositifs de formation continue sont essentiels et doivent être encouragés pour diffuser largement dans l’entreprise, dans l’administration, une culture numérique robuste, capable de conduire à des choix éclairés dans le domaine.
Deuxièmement, l’élaboration au niveau européen de cadres réglementaires tenant compte de la nécessité de promouvoir une conception européenne du cyberespace et affirmant la prise en compte des valeurs et du droit européen. La discussion à l’échelle européenne est souvent complexe et chronophage, avec des États-membres très divisés sur leurs besoins dans le cyberespace et des divergences de cultures politiques assez marquées quant à l’opportunité de permettre le renforcement du contrôle de l’Union et de ses États-membres sur une activité économique par défaut transnationale, comme le numérique. Toutefois, il n’en demeure pas moins que l’Union européenne est l’échelle de pertinence pour construire un cyberespace stable et respectueux des valeurs démocratiques, tout en étant performant. Pour aboutir à ce résultat, il ne faut surtout pas que l’Union cède à des solutions de facilité, en acceptant une simple localisation des données sur son territoire par exemple. Cette solution, souvent mise en avant comme une mesure de souveraineté, en particulier dans le débat sur le Cloud, est cependant inopérante dans un espace numérique, où des données peuvent être stockées de partout au travers le monde sans aucune garantie de sécurité juridique pour l’utilisateur. Aussi, un cloud basé sur un logiciel d’un GAFAM sur un serveur opéré par un GAFAM dans un datacenter d’un GAFAM sur le sol européen, avec des liens quotidiens vers l’architecture centrale du GAFAM pour accéder à des services plus sophistiqués, n’emporte aucune garantie de souveraineté, pourtant les données sont bien localisées dans l’Union européenne. Pour apporter des réponses concrètes et adaptées, une analyse fine doit être menée et des critères plus précis pour apporter des garanties robustes. Aussi, des critères visant à limiter au strict minimum le contrôle sur l’entre prise fournissant la solution de Cloud d’entités non-européennes, restreignant strictement les accès aux données pour les intervenants non-européens et imposant des modèles de supervision de sécurité au plus proche des données stockées doivent être conçus. Les travaux qui ont été menés par l’Union européenne en matière de 5G ou de Cloud illustrent de fait la possibilité désormais de combiner la souveraineté nationale avec la souveraineté européenne pour dessiner un cadre réglementaire applicable au cyberespace conforme à nos intérêts et au maintien de notre souveraineté.
Sans dévoyer plus avant le contenu de cette étude, je terminerai par rappeler que l’ambition doit rester celle de maintenir la France parmi les Nations qui comptent dans le cyberespace. Cette ambition passe par une capacité d’affirmation et de promotion de modèles de numérique, avec évidemment pour la France et pour l’Union européenne, un refus catégorique de se vassaliser auprès d’acteurs non-européens. Être en capacité de réfléchir aux concepts et s’en faire une idée propre est un pré-requis crucial au développement d’une vision française et européenne du cyberespace auquel l’étude du Cercle de la Donnée et de l’Agora41 contribue ainsi.
Bonne lecture !
Guillaume Poupard
Directeur général de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI)
LIRE L’ÉTUDE COMPLÈTE