Souveraineté numérique : de quoi parle-t-on ?
Le Sommet mondial pour la société de l’information (SMSI), qui s’est tenu à Genève en 2003 puis à Tunis en 2005, a marqué un tournant décisif dans la prise de conscience des États sur les enjeux de gouvernance de l’Internet. C’est dans ce contexte qu'est mentionnée pour la première fois, en 2006, la « souveraineté numérique », pour mettre en lumière le caractère stratégique du cyberespace. Rencontre avec l’inventeur de ce terme, Bernard Benhamou, qui, après avoir exercé plusieurs fonctions dans des ministères et auprès des Nations Unies, est aujourd'hui secrétaire général de l’Institut de la Souveraineté Numérique et enseignant à l’Université Paris I-Panthéon Sorbonne.
Que désigne, tout d’abord, la « souveraineté numérique » ?
Pour vous répondre, il faut rappeler que l’Internet est devenu, en quelques années, un levier majeur de transformation économique, sociale et culturelle. Ce changement s’accompagne de nouveaux défis pour les États, les citoyens et, bien sûr, les entreprises. Les technologies numériques ont acquis un tel rôle structurant sur l’ensemble des activités humaines qu’elles ont aussi le pouvoir de déstabiliser des pays entiers. Derrière le terme « souveraineté numérique », j’ai donc souhaité transmettre l’idée qu'il était nécessaire de maîtriser notre destinée numérique et ainsi de conserver notre indépendance à la fois industrielle, sociale, politique et culturelle vis-à-vis d’acteurs qui, au travers des technologies, peuvent aussi imposer leur vision du monde et remettre en cause le fonctionnement de nos démocraties.
En quoi la souveraineté numérique diffère-t-elle de la souveraineté des données ?
L’une fait partie intégrante de l’autre. La souveraineté des données est une composante essentielle de la souveraineté numérique, c’est pourquoi les données stratégiques de nos organisations mais aussi nos données personnelles doivent être protégées, et ce à tout prix. C’est l’objectif des législations qui ont vu le jour ces dernières années en Europe comme le Règlement général sur la protection des données (RGPD), le Digital Services Act (DSA) ou encore le Digital Markets Act (DMA) qui visent, dans l’ordre, à mieux encadrer le traitement des données personnelles, des activités économiques des grandes plateformes et des contenus et produits diffusés en ligne. Leur point commun est de placer l’individu au centre des préoccupations et, plus largement, d’éviter des dérives dangereuses pour nos démocraties…
Souvenez-vous du scandale Cambridge Analytica, dans lequel, les données personnelles de millions d’utilisateurs de Facebook ont été siphonnées et exploitées à des fins de ciblage politique pour influencer les élections présidentielles américaines. On ne peut pas considérer que les GAFAM soient volontairement complices de ces dérives politiques, mais leur modèle économique basé sur le recueil massif de données personnelles rend quasiment inéluctables ce type de dérives.
Pour quelles raisons avez-vous fondé en 2015 un Institut dédié à la souveraineté numérique ?
L’objectif de l’Institut est de favoriser les synergies autour des enjeux de souveraineté numérique, en France et en Europe, en fédérant l’ensemble des acteurs concernés par les nouveaux défis qu’ils induisent. En effet, la gouvernance de l’Internet ne doit plus être, à mon sens, envisagée uniquement comme une régulation a posteriori mais bien dans une logique de co-conception, à laquelle les citoyens et les entreprises européennes doivent être associés pour définir les orientations de nouvelles normes et standards et aussi la mise en place de nouvelles politiques industrielles pour le numérique. Plus largement, le rôle de l’Institut est aussi de proposer des mesures concrètes, d’ordre technologique, juridique et politique, pour garantir la protection de notre souveraineté numérique, en accord avec les principes et valeurs européennes de liberté et de transparence.
Justement, peut-on vraiment parler de souveraineté numérique européenne quand les infrastructures numériques sont le plus souvent détenues par des entreprises étrangères et que les GAFAM sont omniprésents dans nos vies ?
