Stratégie

Souveraineté numérique : des enjeux multiples, une réponse européenne

Pour la commission d’enquête du Sénat, la souveraineté numérique constitue un triple défi éthique, de sécurité et de liberté économique.

Retrouvez cet article dans le CIO FOCUS n°185 !

La souveraineté numérique, un enjeu majeur trop négligé

Eh bien oui, régulièrement, Untel ou Untel va hurler contre les GAFAM, contre les lois extra-territoriales américaines, contre l'impérialisme économique ou encore les abus de positions dominantes. Hurler doit soulager la colère. Mais, ensuite, que faut-il faire ? Il est sans aucun doute plus que...

Découvrir

La souveraineté numérique est un sujet récurrent du débat public, qui a fait l'objet d'une commission d'enquête du Sénat en 2019. Elle tient également une place centrale dans plusieurs initiatives françaises et européennes, que ce soit sur le plan réglementaire, économique ou technologique. Derrière cette notion, quels sont les véritables enjeux ? Autour de ce sujet de la souveraineté numérique, de multiples intérêts s'entrecroisent, qui varient selon les acteurs concernés. Ce dossier propose un tour d'horizon des différents points de vue sur le sujet, afin de mieux comprendre ce qui est en jeu et les réponses possibles.

PublicitéDepuis une dizaine d'années, la souveraineté numérique revient régulièrement dans le débat public. Toutefois, cette année le sujet a pris de l'ampleur. La pandémie de Covid-19 a en effet contribué à une prise de conscience plus large des enjeux associés. Comme l'observe ainsi le Club Relations fournisseurs du Cigref, « ce n'est plus un sujet réservé aux experts ». La question du traçage des cas contacts Covid-19 a notamment « relancé la question de l'hébergement et de la souveraineté des données dans l'opinion publique. » En 2020, les problématiques auxquelles cherchait à répondre le projet Andromède, cette tentative de cloud souverain français qui s'est soldée par un échec, sont loin d'avoir disparues. Au contraire, la nécessité de protéger les données des citoyens, des États et des entreprises s'est accrue au cours des dernières années, dans un contexte international difficile : l'adoption du Cloud Act en 2018, la crise sanitaire puis économique en 2020 ont mis en lumière certaines vulnérabilités auxquelles il apparaît urgent de remédier. En démontrant l'importance du numérique pour l'activité économique, la crise a aussi souligné la nécessité de préserver un savoir-faire, des ressources et des services associés en Europe, pour ne pas dépendre uniquement des grands fournisseurs américains et chinois. Dans cet environnement géopolitique et économique incertain, comment construire une Europe numérique solide, qui protège les intérêts de ses membres ? Des entreprises privées au secteur public, des fournisseurs de services numériques aux représentants politiques, chacun propose et défend une vision de la souveraineté qui lui est propre. Ce dossier a pour but de présenter les points de vue des différentes parties prenantes et les principaux enjeux du débat.

Du côté du monde politique, le sujet est revenu sur la table en 2019, avec plusieurs travaux concomitants. C'est tout d'abord, le rapport Gauvain sur la souveraineté de la France et de l'Europe, publié le 26 juin 2019, qui pointe notamment le caractère problématique du Cloud Act, promulgué par Donald Trump le 26 mars 2018. « Cette loi fournit la possibilité aux autorités judiciaires américaines d'obtenir des fournisseurs de stockage de données numériques (qui sont tous américains), sur la base d'un simple « warrant » d'un juge américain, toutes les données non personnelles des personnes morales de toute nationalité, quel que soit le lieu où ces données sont hébergées », écrivent ainsi les auteurs du rapport. En avril 2019 est également créée une commission d'enquête sur la souveraineté numérique, à l'initiative du groupe Les Républicains. Présidée par Frank Montaugé, avec Gérard Longuet comme rapporteur, cette commission a présenté le fruit de ses travaux début octobre 2019, sous la forme d'un rapport détaillé. Enfin, Bruno Le Maire, ministre de l'Économie et des Finances, s'est emparé du sujet, auquel il a notamment consacré son discours du 10 septembre 2019 devant le Sénat. « Je considère que notre souveraineté nationale dépend de notre capacité à bâtir notre souveraineté digitale et que la souveraineté européenne dépend aussi désormais directement de notre capacité à construire technologiquement, financièrement, industriellement, notre souveraineté digitale », affirme ainsi le ministre.

