DÉLÉGATION INTERMINISTÉRIELLE À L'INTELLIGENCE ÉCONOMIQUE
Mme Claude Revel,
déléguée
interministérielle à l'intelligence économique
27 mars 2014
La délégation interministérielle à l'intelligence économique est placée auprès du Premier ministre depuis le décret du 22 août 2013. Précédemment, elle était rattachée au ministre chargé de l'économie et des finances et, encore auparavant, au Secrétariat général de la défense nationale (SGDN).
Le premier haut responsable, nommé en 2004, a été M. Alain Juillet remplacé, en 2009, par M. Olivier Buquen et j'ai été nommée le 29 mai 2013 au moment où délégation a été rattachée au Premier ministre.
De cette évolution découlent quelques conséquences. En ce qui concerne les missions de la délégation, elles sont définies autour de quatre piliers.
Le premier pilier, c'est la veille, l'anticipation et l'alerte des pouvoirs publics et du Gouvernement sur tous les sujets qui ont des enjeux économiques, scientifiques, techniques, industriels, etc. Ce premier pilier consistant à avoir de l'information sur son environnement est essentiel et les autres en découlent.
Le deuxième pilier, c'est la sécurité économique qui consiste en l'immatériel, c'est l' intelligence économique . C'est la préservation, la protection des savoir-faire, des recherches, de l'état de la recherche, des données, du capital, de la réputation, toutes ces choses immatérielles qui ont une valeur très grande pour les entreprises.
Le troisième pilier, c'est l'influence , c'est-à-dire d'abord être capable de saisir les opportunités pour influer sur son environnement , tout ça étant lié à l'anticipation, notamment le fait de savoir si telle ou telle nouvelle technologie va émerger ou si une autre va disparaître et quels sont les investisseurs concernés. On essaie d'organiser les événements pour qu'ils se passent comme on le souhaite au lieu d'attendre la crise ou que les autres choisissent pour vous.
Le second aspect de l'influence, c'est l'influence sur les normes et sur les règles internationales . C'est probablement une des raisons de ma nomination car j'ai remis, en janvier 2013, un rapport à la ministre, Mme Nicole Bricq, intitulé : « Développer une influence normative internationale stratégique pour la France ». En effet, il y a un grand nombre de terrains sur lesquels on pourrait être bien davantage présent dans les organismes internationaux et les organismes normatifs en particulier.
Le quatrième pilier, c'est le pilier pédagogique , à savoir la sensibilisation à travers la formation initiale, la formation supérieure et la formation continue car la plupart des risques sont d'origine humaine . La sensibilisation, entendue dans un sens de protection mais aussi dans un sens proactif, est essentielle.
L'intelligence économique repose donc sur trois fondements : savoir, se prémunir et influer sur son environnement.
Pour en terminer avec la présentation générale de la délégation interministérielle à l'intelligence économique, celle-ci dispose désormais de moyens un peu accrus avec la possibilité de mobiliser des correspondants dans les ministères, dans les services déconcentrés de l'État en France et à l'étranger.
Il est même recommandé, dans le décret constitutif, de procéder à des échanges de vues avec le secteur privé, avec les entreprises ; cela est extrêmement important. Il faut échanger avec les entreprises, les organisations non gouvernementales, etc., tout ce qui n'est pas public .
Le décret précise également que la délégation doit participer à la politique de rayonnement international de la France ; elle est d'ailleurs associée à toutes les décisions concernant les investissements étrangers en France.
Voilà pour les textes. Mais il n'est pas facile d'agir alors que, en réalité, les pouvoirs de la délégation sont limités compte tenu des luttes de territoires diverses et variées de l'administration.
La délégation travaille déjà sur un certain nombre de sujets qui ont plus ou moins trait à la sécurité numérique mais la manière d'affronter les nouveaux risques numériques n'a pas encore été abordée de manière globale.
Quand on parle du numérique, cela peut se décliner de plusieurs manières, mais, ce qu'il faut arriver à faire, c'est penser et maîtriser les technologies à l'avance .
Tous les jours, de nouveaux défis doivent être affrontés compte tenu des innovations des concurrents. Ce qui se fait à l'international est particulièrement important à connaître.
Maîtriser les technologies et les penser dans notre intérêt peut être illustré par l'exemple de ce qui s'est passé aux États-Unis d'Amérique dans les années 1975-1980 à propos des autoroutes de l'information , les High Ways. À cette époque , un certain Al Gore disait partout que les autoroutes de l'information étaient intéressantes et, par la suite, Internet a découlé de cette volonté de penser les autoroutes de l'information des années 2000.
