par Pierre Noro
Le développement et le déploiement d’un dispositif de cloud souverain constituent des volets importants d’une politique industrielle visant à permettre à la France et ses partenaires européens de préserver leur souveraineté numérique. En effet, les annulations successives des accords Safe Harbor en 2015 puis du Privacy Shield par la Cour de Justice Européenne, avec sa décision du 16 juillet dernier, semblent témoigner d’une plus grande fermeté de la réaction européenne vis-à-vis de la protection de nos données. Il a ainsi été jugé que la transmission de données personnelles depuis l’Union Européenne vers les États-Unis (quand bien même elles seraient traitées dans le cadre du RGPD) n’offrait pas une protection suffisante au vu des risques d’interceptions de ces données. Soit les États européens négocient un nouvel accord, au risque de le voir à son tour invalidé donnant une nouvelle fois raison à l’activiste autrichien Max Schrems, déjà à l’origine du recours contre le Safe Harbor. Soit nous établissons les bases d’un nouveau modèle affirmant que les Européens doivent pouvoir disposer de leurs données, à la fois dans les outils et les usages, en ayant recours à des entités localisées et gouvernées depuis l’Europe. C’est d’ailleurs ce que vient d’annoncer Thierry Breton en disant qu’il souhaitait que les données des Européens soient stockées et traitées en Europe par des entités européennes.C’est la reconnaissance du principe de Data Residency auquel l’Institut de la Souveraineté numérique est très attaché. Il reste désormais à le mettre en œuvre légalement…
En dépit des réglementations actuelles, en Europe, les données, en particulier industrielles, sont soumises au principe du “free data flow”. Mais nous ne pouvons pas fermer les yeux sur les problèmes sous-jacents et nous exposer à une décision “Max Schrems 3”. Une citation apocryphe d’Einstein lui faisait dire que la preuve de “la folie est de toujours se comporter de la même manière et de s’attendre à un résultat différent”. Il serait absurde de persister dans un modèle de libre circulation des données personnelles qui, en plus de renforcer des industriels extra-européens, nous expose à des risques de surveillance ou même d’interférence politique, de la part de sociétés ou d’États étrangers, comme l’a montré le scandale Cambridge Analytica.
Permettre aux utilisateurs de bénéficier du principe de Data Residency, avec la localisation des données au sein de l’Union européenne, ne relève plus de la science-fiction. D’ailleurs, beaucoup de pays le font déjà pour des objectifs non-démocratiques, qu’il s’agisse de la Russie, de la Chine ou de l’Inde. Et c’est paradoxalement pour éviter une dérive antidémocratique que nous devons également mettre en place ce principe de Data Residency.
Le projet d’un Cloud Souverain répond à des considérations politiques d’indépendance technologique et de sécurité, mais aussi à des considérations économiques et industrielles. Laisser des entreprises étrangères acquérir un savoir-faire industriel dans le domaine du cloud tout en empêchant les acteurs européens de se développer et d’évoluer afin d’apporter une alternative compétitive constitue une erreur critique. C’est la raison pour laquelle l’Institut de la Souveraineté Numérique s’est opposé à la récente attribution à la société Microsoft du marché concernant le Health Data Hub, qui devrait rassembler à terme l’ensemble des données de santé des Français. Cela alors qu’existent en France et en Europe des acteurs industriels capables de porter des projets comme celui-ci.
Les questions qui restent à résoudre pour parvenir à mettre en place un cloud souverain européen ne sont toutefois pas triviales. Suffit-il seulement de rassembler des acteurs européens autour d’un projet comme GaiaX, pour garantir le fait que les données resteront sur le territoire européen ? Ou bien faut-il également s’assurer que les technologies employées, (qu’elles soient libres ou propriétaires) soient développées par des acteurs européens ? La discussion sur ce sujet reste ouverte.
Nous faisons face, dans ce domaine, à une incohérence. On ne cesse de clamer notre ambition en matière de souveraineté numérique, et on ne cesse de donner les clés de cette souveraineté à un ensemble de sociétés dont les intérêts ne recoupent clairement pas l’intérêt général des Européens. Soit on considère qu’il est déjà trop tard pour agir : suivant la maxime “Vae victis”, nous nous considérons déjà vaincus et nous entrons dans une logique de soumission. Soit nous traçons un nouveau chemin pour le numérique européen.
Affirmer que nous n’avions pas d’autres possibilités que de choisir Microsoft pour l’hébergement des données médicales des Français est à la fois une erreur politique et un contresens industriel. Il existe plusieurs explications à cette décision. La plus évidente est liée au diktat de l’urgence : « Nous étions pressés, nous avions besoin d’une solution qui fonctionne immédiatement et nous avons pris ce qui était disponible ». C’est le même raisonnement qui avait prévalu au sein de la DGSI (Direction Générale de la Sécurité Intérieure) lors du choix de la société Palantir (initialement fondée sur les crédits de la CIA) pour traiter les données de l’antiterrorisme en France.
