Sécurité numérique et risques: enjeux et chances pour les entreprises

COMPTE RENDU DE L'AUDITION PUBLIQUE DU 19 JUIN 2014 : SÉCURITÉ DES RÉSEAUX NUMÉRIQUES

SOMMAIRE

LES ASPECTS NORMATIFS DU RISQUE NUMÉRIQUE
(SÉCURITÉ DES RÉSEAUX NUMÉRIQUES)

Introduction

Mme Anne-Yvonne Le Dain, députée, vice-présidente de l'OPECST . - L'Office parlementaire d'évaluation des choix scientifiques et technologiques a été créé en 1983. C'est le seul organe qui soit commun au Sénat et à l'Assemblée nationale. Composé de dix-huit députés et de dix-huit sénateurs, il élabore des rapports sur des thèmes scientifiques et technologiques particulièrement complexes afin de les vulgariser, pour que tous les parlementaires puissent, en peu de temps, être à même de réagir lorsque des projets de loi sont présentés dans ces domaines. C'est en tout cas son acception initiale.

Depuis, la question scientifique et technologique est entrée dans les inquiétudes du monde moderne et beaucoup de commissions, au Sénat ou à l'Assemblée nationale, se saisissent de sujets qui ont une connotation ou une force scientifique.

Ce n'est pas toujours simple. C'est aussi la raison pour laquelle l'Office parlementaire considère qu'il est de son devoir d'être sur tous les champs et de sortir très largement du domaine dans lequel il semblait peut-être s'être spécialisé, à savoir le nucléaire. En trente ans, l'Office a abordé beaucoup de domaines.

Dès l'an dernier, l'Office a organisé une journée sur le risque numérique que nous approfondissons actuellement par un travail de fond conduit par deux parlementaires, le sénateur Bruno Sido et moi-même, sur les grandes questions autour du numérique, entre risques et opportunités, entre France et Europe, entre Europe et monde. C'est une question importante.

C'est à la suite d'une saisine de la commission des affaires économiques du Sénat que l'Office conduit cette étude autour du risque encouru par les entreprises qui utiliseraient sans trop de précaution les moyens numériques actuels. La commission pense en particulier au stockage des données dans les nuages (cloud computing) , mais aussi aux composants présents dans les coeurs de réseaux.

Pour traiter de ces thèmes extrêmement techniques, les rapporteurs ont choisi de prendre comme exemples les entreprises du secteur des télécommunications et celles du secteur de l'énergie, ces deux secteurs étant considérés comme d'importance vitale.

On sent bien également que ces secteurs touchent à de grandes entreprises et à des ETI, mais aussi à des innovations importantes qui peuvent être portées par de très petites entreprises et des entreprises débutantes. Nous sommes en plein dans le champ de la nouvelle économie du XXI ^e siècle.

En général, chacune des études de l'OPECST donne lieu à une centaine d'auditions. Dans ce cadre, M. Bruno Sido, en tant que président de l'OPECST, et moi-même, en tant que vice-présidente, avons été désignés. Actuellement, nous avons procédé à plus d'une soixantaine d'auditions incluant des visites sur le terrain. Parmi celles-ci, deux journées d'audition publique ouverte à la presse ont été organisées, l'une portant sur l'éducation au numérique et celle d'aujourd'hui qui porte sur le cadre juridique de cette technique, à laquelle vous avez bien voulu participer. Je vous en remercie.

Une troisième journée d'auditions donnera lieu à un dialogue, d'une part, avec les opérateurs d'importance vitale, et, d'autre part, avec les sociétés de sécurité numérique, ce dont je les remercie vivement.

La présente audition est enregistrée en vidéo et figurera, dès les jours prochains, sur les sites de l'Assemblée nationale et du Sénat. Elle fera également l'objet d'un compte rendu qui sera annexé au rapport final.

Comme il a été indiqué à chacun d'entre vous, les interventions d'horizons fort divers seront toutes axées sur la sécurité des réseaux numériques en ce qu'elle concerne les entreprises mais ce sera, à chaque fois, selon les angles d'attaque qui vous sont propres et qui vous caractérisent, selon vous-même, selon l'organisme auquel vous appartenez ou encore en fonction de vos thèmes de recherche privilégiés, selon votre choix et donc votre liberté.