PublicitéL'avenir européen en jeu

Les auditions réalisées dans le cadre de la commission d'enquête ont permis à de nombreux acteurs de faire entendre leur voix sur le sujet de la souveraineté numérique. Le monde académique et professionnel s'est exprimé à plusieurs reprises, notamment à travers l'audition de Bernard Benhamou, secrétaire général de l'Institut de la souveraineté numérique (ISN). Cet institut créé en 2014 s'est donné pour objectif « de fédérer l'ensemble des acteurs concernés par les mutations numériques de nos sociétés (de l'énergie aux transports, de la maîtrise de l'environnement à la Culture...) et de faire connaître les nouveaux enjeux de la souveraineté numérique auprès des acteurs publics, des acteurs industriels ainsi que des citoyens. » L'ISN compte parmi les membres de son conseil scientifique des entrepreneurs et représentants du secteur numérique français, de nombreux enseignants, des avocats comme Olivier Iteanu, le vice-président de la CNIL Éric Peres ou encore le délégué général du Cigref, Henri D'Agrain. Pour Bernard Benhamou, « le déploiement du numérique n'est pas de même nature que l'électrification ou l'essor de la radio au début du siècle dernier : c'est une transformation intégrale de tous les processus de production. » Il estime en conséquence primordial d'établir un diagnostic lucide, aucun secteur n'étant à l'abri de la numérisation. « Ce qui se joue, c'est l'avenir européen dans son ensemble. Certes, l'État n'a pas encore été ubérisé, mais les plateformes ne demandent pas mieux ! », pointe-t-il.

Comme le suggère Bernard Benhamou, la question de la souveraineté numérique soulève certains enjeux spécifiques pour l'État et le secteur public. Parmi eux figure bien entendu la cyberdéfense, avec le risque de « conflits hybrides » évoqué par le Général François Lecointre, chef d'État-Major des armées, lors de son audition : des conflits « combinant des attaques sur plusieurs fronts, dans plusieurs champs, dont le champ cyber, et visant aussi la désinformation et la propagande ». La cybersécurité fait également l'objet d'un livre blanc de l'UNION-IHEDN, un groupement d'associations spécialisées qui représentent 10.000 anciens Auditeurs de l'IHEDN (Institut des Hautes Etudes de Défense Nationale) et du CHEAr (Centre des Hautes Etudes de l'Armement). Pour ces derniers, « en matière de numérique comme ailleurs, la souveraineté est la capacité à exercer une autorité et à défendre un espace sur lequel on revendique des droits. Le cyber, quatrième dimension de l'espace national, ne fait pas exception à la règle. » Nadi Bou Hanna, directeur interministériel du numérique, a quant à lui mis l'accent sur les services que l'État offre aux citoyens. « Si l'État n'est pas en mesure de fournir des services de confiance avec le même niveau d'ergonomie et de qualité que ceux des grandes plateformes, la souveraineté numérique en restera au stade de l'ambition. » Celui-ci définit la souveraineté numérique comme « la capacité de l'État à définir sans entrave les bons choix de court, moyen et long terme pour la société et à assurer la réversibilité des orientations [...] À défaut, nous sommes pieds et poings liés, nous restons dépendants. Et la dépendance est le contraire de la souveraineté. » Enfin, la souveraineté numérique au sens démocratique implique également de « garantir les libertés fondamentales des usagers : accès au service public, libre arbitre, intimité numérique... »

