III. FAIRE DE L'ÉCONOMIE AVEC DU DROIT ?
En dépit des règles régissant la protection des données individuelles au niveau national et européen, la protection des données individuelles et de l'entreprise dans l'entreprise ne paraît pas assurée.
Pour y remédier, des efforts d'éducation sont à entreprendre, des prises de conscience à accomplir mais aussi de disposer de matériels et d'outils fiables.
Quant aux matériels, ni la France ni les autres États de l'Union européenne ne sont à même, seuls, de garantir un usage souverain rentable de l'ensemble des composants, ordinateurs, logiciels, réseaux utilisés, qu'ils soient ou non conçus ou fabriqués dans d'autres parties du monde.
Quant aux outils, ces matériels étant reliés entre eux, à d'autres objets, à des logiciels et, enfin, à leurs utilisateurs, il convient de faire en sorte que la chaîne d'interaction qui les relie puisse être l'objet de recours juridiques, soit en tant que chaîne, soit en tant qu'élément individuel indispensable à la sécurité de l'ensemble.
Au cours de la centaine d'auditions menées par vos rapporteurs, il leur est en effet apparu que les éléments techniques de la sécurité du numérique dépendaient souvent de règles juridiques indépendantes les unes des autres. Il conviendrait de donner une cohérence d'ensemble reliant chaque élément de la chaîne numérique et garantissant l'usage de celles-ci. La France dispose en la matière de nombre d'atouts dans le domaine du droit numérique, qu'il serait souhaitable de mobiliser pour en faire des instruments de puissance économique à l'échelle internationale.
Un exemple : la cryptographie . À de nombreuses reprises, celle-ci a été citée comme un élément clé de la transmission sécurisée des messages numériques. Il se trouve que, grâce à l'école française de mathématiques, parmi les toutes premières dans le monde, grâce à la recherche menée dans ce domaine, notamment par l'armée au sein de la Délégation générale pour l'armement, cet atout peut faire partie de ceux à développer en priorité pour faire face à l'insécurité numérique de plus en plus évidente à laquelle se trouvent confrontées les entreprises et la société en général. Enfin, la France dispose encore d'une considérable capacité en matière de langues et de linguistique, capital qui pourrait être valorisé aussi au profit des outils du numérique.
Il semble alors prioritaire de former à la cryptographie, de favoriser la recherche dans ce domaine, d'aider les jeunes créateurs d'entreprise à se diriger vers cette activité, de les soutenir jusqu'à la consolidation de leur entreprise - ce qui suppose de les aider à passer le stade où ils risquent d'accepter que des sociétés nord-américaines rachètent leur entreprise.
Parallèlement, les lacunes observées dans la sécurité numérique des entreprises peuvent conduire à l'adoption de nouvelles règles de droit pérennes de manière à favoriser l'apparition de nouveaux marchés.
Quels sont les besoins non satisfaits ? Ils sont nombreux et vont des sondes souveraines à la cartographie des risques ; des détecteurs d'intrusion à la réalisation d'audits de sécurité numérique ; de la formation au codage dès la maternelle à la réalisation de jeux de travail (ou serious games ) pour accélérer et ancrer les réflexes conditionnant la sécurité numérique.
La coopération déjà existante entre la CNIL et l'ANSSI peut aider à concevoir et à mettre en place les nouvelles règles de droit nécessaires et leur traduction pratique. Les préconisations de vos rapporteurs vont dans ce sens : simplifier l'accès au numérique en protégeant mieux le citoyen et les entreprises.
Au-delà, dans le cadre des trente-quatre plans de la Nouvelle France industrielle lancés le 12 septembre 2013, pas moins d'une quinzaine d'entre eux concernent très directement le numérique (logiciels et systèmes embarqués, textiles techniques et intelligents, réseaux électriques intelligents, santé numérique, Big data, cloud computing, e-Éducation, souveraineté télécoms, objets connectés, réalité augmentée, services sans contact, supercalculateurs, robotique, usine du futur) et l'un d'eux la cybersécurité . Ils doivent être suivis avec attention par le Gouvernement et par tous les acteurs de la filière.
Le plan cybersécurité vise à construire « la France de la sécurité et de la confiance numérique » au moyen d'une industrie performante en matière de cybersécurité pour relever un défi de souveraineté et saisir une opportunité . Il a des objectifs ambitieux comme celui de la sécurisation des infrastructures les plus vitales pour assurer la défense comme la sécurité du pays et protéger la vie quotidienne des Français ; les objectifs de souveraineté reposant sur la protection des secrets numériques .