À partir de la constatation que des technologies émergentes allaient dominer le monde, il y a eu la volonté de les maîtriser. Il ne faut pas être en retard. Les Américains sont actuellement à la tête de la gouvernance d'Internet, de grands empires industriels se sont créés car tout cela a été pensé et voulu.
L'information est devenue une matière première à partir de laquelle on peut réaliser ce que l'on veut. Comme toute matière première, elle peut être protégée, vendue, raffinée etc. De plus, les acteurs économiques qui utilisent cette matière première le font de manière totalement dérégulée. Ce qui n'est pas le cas de toutes les matières premières.
La délégation n'a pas un mandat sur la protection du numérique. Mais, comme ce sujet est essentiel, elle en traite notamment à travers la norme, la règle. Car si les défis du numérique sont technologiques, ils sont aussi humains et juridiques.
Il est possible de diminuer les risques à l'aide de règles juridiques.
La délégation à l'intelligence économique a quelques mandats spécifiques concernant le numérique. C'est ainsi que la réunion interministérielle du 12 février 2014, présidée par le directeur de cabinet du Premier ministre, a porté sur la cybersécurité. Dans ce cadre-là, nous avons été chargés d'améliorer la formation des PME à la cybersécurité en établissant un référentiel avec les chambres de commerce et d'industrie et en essayant de le diffuser via les chambres de commerce, les préfets et les autorités locales. Il y a eu toute une distribution de tâches effectuée entre les diverses administrations dont les premiers résultats devraient être perçus à la fin de l'année 2014.
J'ai été nommée membre de droit du Comité de la filière industrielle de sécurité (CoFIS) , créé le 23 octobre 2013 ; l'idée étant de renforcer les industries françaises de la sécurité à travers une filière, comme cela existe pour d'autres industries. Au sein de ce comité siègent à la fois des acteurs publics et privés. La délégation à l'intelligence économique a pris en charge un sous-groupe sur l'intelligence normative . En effet, les normes sont extrêmement importantes car elles peuvent ouvrir ou fermer un marché. Il faut donc arriver à fabriquer la norme avant les autres . Or, les normes techniques sont obligatoires pour l'interopérabilité des produits qui se vendent dans le monde entier .
Les normes ne se font plus sous l'égide des pouvoirs publics nationaux ou internationaux mais elles proviennent des industriels, ce sont des normes de fait.
Actuellement, à Paris, se tient une réunion collaborative pour déterminer des normes sur les bandes dessinées, les mangas, les magazines publiés sous forme numérique pour les rendre adaptables aux appareils mobiles. De nouvelles normes sont toujours nécessaires pour améliorer ces produits. Toutes les nationalités sont autour de la table et ce sont les industriels qui, entre eux, élaborent ces nouvelles normes.
Comme les normes numériques sont quelquefois liées à la sécurité, il pourrait être imaginé que ce soient les États qui les élaborent. Même au sein de l' ISO , la représentation des professionnels se fait par États et ces professionnels rendent compte aux États. Les pouvoirs publics sont tout de même derrière même s'ils ne sont pas présents.
À l'inverse, pour les normes de fait , il n'y a plus aucun aspect national. En général, le président de ce type de réunion est nord-américain même quand les négociations se passent en France. L'Américain commence par souligner que les règles de propriété intellectuelle n'ont pas leur place dans ce type d'enceinte où le secret des affaires n'est pas invocable. L'élaboration de la norme, la mise au point de nouvelles manières de faire très techniques devront être ouvertes et, ensuite, chacun pourra faire ce qu'il voudra ; la question demeurant de savoir comment gagner sa vie à partir d'un tel modèle.
Toutes les personnes présentes sont des producteurs qui ont pour ambition de vendre des produits élaborés selon ces nouvelles normes. Le principe est de se dire que les meilleurs au monde ayant élaboré les normes, les autres producteurs suivront.
La structure qui recevait ces jours-ci s'appelait l'ADPF et il est envisagé qu'elle s'unisse un jour avec W3C qui est l'organisme privé américain de référence en matière de normes numériques, quelque chose d'analogue à l' ISO .