Certes, une société comme Amazon a dépensé, en 2017, 22,6 milliards de dollars en R&D, mais où se trouve la limite que nous devons tracer ? À partir de quel moment ne pouvons-nous plus prendre un tel risque vis-à-vis d’un secteur aussi stratégique et de données aussi sensibles ? Le fait que ce choix n’ait pas déclenché d’alarme auprès des décideurs publics montre que nous avons encore beaucoup de chemin à parcourir sur la prise en compte des enjeux et des risques liés à la souveraineté numérique.
Cette année, la société américaine Palantir avait également proposé ses services gratuitement à l’Assistance Publique-Hôpitaux de Paris (AP-HP) pour traiter les données liées à l’épidémie de Covid19. Cette proposition de traiter et d’analyser toutes ces données, qui a été acceptée outre-Manche par le National Health Service (NHS), a heureusement été déclinée par l’AP-HP. C’est dire si accéder à un large corpus de données médicales organisées en France est considéré comme une aubaine par ces sociétés américaines. Laisser ces entreprises acquérir un savoir-faire sur ces données, c’est leur faire un cadeau de plusieurs milliards de dollars, comme l’a rappelé Olivier Sicard dans une récente tribune.
Ces données sont d’ailleurs une mine d’or pour les GAFAM, qui veulent désormais investir le domaine prudentiel. En effet, ces entreprises ne souhaitent pas directement devenir des acteurs du soin. Ce secteur nécessite des investissements beaucoup plus risqués sur le long terme. Leur objectif sera plutôt d’utiliser les données qu’elles ont pu acquérir et leur capacité de traitement de ces données pour modéliser les risques liés à la santé de chaque individu et ainsi optimiser les profits de leurs services d’assurances. Le secteur de l’assurance devient l’une des cibles prioritaires des grands acteurs industriels des technologies. Ainsi, Verily, entreprise détenue par Alphabet, la maison-mère de Google, vient d’annoncer que le groupe se lançait dans le secteur de l’assurance santé avec sa nouvelle division Coefficient.
Cette dynamique de « prévention des risques », était déjà présente dans la proposition de loi HR. 1313 introduite en 2017 au Congrès américain, qui avait pour objectif d’imposer des tests génétiques en entreprise avec des sanctions à l’encontre des employés refusant de se soumettre à ces tests. On perçoit bien que cette logique d’hyper-individualisation de la couverture santé va à l’encontre du modèle social français, fondé sur la solidarité et la mutualisation des risques au niveau de la société tout entière.
Un autre facteur d’explication du choix de Microsoft correspond à l’absence d’analyse des risques collatéraux pour les Français sur le long terme. Veut-on que la société française se dirige vers une dystopie à la Minority Report, articulée autour d’un capitalisme de surveillance tel que le décrit Shoshana Zuboff, ou d’un avenir à la Gattaca, où la population serait cartographiée génétiquement et forcée à un conformisme social dont on peut voir les premiers effets avec le très orwellien Crédit Social en Chine ? La réponse doit être : non. Le Health Data Hub ne doit pas servir des objectifs contraires au modèle social français. Nous devrions plutôt développer un autre système, s’appuyant sur des entreprises européennes, qui ne sapent pas la confiance entre les citoyens, les entreprises numériques et l’État.
D’autant plus que cette remise en cause de la confiance mine désormais l’ensemble de l’écosystème numérique, comme le montrent les récentes levées de boucliers de la part des utilisateurs et d’ONG ainsi que les auditions au Congrès américain. L’utilisation abusive et sans discernement des données personnelles représente un risque « systémique » pour ces grandes entreprises qui sont intoxiquées par leurs modèles économiques publicitaires, et en particulier par le recours au profilage extrême des individus via le microtargeting.
Enfin, ce choix montre l’incohérence de la France en matière de souveraineté numérique. Il existe quelques exemples que nous voulons mettre en avant, comme GaiaX, dont l’annonce se retrouve presque en collision avec celle du Health Data Hub, ou bien StopCovid, puisque le gouvernement a rejeté une solution fondée sur les technologies Apple/Google afin de déployer une application développée en France. Pendant ce temps, Microsoft est choisi pour le traitement des données médicales des Français et le contrat de Palantir est reconduit à la DGSI. Or s’il est une chose que l’affaire Snowden a démontrée c’est que la NSA (National Security Agency) n’hésitait pas à user de la menace (y compris d’emprisonnement) auprès des employés de sociétés américaines afin d’obtenir leur coopération en matière de surveillance.