C’est une bonne question, qui revient à se demander si l’on peut se contenter d’être uniquement dans une posture défensive. Pour moi, la réponse est non. Tant que nous ne serons pas à même d’avoir en Europe des entreprises du numérique du même niveau de puissance que les géants chinois et américains, nous serons vulnérables. C’est pourquoi, notre désir de souveraineté doit s’accompagner d’une volonté politique forte.
Je pense que la souveraineté numérique doit se penser de manière globale en prenant appui sur trois composantes complémentaires :
- la sensibilisation, pour favoriser l’émergence de bonnes pratiques au niveau des entreprises, des citoyens et des États ;
- la technologie, pour mieux protéger notre cyberespace et empêcher des dérives telle que la manipulation de l’opinion publique à travers la diffusion massive de fake news ;
- la régulation, pour faire en sorte que des puissances antagonistes ne puissent pas utiliser les technologies de l’Internet comme un cheval de Troie.
Quels sont, plus précisément, les enjeux de la souveraineté numérique pour les entreprises ?
Il y en a plusieurs. Tout d’abord, la souveraineté numérique s’accompagne d’enjeux économiques liés au risque de surveillance et d’espionnage industriel. Ensuite, des entreprises peuvent aussi être tentées d’abuser de leur position dominante sur un marché pour empêcher toute concurrence. Quand on y pense, la fusion entre Facebook, WhatsApp et Instagram a donné naissance à un géant qui a désormais la possibilité d’écraser tous les autres acteurs du secteur… Et puis, il ne faut pas oublier bien sûr la question de la sécurité et de la confidentialité des données, qui plus est quand elles ont un caractère stratégique ou sensible.
À ce titre, la loi FISA (Foreign Intelligence Surveillance Act) représente une menace sérieuse pour la protection des données. Elle impose en effet aux fournisseurs de services cloud de transmettre aux agences de renseignement américaines des données concernant les citoyens non américains, vivant en dehors des États-Unis, lorsque cela leur est demandé par exemple par la NSA. Pour l’heure, la localisation des données ne suffit pas à nous protéger, il faut aussi que les technologies utilisées en Europe soient conçues par des entreprises européennes. D’où l’intérêt également d’avancer sur le projet européen de certification cloud EUCS.
Dans un contexte de montée en puissance combinée de la digitalisation et de l’intelligence artificielle, comment les entreprises peuvent-elles garantir la protection de leurs données ?
Les risques liés à une exploitation malintentionnée des données revêtent, comme je viens de l’évoquer, des dimensions multiples (espionnage, manipulation industrielle, etc.). Or, ces risques vont s’intensifier avec l’essor des intelligences artificielles (IA) génératives comme ChatGPT et ce, avant même leur déploiement. Avant d’être opérationnelles, celles-ci ont en effet besoin d'importantes masses de données pour s’entraîner, ce qui peut déjà constituer un risque en soi. Si les concepteurs de ChatGPT ont utilisé celles qu’ils trouvaient sur le web, une unité chinoise de cyberespionnage a quant à elle piraté en 2021 au moins 30 000 organismes américains, via une faille de sécurité de Microsoft Exchange. Le but était d’exploiter des données structurées pour rendre leurs technologies d'IA plus performantes que leurs équivalents américains ou européens. C’est pourquoi, la réponse à la question de la protection des données est double.
Tout d’abord, il faudrait commencer par refuser le recours dans un cadre professionnel à des réseaux comme TikTok ou à des IA génératives extra-européennes. Quand on utilise ChatGPT, toutes les questions sont conservées et peuvent révéler, à travers l’analyse des requêtes et des documents introduits pour les poser, beaucoup d’informations essentielles sur l’activité des entreprises. C’est un risque important d’espionnage industriel et la porte ouverte à une fuite de données stratégiques. Ensuite, il faudrait idéalement héberger ses données sur des serveurs européens, voire des systèmes locaux de stockage au sein des entreprises. Quand on traite de données sensibles, on ne peut tout simplement pas faire appel à n’importe quelle technologie, même si l'on déploie ses propres systèmes de chiffrement.