Adopter des politiques différenciées

Pour les entreprises françaises et européennes, la souveraineté numérique est un facteur important de compétitivité, comme l'a souligné Christian Nibourel, président du groupement de professions de services et de la commission mutations technologiques et impacts sociaux du Medef, devant la commission d'enquête. Pour celui-ci, la souveraineté numérique se définit en effet comme « la capacité des entreprises à s'adapter et à demeurer maîtresses de leur destin et de leur développement économique et social, tout en respectant les valeurs européennes ». Cela suppose de préserver une capacité à innover, « notamment dans les domaines de la blockchain, de la cybersécurité, de l'intelligence artificielle, de l'ordinateur quantique et du cloud souverain. Nous devons également remporter la bataille des standards et des normes, essentiels en matière de transparence et d'interopérabilité », ajoute Christian Nibourel. De son côté, le Cigref met en avant la nécessité de mieux valoriser les données des entreprises, tout en protégeant ce patrimoine, comme l'explique son vice-président Jean-Christophe Lalanne dans un entretien accordé à CIO.

Les entreprises du numérique sont au premier rang face à ces enjeux. Le secteur était représenté par plusieurs intervenants devant la commission d'enquête. Parmi ceux-ci figurait notamment Loïc Rivière, délégué général de l'association professionnelle Tech in France, qui regroupe plus de 400 éditeurs de logiciels et fournisseurs de services Internet. Parmi eux, une majorité de PME françaises, mais aussi les grands acteurs de la technologie américains. « Dans le domaine numérique, la souveraineté est la capacité de « se gouverner » seul », a rappelé Loïc Rivière en préambule. Il a également souligné que la souveraineté était un objectif, et que chacun (État, entreprise, individu) dépendait des autres pour la mettre en oeuvre, dans une démarche de « gouvernance partagée ». Enfin, il a pointé un certain paradoxe entre le monde numérique, « monde de communication, donc d'interdépendance », et l'expression souveraineté numérique. « Dans le cadre d'un État-nation, se gouverner soi-même et décider seul supposeraient d'être strictement et technologiquement indépendant dans tous les domaines : en matière numérique, cela pourrait signifier disposer de notre propre moteur de recherche, réseau social, système d'exploitation ou plateforme de e-commerce. Or l'intérêt de ces outils est précisément d'être adoptés par tous et de communiquer ensemble - c'est d'ailleurs pour cette raison que les gens les choisissent », affirme Loïc Rivière, appelant ensuite à différencier ce qui relève des intérêts vitaux d'un pays (la souveraineté nationale) des problématiques de régulation du marché. Pour celui-ci, « laisser penser que nous pourrions nous doter demain d'un Google français ou d'un système d'exploitation français ne serait pas réaliste par rapport à nos moyens et nous écarterait du sujet. »

Le Cloud Act, un catalyseur

Les grands fournisseurs de cloud américains ont également pris part au débat. Plusieurs de leurs porte-paroles ont ainsi pu s'exprimer lors des auditions de la commission d'enquête, répondant notamment aux préoccupations sur le Cloud Act. Marc Mossé, directeur juridique et affaires publiques de Microsoft Europe, a ainsi considéré que la portée de cette loi était limitée, mettant en avant qu'il s'agissait d'un texte de procédure criminelle. « Il n'autorise pas un accès indéfini et indéterminé à l'ensemble des données, mais uniquement dans le cadre d'une poursuite et d'une infraction, pour des données déterminées qui peuvent effectivement être stockées à l'étranger. » Un avis partagé par Anton'Maria Battesti, responsable des affaires publiques de Facebook France, qui a précisé que cette loi « s'appliquera uniquement sur demandes judiciaires. Il ne s'agit nullement d'une porte dérobée permettant à tout à chacun d'avoir accès aux données. » Ces géants du Web incitent toutefois leurs clients à chiffrer les données sensibles, un degré supplémentaire de protection comme l'explique Stéphan Hadinger, directeur technique d'Amazon Web Services France : « le Cloud Act n'oblige pas les fournisseurs de cloud à déchiffrer les données. Or, comme vous le savez, une donnée chiffrée sans la clé correspondante est complètement inutilisable. »