Ce plan représente une opportunité, car il est porteur de créations d'emplois puisque la France possède, en ce domaine, des acteurs industriels de rang mondial et un tissu de PME capables de relever ce défi.
Le plan ambitionne d'accroître significativement la demande en solutions de cybersécurité de confiance ; développer, pour les besoins nationaux, des offres de confiance ; organiser la conquête de marchés étrangers et renforcer les entreprises nationales de cybersécurité pour qu'une offre de confiance nationale existe et soit mieux prise en considération par les commanditaires publics et privés nationaux et davantage valorisée à l'export.
Cette offre de confiance repose sur un effort de gouvernance et de valorisation de la recherche et du développement pour tirer tout le bénéfice d'un tissu industriel national large, mais parfois trop dispersé (plus de six cents acteurs). Il reste à le consolider tout en évitant les risques de concurrence stérile ou de rachats inappropriés portés par l'éparpillement actuel. Sans omettre surtout de profiter des extraordinaires opportunités de conquête de parts de marché que les regroupements ou adossements peuvent offrir.
Les industriels n'ont d'ailleurs pas attendu le plan cybersécurité pour se mobiliser et manifester leur créativité. Tel est le cas, par exemple, du CoFIS, du CIGREF, du Club des directeurs de sécurité informatique, tous entendus par vos rapporteurs.
Et leurs efforts se conjuguent avec ceux des filières de formation, à en juger par l'audition des directeurs de grandes écoles.
Vos rapporteurs tiennent à insister sur la nécessité de clarifier les règles juridiques à imaginer dès le futur projet de loi sur le numérique annoncé pour le début de l'année 2015.
Le rôle de l'OPECST à cette date consistera à présenter à la commission des affaires économiques du Sénat, qui l'a saisi de la présente étude, ce rapport et ses recommandations.
Au-delà de cette première présentation, il serait opportun d'élargir cette démarche habituelle à d'autres commissions attentives au numérique et à sa sécurité, tant à l'Assemblée nationale qu'au Sénat et, évidemment, de remettre officiellement le présent rapport aux instances gouvernementales concernées dont, en premier lieu, la secrétaire d'État en charge du numérique, Mme Axelle Lemaire, entendue dans le cadre de la journée d'auditions publiques du 19 juin 2014.
À noter que, récemment, le 10 novembre 2014, Mme Axelle Lemaire a adressé une lettre au Président de l'OPECST lui indiquant que le numérique constituait, plus que jamais, une priorité du Gouvernement qui souhaite construire une « République numérique ».
C'est ainsi que : « Le Premier ministre a décidé de placer la transition numérique au premier rang des priorités de l'action du Gouvernement ».
Le présent rapport s'inscrit dans la grande concertation sur le numérique, devant s'achever au début du mois de février 2015, pour « nourrir le projet de loi numérique » .
Les règles à mettre en place doivent être mûrement réfléchies pour que le numérique soit un facteur de développement économique qui place la France au premier rang européen et international.
Vos rapporteurs ont montré dans ce rapport que des groupes de pression puissants sont à l'oeuvre à Bruxelles pour retarder au maximum l'adoption du projet de règlement afin qu'il ne vienne pas interférer avec la négociation du traité commercial transatlantique.
Pendant ces divers temps, dont certains indispensables et d'autres parasitaires, la fabrication des matériels et des outils numériques en Asie s'affirme.
Faire de l'économie avec du droit ? Cela est possible et nécessaire pour s'inscrire dans la révolution numérique en cours. Elle s'y prête bien, étant présente partout et en tout .
Cela peut supposer de bouleverser quelque peu les rapports que les divers acteurs, plus ou moins conscients, de cette révolution ont l'habitude d'avoir entre eux.
Cela concerne aussi bien les chercheurs que les jeunes créateurs d'entreprise, les patrons de PME, les opérateurs d'importance vitale, les collectivités territoriales, les administrations et les gouvernements.
Enfin, comment ne pas avoir à l'esprit que, pendant la conception et la réalisation de cette révolution numérique aux enjeux essentiels et mondiaux, l'espionnage et les actions d'intelligence économique continuent ?