Et demain, quels seront selon vous les principaux défis des entreprises et des États en matière de souveraineté numérique ?
Je dirais de ne pas être uniquement dans une posture défensive. Steve Jobs comparait la cybersécurité à un jeu du chat et de la souris dans lequel on n’est jamais sûr de savoir qui est le chat et qui est la souris. Cela signifie qu’aucune technologie défensive ne peut se targuer d’être 100 % sûre et efficace sur le long terme. Face à ces défis de souveraineté, il faudrait donc selon moi créer les conditions propices à l’émergence de géants européens du numérique : nous le pouvons et nous le devons car c’est un enjeu citoyen et politique. Cela doit se traduire par une action concertée et globale à l’échelle européenne pour réguler davantage l’espace numérique. Mais aussi par le soutien de secteurs clés et stratégiques comme la santé connectée, la maîtrise de l'énergie et de l’environnement, les technologies de transport ou encore les fintechs. Au-delà, tous les acteurs et secteurs doivent se saisir de ces enjeux pour assurer la protection de notre souveraineté numérique et, plus largement, de nos libertés individuelles et collectives.
3 questions à Pierre Grasset, Chief Commercial Officer chez LuxTrust
Quelle est votre vision de la souveraineté numérique des entreprises ?
Je considère qu’aujourd'hui, les entreprises qui sont en capacité de contrôler leurs données et l’exploitation qui en est faite possèdent un avantage concurrentiel indéniable. Que ce soit pour accélérer leur développement commercial, améliorer leur efficience opérationnelle ou encore entreprendre des transformations stratégiques, les données sont devenues un actif incontournable dans un contexte de digitalisation croissante de nos sociétés. D’où la nécessité, absolument essentielle selon moi, de les protéger et de renforcer, dans ce but, la souveraineté numérique des entreprises, des citoyens et des États.
Comment les entreprises peuvent-elles, concrètement, mieux contrôler leurs données ?
Tout d’abord, le cadre réglementaire est important et se renforce avec des réglementations européennes comme le RGPD, le DSA ou le DMA, évoquées par M. Benhamou, qui visent à préserver la compétitivité des organisations tout en assurant l’intégrité d’informations stratégiques qui transitent dans le cyberespace.
Un autre élément à considérer est que les entreprises doivent être en mesure de garantir la traçabilité de leurs données à tout moment, ce qui n’est pas évident dans un contexte où de plus en plus d’acteurs se tournent vers des solutions de cloud public émanant, pour la plupart, d’entreprises soumises à la juridiction américaine.
Sur le plan des mesures concrètes, nous recommandons, chez LuxTrust, de recourir à des identités numériques de niveau substantiel, afin de pouvoir contrôler l’accès aux données et s’assurer de l’identité des personnes qui accèdent à ces données. C’est une mesure indispensable quand on sait que le nombre de fraudes liées à l’usurpation d’identité est en augmentation constante.
Ensuite, pour garantir la protection les données et qu’elles ne puissent pas être lues en cas de fuite, nous recommandons le chiffrement et de confier les clés de chiffrement à des acteurs de confiance.
Enfin, il est crucial, selon moi, que les entreprises se donnent les moyens de protéger l’intégrité, l’origine et l’authenticité de leurs données tout au long de leur cycle de vie en s’appuyant sur les servies de confiance comme le cachet électronique. Cela contribue à limiter les risques de fraude et à amener de la confiance numérique dans les échanges entre contreparties.
En quoi la gouvernance peut-elle les aider à garantir leur souveraineté numérique ?
Face à la multiplication des risques cyber, pouvoir se doter d’une bonne gouvernance est, selon moi, un réel atout pour les entreprises. Son rôle est notamment d’identifier les risques et, en regard, de mettre en œuvre des services de confiance permettant aux entreprises de s’en prémunir en défendant leurs données les plus sensibles. La gouvernance est donc doublement stratégique au regard du développement de l’activité des entreprises mais aussi, au-delà, de leur souveraineté numérique.