Certains acteurs du numérique français ont estimé à l'inverse que cette législation représentait un risque bien réel, à l'instar de Michel Paulin, directeur général d'OVH, qui cite le rapport Gauvain. Celui-ci rappelle notamment que dans un contexte de guerre économique, « les données peuvent être utilisées pour attaquer des concurrents sur le marché. » Pour Michel Paulin, « le Cloud Act est une arme très puissante qui vise directement la souveraineté des États. Son application permet aujourd'hui que certaines entreprises américaines puissent saisir la justice américaine pour qu'elle obtienne ces données. Cette transmission s'opérera sans aucune intervention des juridictions françaises. En ce sens, cela pose un réel problème. » Michel Paulin évoque également le rôle important des États pour soutenir l'écosystème numérique européen. « Nos concurrents bénéficient d'un soutien important de la part de leurs États, qui ont des stratégies en la matière : la Chine a ainsi pour objectif d'être le leader en intelligence artificielle. De même, aux États-Unis, toute la stratégie universitaire de recherche est basée sur un système d'aides, tant privées que publiques. » Il déplore que la France, disposant d'ingénieurs « parmi les meilleurs au monde », voie ces derniers recrutés par les acteurs étrangers du numérique. Enfin, il pointe un enjeu important autour de la maîtrise des données, celui de la réversibilité. « Il est indispensable que les entreprises gardent la possibilité de revenir en arrière si elles le souhaitent », estime-t-il. « Si l'ampleur du coût induit par une telle décision s'avère dissuasive, cette démarche est de fait impossible. Au final, cela alimente la capacité des gros acteurs à préempter les données. »

En se basant sur l'ensemble des auditions, le rapport de la commission d'enquête sur la souveraineté numérique a dressé dans sa première partie une synthèse exhaustive des enjeux évoqués. Rappelant dès le début que le cyberespace fait l'objet d'une compétition intense entre États, il souligne les problématiques liées à la concurrence, avec des entreprises en situation de quasi-monopole dans certains domaines. Le rapport développe ensuite les enjeux d'ordre juridique, en particulier ceux associés aux données : protection des données stratégiques, identité numérique, portabilité et interopérabilité... Enfin, il consacre un chapitre à la question de la souveraineté monétaire, potentiellement menacée par la montée en puissance des cryptomonnaies.

Agir à l'échelon européen

Face à ces multiples problématiques, quelle stratégie adopter ? L'ensemble des acteurs sollicités s'accordent sur certains points, comme la nécessité d'agir à l'échelon européen. Pour le secrétaire d'État chargé de la transition numérique et des communications électroniques, Cédric O, également auditionné, c'est à ce niveau seulement que pourront émerger de futurs champions européens du numérique. « La masse critique nécessaire [...] n'est autre que le marché européen fort de 500 millions de consommateurs ; le marché français ne suffit pas. Nous devons donc définir des règles communes de souveraineté européenne. »