Pour prendre un exemple, la norme de fait GSM a été fabriquée à Sophia-Antipolis, sans passer par l' ISO , à l'initiative de M. Didier Lombard qui a réuni des chercheurs, l'État étant présent ; des Allemands, des Hollandais, participaient, en plus des Français, à cette élaboration. Cette norme s'est imposée dans le monde et a donné naissance aux empires français qui existent aujourd'hui.
Au sein du CoFIS, si l'on pouvait arriver à fabriquer la norme ce serait formidable, à condition que les industriels et l'État s'y intéressent dans la durée.
Thales s'intéresse beaucoup aux normes de gouvernance , financières et comptables et, aussi, aux normes de responsabilité sociétale des entreprises (RSE), aux normes anticorruption ou aux normes anticoncurrentielles.
Le 19 décembre 2013, un Conseil européen de la défense s'est tenu pour réfléchir à des normes pour de nouveaux produits de défense à présenter avant la fin de l'année 2014.
Pour des sujets stratégiques, il est important de se réunir pour arrêter une position commune.
Quant à l'aspect juridique, la protection du secret des affaires , dont une partie est liée à l'accès numérique, une proposition de loi a été présentée, il y a deux ans, puis adoptée par l'Assemblée mais non par le Sénat. Elle a été reprise en tant que projet par mon prédécesseur en 2011 et doit être encore améliorée.
Un projet sur ce point, excédant d'ailleurs le champ du numérique, a été remis au cabinet du Premier ministre à la fin du mois de septembre 2013.
Pour garder le secret des affaires, il faut disposer de machines non reliées au Net , à aucun réseau, de cages de Faraday ou d'un brouillage sonore ambiant.
À propos du projet de règlement européen sur la protection des données , mené par la commissaire Mme Viviane Reding, actuellement en cours de négociation, il est freiné par tous les groupes de pression ultralibéraux ( Google et autres) qui voient d'un très mauvais oeil une régulation de l'utilisation des données.
Ce projet est soutenu par le Parlement européen qui, le 12 mars 2014, a émis un vote sur la protection des données qui obligerait les entreprises, lorsqu'elles travaillent sur le territoire européen, à respecter le droit à l'effacement, le droit à l'oubli et l'obligation d'informer les personnes lorsque leurs données sont utilisées à des fins commerciales .
Au-delà des données personnelles, qui sont importantes, il faut aussi prendre en compte les données économiques.
À noter qu'une bonne partie de ce qui a scandalisé à travers l'affaire Snowden est légale aux États-Unis d'Amérique - Patriot Act ou autres qui, pour des raisons de sécurité, permettent de passer outre la protection des données .
Sous l'empire de la directive de 1995, on ne peut fournir toutes les données, c'est pourquoi, l'Union européenne a négocié avec les États-Unis le Safe Harbor à travers lequel il est convenu de traiter les données comme l'exige la directive de 1995... sauf si la sécurité est en jeu . Il y a environ 4 000 organismes américains avec lesquels ce type de convention a été signé.
Le règlement Reding, en cours d'élaboration, a pour ambition de moderniser la directive de 1995. Il est à espérer que les conventions mentionnées ci-dessus ne pourront prospérer sous l'emprise du nouveau règlement européen.
Il serait souhaitable que les Français soient capables de mettre sur pied une force d'influence pour travailler au coeur de l'élaboration de ce nouveau règlement européen. La capacité d'influence au sein de l'Union européenne reste à mettre au point notamment en plaçant des personnes aux bons endroits.
Sur des sujets stratégiques de ce type, il faut que la position stratégique française soit élaborée et diffusée dans tous les cercles d'influence possibles.
Il faut commencer par rencontrer la personne en charge de l'écriture du texte européen pour expliquer la position française.
De plus, comme pour la protection des données, quand tout le monde est quasiment d'accord, il faut mettre au point une méthode pour éviter que chacun travaille dans son coin.
Un autre lieu juridique où ces aspects vont être traités sera la négociation sur le Traité de partenariat transatlantique avec les États-Unis d'Amérique ( TTIP ), l'accord de libre-échange entre les États-Unis et l'Union européenne.
Les Américains veulent un accord normatif dans tous les domaines dont les marchés publics et la propriété intellectuelle qui concerne directement les affaires de numérique et la protection des données. Cela est extrêmement important.
Mme Nicole Bricq a réuni à plusieurs reprises un comité d'anticipation sur cet accord et, dans ce cadre-là, il y a environ deux mois, le négociateur en chef européen a été reçu ; c'est un français, M. Jean-Luc Demarty mais il n'est pas très profrançais.