Il nous manque une certaine détermination, un « muscle politique » pour architecturer des solutions comme on a su le faire durant les décennies 60 et 70 autour des industries de l’énergie, du transport et des technologies de calcul et de communications. Cela nécessite de mettre en place des espaces de concertation de haut niveau entre le politique et des experts, et aussi de remettre en cause le dogme « ordolibéral » du marché libre et non faussé, afin d’engager une action de politique industrielle dans la durée comme le font tous nos adversaires industriels… Il est à noter que le programme allemand Industrie 4.0 correspond à une prise en compte exemplaire des impératifs de politique industrielle adaptée au tissu industriel allemand.
Il faut avoir conscience que l’interventionnisme américain est leur secret le mieux gardé. Tout en érigeant la figure de l’entrepreneur dans son garage comme le symbole de l’innovation américaine et en proclamant les vertus du libre-échange, l’État américain exerce un protectionnisme fort, appuyant des industries clés en fonction de leur caractère stratégique. Beaucoup de technologies américaines ont d’abord été développées dans un environnement (ou avec un soutien) militaire. La commande publique peut ensuite prendre le relais pour accompagner l’élaboration d’applications civiles de ces technologies. Comme l’a écrit Mariana Mazzucato dans The entrepreneurial State, toutes les technologies qui ont fait du premier iPhone un smartphone ont été financées, à un moment ou à un autre, par l’État américain.
Au-delà même de la problématique du cloud souverain, on ne peut envisager la souveraineté numérique sans se mettre en ordre de marche pour orienter la commande publique, comme nous le réclamons, avec un Small Business Act en France et en Europe, et dans le même temps bloquer les interventions extérieures potentiellement toxiques. En effet, si nous ne faisons rien pour soutenir des entreprises nationales et européennes afin de développer un écosystème industriel compétitif indépendant vis-à-vis des filières industrielles américaines et chinoises, la dérive que nous subissons sera inéluctable. Une stratégie défensive fondée uniquement sur le droit ne suffira pas à protéger notre souveraineté et enrayer ni la dynamique actuelle de dépendance vis-à-vis des industriels extra-européens, ni la vassalisation politique, sociale et économique qu’elle va entraîner dans les années à venir.
Cette vision n’est pas complètement absente des débats récents en France. Arnaud Montebourg en avait fait l’axe de son plan pour une “Nouvelle France Industrielle”. Mais avec 34 filières déclarées comme stratégiques, même avec une enveloppe conséquente, le gouvernement se condamnait à ne faire que du saupoudrage économique. Il conviendrait plutôt de se focaliser sur 3 ou 4 secteurs clés comme la santé connectée, l’énergie et l’environnement, les transports ou la FinTech. Ces orientations stratégiques nécessitent donc de faire des choix stratégiques, ce qui requiert un “muscle politique” d’autant plus important.
Le Grand Emprunt a connu les mêmes problèmes d’exécution et a finalement essentiellement profité à des grandes entreprises, avec des succès industriels très limités, comme dans le domaine du cloud souverain, Cloudwatt et Numergy ayant échoué en dépit du portage de Thalès, SFR, Orange… La même chose pourrait être dite des programmes européens qui n’ont pas été à même d’aider à faire émerger des champions européens dans ces domaines.
Le projet GaiaX, incarne une nouvelle stratégie, fondée sur l’interopérabilité entre différents acteurs économiques européens, qui peut avoir du sens. Sa réussite dépendra de deux facteurs déterminants en matière de souveraineté numérique : notre vigilance vis-à-vis des choix technologiques qui seront opérés dans le cadre de cette initiative et la mise en place d’une politique cohérente quant à l’usage des clouds souverains et non-souverains dans l’espace public européen.
Lorsqu’elles ont souhaité apparaître conscientes de leurs responsabilités environnementales, beaucoup d’entreprises ont fait du Green washing dans leur communication. En France, nous sommes adeptes du “Sovereignty washing”. Il est temps que d’une mode cela devienne une vraie prise de conscience des responsables politiques, des entreprises et aussi des citoyens.
Pierre Noro coordonne la Chaire Digital, Gouvernance et Souveraineté de l’École d’Affaires Publiques de Sciences Po Paris, où il enseigne également sur la Blockchain et l’innovation sociale.
Bernard Benhamou est Secrétaire général de l’Institut de la Souveraineté Numérique et enseignant sur la gouvernance de l’Internet à l’université Paris I-Panthéon-Sorbonne. Il a exercé les fonctions de délégué interministériel aux usages de l’Internet auprès du ministère de la Recherche et du ministère de l’Économie numérique. Il y a fondé le portail Proxima Mobile, premier portail européen de services mobiles pour les citoyens. Bernard Benhamou a également été le conseiller de la délégation française au Sommet des Nations unies sur la société de l’information et a créé les premières conférences sur l’impact des technologies sur les administrations à l’ENA ainsi qu’à Sciences Po Paris. Vous pouvez découvrir les travaux de Bernard Benhamou et de l’Institut de la Souveraineté Numérique sur le site web de l’Institut.