C'est aussi à l'échelle européenne qu'il faut penser les enjeux de maîtrise et de protection des données. Ainsi, pour Bernard Benhamou, « l'un des éléments clés de la souveraineté est la territorialité. » Il estime donc nécessaire de relocaliser les données sensibles en Europe. Un constat partagé par Godefroy de Bentzmann, Président de Syntec Numérique et Pierre-Marie Lehucher, président de Tech in France, pour qui « l'ambition française en matière de souveraineté numérique et de Cloud doit se concrétiser au niveau européen. » Dans un communiqué commun publié en janvier 2020, les deux grandes associations du secteur numérique français (NDLR Celles-ci ont récemment annoncé leur rapprochement) ont formulé dix recommandations pour une ambition européenne en termes de Cloud. La première d'entre elles concerne la mise en place d'une politique industrielle à l'échelle européenne, afin de faire émerger des champions du Cloud locaux. « Des offres cloud complètes existent en Europe, l'enjeu est surtout de les aider à gagner en termes de marché pour disposer de champions internationaux. Ce ne sont en effet pas les États qui pourront créer cette offre », soulignent les représentants de l'industrie numérique en France. Ils proposent ensuite différents leviers pour construire et renforcer la souveraineté numérique européenne, à commencer par la maîtrise des infrastructures. En effet, sans datacenters, logiciels, réseaux mobiles et câbles sous-marins reliant les continents, le Cloud n'existerait tout simplement pas : une évidence qu'il est bon de rappeler pour bien comprendre certains enjeux, comme la nécessité de développer et de conserver des compétences techniques de haut niveau. « Quand vos voitures sont guidées par des logiciels étrangers, que vos communications sont transmises par des fibres étrangères, vous n'avez plus votre souveraineté politique », illustre pour sa part Bruno Le Maire dans son discours du 10 septembre 2019.

Un cadre réglementaire harmonisé

Parmi les autres pistes proposées pour bâtir cette souveraineté numérique, le levier réglementaire revient lui aussi régulièrement, de même que la fiscalité. Plusieurs acteurs invitent ainsi à bâtir des règles communes, pour permettre une concurrence équitable au sein du marché européen. Dans leur communiqué, Syntec Numérique et Tech in France recommandent aussi de sécuriser le cadre réglementaire des données. « Toutes les entreprises ont besoin d'un cadre de régulation stable qui ne porte pas atteinte à l'innovation », a affirmé Loïc Rivière lors de son audition. « Il faut aussi que la France s'implique dans la préparation des traités qui concernent le numérique - je pense au Cloud Act ou au projet européen e-evidence - et dans les différents échelons de la gouvernance numérique mondiale. » Christian Nibourel estime également qu'il est primordial de réduire les risques pour les entreprises. « Il y a une déconnexion entre la réglementation française et le Cloud Act. La réponse devra être européenne avec de nouvelles réglementations. » Si le règlement général sur la protection des données (RGPD) mis en place pour protéger la vie privée des citoyens peut selon lui servir d'inspiration, il appelle toutefois à la prudence « sur un futur RGPD des entreprises et sur la mutualisation des données d'entreprises », rappelant que certaines données stratégiques sont le savoir-faire, la propriété de l'entreprise. « Avant de se poser la question de leur mutualisation, il faudrait segmenter les données », pointe Christian Nibourel.

Un troisième volet récurrent concerne le soutien économique et financier au secteur du numérique, en particulier sur les technologies innovantes. Comme évoqué par Bruno Le Maire, « nous avons pris du retard en ne finançant pas suffisamment des technologies de rupture qui sont indispensables pour réussir, notamment dans le domaine de l'intelligence artificielle. » Pour le ministre de l'Économie et des Finances, « l'absence de champion digital en Europe est d'abord liée à l'absence des financements nécessaires pour construire ces champions », ce qui laisse la possibilité aux géants du numérique de racheter les technologies et start-up européennes. Pour y remédier, Syntec Numérique et Tech in France recommandent notamment de mobiliser les acteurs de l'investissement public et privé, mais aussi d'utiliser la commande publique comme levier. Cédric O estime pour sa part que le financement doit d'abord être privé. « Quand on parle de 30 à 40 milliards d'euros par an, aucun État n'est capable de dépenser autant dans une seule technologie. Pour avoir du financement privé, il faut augmenter la part du capital qui va vers les entreprises et attirer les investisseurs privés, notamment étrangers. » Enfin, Christian Nibourel plaide pour « un pilotage de l'innovation de rupture au niveau européen », qui prend en compte la composante temps. « Les innovations vont très vite. Il faut une vision et une permanence dans nos investissements, tout en étant capable de changer de cap rapidement pour pouvoir répondre aux nouvelles innovations. »