Il lui a été demandé si le statut des données faisait partie de cet accord et il a d'abord semblé répondre par la négative mais, en réalité, il parlait de l'exception culturelle. Il a affirmé ensuite que les informations liées aux produits numériques entraient naturellement dans le cadre de l'accord puisque les produits numériques y entrent en fonction du statut qui leur a été donné au niveau européen.
Dans ce contexte, il serait souhaitable d'attendre que le règlement européen soit adopté avant que l'accord de libre-échange ne puisse être négocié car il ne faut pas commencer à négocier avant d'avoir une base européenne qui ne saurait être la directive de 1995 - dépassée . C'est pour éviter cela que l'élaboration du règlement européen est freinée par tous les groupes de pression pour éviter qu'il puisse servir de protection européenne dans le cadre de la négociation de l'accord transatlantique de libre-échange.
Cette position, est également celle de Mme Viviane Reding.
Il faut donc éviter que les données entrent dans la négociation du traité tant qu'un socle réglementaire européen n'existe pas. Seuls les Allemands sont sur la même ligne que la France - sans doute stimulés par l'écoute du téléphone portable de la chancelière qui a indigné les Allemands.
La souveraineté numérique n'a plus de sens au niveau français mais a un sens au niveau européen où les Français doivent être davantage proactifs. Elle peut également avoir un sens à travers la présence française dans les cercles normatifs internationaux.
Le nuage numérique consiste à stocker des données dans des serveurs externalisés. Il y a eu, le 29 mars 2013, une réunion interministérielle sur l'informatique en nuage et sur les stratégies françaises et européennes demandant aux ministères de se concerter sur le projet de règlement européen, sur la proposition de directive destinée à assurer un niveau élevé de sécurité des réseaux et de l'information dans l'Union européenne et, également, sur le projet d'accord de libre-échange entre l'Union européenne et les États-Unis d'Amérique.
Le côté national peut être réaffirmé à travers la confiance à accorder au numérique à travers la constitution de nuages numériques français car, étant français, ils ont leur siège en France et sont soumis aux lois françaises. Or, la France à un niveau très élevé de protection des données.
Il faut distinguer la loi du lieu où se trouve le serveur de celle du lieu du siège social du propriétaire de ce serveur. OVH , qui constitue une très belle réussite, est situé en France. Lorsque l'on a des hébergeurs français, l'État devrait inciter les grands groupes à les utiliser. À cet égard, le Conseil national du numérique a élaboré une note précisant que l'existence d'instruments nationaux n'est pas hors de portée puisque les Japonais ont réalisé un nuage japonais et un Facebook japonais qui sont préférés par les consommateurs à Facebook et aux nuages américains.
Pour Google notamment, la principale source de revenus est constituée par les consommateurs européens. C'est pour cela qu'il s'oppose absolument au fait que nous ayons des règlements en Europe.
Les Chinois ont leur propre équivalent pour Google .
Il faut une volonté nationale de promouvoir les outils français : des hébergeurs français, des nuages numériques français, dans un cadre français, avec des réseaux français. Une sensibilisation est essentielle pour cela. Cela peut partir des grands groupes dans lesquels il y a des représentants de l'État.
Sinon, il est impossible d'avoir quelque confiance que ce soit dans le nuage numérique , y compris dans les nuages français et d'autant moins lorsqu'ils sont gouvernés par des lois non françaises.
Les experts américains ou anglais, les cabinets de conseil ne peuvent être totalement crus car leurs lois permettent aux gouvernements de requérir quand ils veulent des données détenues. Il en va de même en Chine.
Les ingénieurs français, excellents techniquement, doivent être sensibilisés à ces questions de protection française.
Le secrétariat général de la défense et de la sécurité nationale SGDSN a mis en place des zones à régime restrictif (ZRR) de protection concernant certains laboratoires de recherche dans le cadre de la protection du patrimoine scientifique et technique et a demandé qu'il y ait beaucoup plus de laboratoires sous zone ZRR. Les chercheurs sont vent debout contre cette initiative. En réalité, il faudrait que les chercheurs eux-mêmes sachent déterminer ce qu'est une information stratégique .
Il ne faudrait pas que les chercheurs donnent toutes leurs informations sur le réseau : les noms des personnes avec lesquelles ils travaillent, les informations relatives au dernier état de leurs recherches, etc.
