V. SOUVERAINETÉ ET NUMÉRIQUE
« La capacité de se protéger contre les attaques informatiques, de les détecter et d'en identifier les auteurs est devenue un des éléments de la souveraineté nationale. Pour y parvenir, l'État doit soutenir des compétences scientifiques et technologiques performantes. »
Livre blanc sur la Défense et la sécurité nationale, 2013
A. UNE COLONISATION NUMÉRIQUE ?
Après avoir élaboré plusieurs rapports sur le numérique pour la commission de la culture, de l'éducation et de la communication du Sénat, Mme Catherine Morin-Desailly, sénateur, a été chargée d'un rapport d'information intitulé « L'Union européenne, colonie du monde numérique » (rapport n° 443, 2012-2013) publié en mars 2013, dans lequel elle a choisi de « sonner le tocsin avant qu'il ne soit trop tard ». Elle y affirme que « l'Europe est sous-développée dans le monde numérique » et qu'« elle est menacée de sous-développement global demain , puisque le numérique prend progressivement le contrôle de toute l'activité ».
Ce rapport identifie bien les menaces pesant sur la maîtrise des données par l'Union européenne, son « or noir du futur numérique », mettant en cause son indépendance et sa liberté.
Pour y remédier, ce rapport propose d'assurer à l'Union européenne la maîtrise effective des données des citoyens européens notamment face à l'informatique en nuage, aux objets communicants et aux emprises multiples des États-Unis d'Amérique qui, au nom de la lutte contre le terrorisme, ne cessent d'étendre à grande échelle leur collecte de données sur les citoyens non-américains situés hors du territoire nord-américain.
Dans ce domaine, les citoyens non-américains se voient reconnaître moins de droits que les citoyens américains tandis que l'Union européenne applique, elle, à tout individu, des textes de portée universelle comme la Convention européenne des droits de l'homme et la Charte des droits fondamentaux de l'Union européenne (droit à la vie privée, au respect de la correspondance, à la protection des données personnelles).
Il serait évidemment souhaitable que l'Union européenne mette en avant le respect de ces droits dans le développement de l'informatique en nuage mais les diverses hésitations manifestées à l'occasion de la préparation de la proposition de règlement européen laissent craindre une forte influence nord-américaine dès ce stade.
Comment alors garantir la protection de la vie privée, des données personnelles par des fournisseurs de services du nuage numérique relevant, ou pouvant relever d'un jour à l'autre, du droit nord-américain au gré des variations d'identité des propriétaires de leur capital ?
Cette dérive une fois survenue, quelle protection opposer au développement de l'Internet des objets dont les règles devraient être conçues dès aujourd'hui ?
D'autant que nombre de ces objets connectés concerneront la quantification de soi, domaine d'élection de la vie privée.
À l'abandon de leur souveraineté numérique par les États risque de répondre l'abandon par les États de la protection des droits de leurs citoyens menacés par le numérique contrôlé depuis l'étranger.
C'est dans ce contexte mouvant et fragile qu' il importe de sécuriser les réseaux numériques objets d'attaques .
Devant l'ampleur possible des dégâts provoqués par de telles attaques, les États se doivent de concevoir la protection des infrastructures critiques de la société, celle des opérateurs d'importance vitale (OIV) comme des citoyens reliés à eux de manière critique .
Les notions de vulnérabilité et de résilience, face et à la suite d'attaques numériques, prendront alors tout leur relief.
C'est pourquoi la France s'est dotée, en 2009, de l'Agence nationale de la sécurité et des systèmes d'information (ANSSI) pour prévenir les attaques informatiques et aider les opérateurs d'importance vitale à réagir en cas de crise.
Comme il peut être indispensable d'étendre cette prévention et cette assistance aux sous-traitants, aux clients et aux personnels de ces opérateurs, il apparaît aussitôt que c'est davantage l'échelon national que l'échelon européen qui peut tisser ce maillage préventif et curatif .
Cela passe par le recours à des matériels fiables (fabriqués en France, dans l'Union européenne ou labellisés par l'ANSSI), à des contrôles systématiques, à des règles juridiques plaçant très haut les impératifs de la sécurité numérique et à des comportements responsables face aux risques du numérique.
À l'échelon communautaire, cela suppose de reconnaître la nécessité de la mise en place d'une préférence communautaire pour les marchés de sécurité d'équipements numériques hautement stratégiques .
Cette notion devant primer sur la liberté de la concurrence dans les secteurs d'importance vitale.