Préserver les intérêts régaliens

Autre sujet important, celui de la confiance, qui va de pair avec la transparence. Dans son bilan de l'année 2019-2020, le Club Relations fournisseurs du Cigref a ainsi pointé » la dépendance des entreprises américaines aux nuages américains (et de plus en plus chinois). » Pour le Club, « l'enjeu de se doter d'un cloud de confiance, qui respecte les valeurs européennes en matière de transparence et de protection des données, est de taille : les jeux politiques des États commencent à influencer lourdement les choix technologiques de nos entreprises. [...] Les organisations européennes doivent être maîtresses de leur devenir technologique et limiter le risque d'être les jouets de luttes géopolitiques. » Cette confiance passe notamment par l'établissement de normes et de standards pour la sécurité, l'interopérabilité et la portabilité des données, un point évoqué dans les recommandations de Syntec Numérique et Tech in France. Le terme a également été employé par Étienne Gonnu, qui représentait l'association April (défense du logiciel libre) devant la commission d'enquête sur la souveraineté numérique. « La question de la confiance est centrale et doit être soutenue par des garanties juridiques claires. Or, à l'heure actuelle, la confiance dans le secteur informatique est trop souvent déléguée à des tiers. La question est donc de savoir sur quelle base accorder sa confiance. L'un des critères capitaux, selon nous, de cette confiance est la possibilité de vérifier ce qui se cache dans le logiciel... et donc de recourir à un logiciel libre. »

Enfin, certaines recommandations concernent plus spécifiquement le domaine régalien. Loïc Rivière a ainsi insisté sur la mise en place « d'une cyberdéfense européenne », « un axe prioritaire de développement dans lequel nous devons mettre en adéquation les capacités industrielles et nos ambitions de défense. » Il a également pointé la confrontation entre certaines technologies émergentes et le monopole régalien, citant en exemple l'authentification et l'identité numériques, l'essor des cryptomonnaies, les technologies de surveillance numérique ou d'observation par satellite, la cybersécurité, le chiffrement, etc. « En soi, l'innovation est neutre, mais certaines technologies nouvelles pourraient constituer des menaces si le pouvoir régalien ne s'en emparait pas au bon moment et de manière satisfaisante », prévient-il. Si l'État doit se saisir de ces sujets, encire faut-il le faire en respectant l'un des principes phares des services numériques : offrir une expérience utilisateur de haut niveau. Ce point a notamment été évoqué par Cédric O, pour qui le sujet de l'identité numérique est un bon exemple du défi qui est posé à l'État. « Les usages dans le numérique bousculent les pratiques : l'État peut certes développer une carte d'identité numérique mais si elle n'est pas pratique ou aussi simple d'usage que le dispositif d'identité numérique développé par Google ou Facebook, alors les citoyens ne l'utiliseront pas. »

Dans la deuxième partie de son rapport, la commission d'enquête sur la souveraineté numérique a proposé plusieurs grands principes pour guider la stratégie française et européenne en matière de souveraineté, qui rejoignent pour la plupart les recommandations des différentes parties prenantes. Il s'agit tout d'abord de fédérer les acteurs afin d'anticiper les défis. Le rapport réaffirme également de façon claire que la cyberdéfense doit être une priorité. Il invite à favoriser le déploiement des infrastructures numériques sur le territoire français, celles-ci étant aussi un facteur d'attractivité économique. Il encourage également la mise en oeuvre d'une véritable politique industrielle pour soutenir les technologies clefs et sécuriser les technologies utilisées par les secteurs sensibles. Enfin, il met l'accent sur les enjeux de financement de l'innovation, sans oublier la question des talents, un levier lui aussi essentiel.