Pour les laboratoires dans lesquels la France est très en avance, il faut vraiment prendre en compte ce qu'est l'information stratégique. Il ne faut pas signer des accords de propriété intellectuelle à l'étranger avant d'avoir consulté le service juridique de leur employeur pour vérifier l'accord avant de le signer.
Il n'est pas nécessaire de livrer toutes ses informations pour remporter un appel d'offres.
Pour l'instant, la délégation à l'intelligence économique est un peu entravée dans son action par le manque de moyens. Elle ne dispose que de quatre collaborateurs sur un site, d'autres sur un deuxième et encore deux personnes sur un troisième site. Les systèmes informatiques de ces trois endroits sont incompatibles.
Pour l'instant il n'y a aucune coopération avec la CNIL . Il serait souhaitable de développer une stratégie en commun pour dominer et maîtriser le risque numérique.
En revanche, il y a travail en commun avec l'ANSSI notamment sur les questions internationales, normatives et européennes, sur la pédagogie en matière de cybersécurité. Des fiches de sécurité économique , qui seront présentées prochainement, ont été élaborées en commun avec l'ANSSI. Quelques-unes de ces fiches, très simples, portent sur le numérique et donnent des conseils pratiques.
Safran , Thales , toutes les grandes entreprises sont sensibles à la protection des données ; le GIFAS les rassemble tous sur la même ligne. Mais certains sont concurrents entre eux ce qui complique la coopération.
Les PME ne sont pas assez informées des risques du numérique. Il serait souhaitable aussi de dispenser une formation en intelligence économique auprès des PME.
De même, des sensibilisations à l'intelligence économique ont été débutées dans l'enseignement supérieur en septembre 2011 à destination d'une trentaine d'établissements pilotes où quarante heures d'intelligence économique doivent être enseignées, tous cursus confondus. Soit, seize heures d'intelligence économique au niveau M1 et vingt-quatre heures au niveau M2.
Le test s'achèvera en juin 2014 et donnera lieu à une évaluation.
J'ai moi-même été professeur dans un enseignement pilote où j'ai eu l'occasion d'enseigner cela.
L'ennui, c'est que des personnes s'autoproclament formateurs en intelligence économique allant jusqu'à expliquer comment provoquer une dépression nerveuse chez un chef d'entreprise en s'attaquant au capital de sa société.
Mais, au-delà de la technique, de l'outil, il s'agit d'abord de pratiques humaines.
Les investissements prioritaires dans le domaine de la sécurité numérique pourraient constituer la promotion de sites français, de nuages français et de produits de sécurité français et travailler sur le droit européen lié à ces sujets.
Il faudrait simplifier la vie des petites entreprises françaises du secteur du numérique car beaucoup de celles-ci sont confrontées à des problèmes sans nom de formalités excessives... Il faudrait veiller à ce que des simplifications aient réellement lieu.
Il faut appliquer la directive européenne, mais sans faire de zèle - comme le font les Anglais et les Allemands -, ne pas publier des données excessives, protéger les entreprises. Par exemple, en matière de publication des comptes, il est possible de les déposer auprès de l'autorité de tutelle des comptes de toutes les entreprises mais rien n'oblige à les publier. En termes de concurrence, il n'est pas bon de livrer ses données aux concurrents et, en plus, c'est compliqué.
Par ailleurs, il faudrait tenter d'éviter ce qui est appelé « la vallée de la mort », c'est-à-dire que les petites entreprises innovantes soient aidées également deux ou trois années après leur création. Par exemple, pour favoriser l'investissement en capital à ce moment-là.
Il advient que l'on trouve davantage d'investisseurs chinois, coréens, russes, américains en France que d'investisseurs français pour prendre ce type de risque.
La délégation à l'intelligence économique n'a jamais subi d'attaque informatique.
Au niveau des ministères , on pourrait imaginer une politique de sécurité informatique forte comprenant une formation des ministres, des parlementaires et des principaux responsables aux exigences de la sécurité numérique .
Les encourager, par exemple, à ne plus employer gmail.com car c'est Google. À noter qu'un logiciel peut permettre d'accéder à sa fiche Google résultant de votre boîte de messagerie gmail.com qui indique tous les sites sur lesquels vous êtes allés, les thèmes de votre recherche et, en plus, tous vos déplacements en France comme à l'étranger.
L' ICANN est américaine mais son conseil d'administration est extrêmement large. Il serait souhaitable qu'elle compte des membres français influents au sein du conseil de cette association .