Quant à moi, compte tenu de la grande qualité des intervenants rassemblés aujourd'hui et de l'actualité brûlante de nos débats et de ce sujet qui est très présent dans l'espace public national et européen, j'ai insisté auprès de Mme Axelle Lemaire, secrétaire d'État chargée du numérique, auprès du ministre de l'économie, du redressement productif et du numérique, M. Arnaud Montebourg, pour qu'elle vienne parmi nous à l'occasion de cette journée. Mme Axelle Lemaire nous rejoindra vers 16 heures.

Je vais donner la parole à Mme Isabelle Falque-Pierrotin. Les missions dévolues à la CNIL, qui fut, dès 1978, l'une des premières institutions, non seulement française, européenne, mais mondiale, à travailler sur ces questions-là, ont considérablement évolué. Il s'agit maintenant de les concilier avec celles dont l'Agence nationale de la sécurité des systèmes d'information (ANSSI) est en charge.

Sécurité des réseaux numériques : cadre juridique, risques, aspects sociétaux

Mme Isabelle Falque-Pierrotin, présidente de la Commission nationale de l'informatique et des libertés (CNIL) . - À la CNIL, nous avons dressé un constat. Cet univers numérique pose des questions de sécurité extrêmement complexes et un peu nouvelles.

Premièrement, nous sommes face à un écosystème qui fait intervenir de multiples acteurs, avec des relations qui ne sont pas toujours précises entre les prestataires, les acteurs principaux et toute une série d'acteurs qui interviennent derrière. Il y a une forme de dilution des responsabilités .

Deuxièmement, dans cet univers où les technologies se renouvellent en permanence, les questions de sécurité sont sans cesse renouvelées . Le nuage numérique ou cloud , les données massives ou big data , les objets connectés ou le Bring Your Own Device (BYOD) posent, chacun, une question de sécurité et une manière d'assurer la sécurité qui sont nouvelles.

Troisièmement, cette culture de l'Internet place l'individu au centre . C'est à la fois formidable de par les pouvoirs d'actions que cela lui donne, mais en même temps, cela conduit certains d'entre eux à adopter une pratique de contournement. On l'a vu dans des législations qui ne recevaient pas l'approbation de la masse des individus, je pense au téléchargement de musique. Cela peut aussi conduire beaucoup d'individus à se mettre eux-mêmes dans une situation de péril par rapport à leur propre sécurité. Notamment au sein des réseaux sociaux, les individus divulguent beaucoup de données personnelles. Évidemment, cela pose de nouvelles questions de sécurité.

À ces comportements s'ajoute une dimension supplémentaire : l'attractivité des données personnelles. Les données qui sont au coeur de l'économie numérique sont un gisement extrêmement séduisant et attractif pour les entreprises mais aussi pour les gouvernements dans le cadre de la lutte contre le terrorisme ou dans celui de l'espionnage. Cette convoitise vis-à-vis des données renouvelle également les questions de sécurité.

Ces quatre facteurs nous conduisent à rechercher une nouvelle manière de traiter les problèmes de sécurité dans cet univers numérique. Première question : sommes-nous armés pour les traiter ? Je crois que la réponse est oui, à une condition : que nous ayons une réponse qui corresponde à la culture de l'univers auquel nous faisons face. Concrètement, nous devons apporter une réponse de « sécurité en réseau ». En effet, aucun acteur n'a l'ensemble des clés pour piloter à lui seul la sécurité de cet univers. En revanche, si l'on s'adresse à l'ensemble des acteurs concernés, et que chacun d'entre eux a une action, une responsabilité particulière en termes de sécurité, alors nous pouvons collectivement garder cet univers sous contrôle, en tout cas au niveau de la sécurité de celui-ci.

Qu'est-ce que signifie avoir une « sécurité en réseau » ? Le premier axe, ce sont les entreprises . Vous l'avez dit, madame Le Dain, c'est le coeur de votre préoccupation d'aujourd'hui. L'objectif est de responsabiliser ces acteurs professionnels et ces entreprises, afin qu'ils intègrent dans leur propre fonctionnement cet objectif de garantie de la sécurité des réseaux, et pour nous, à la CNIL, de la sécurité des données personnelles.

Ces acteurs professionnels, nous les connaissons : à travers l'article 34 de notre loi informatique et libertés qui responsabilise en termes de sécurité les responsables de traitement. Ce sont à la fois les opérateurs de réseau et ceux qui offrent des services. Tous ces acteurs professionnels ont la responsabilité des données personnelles qui transitent chez eux ou qu'ils utilisent. Ils doivent en assurer l'intégrité et veiller à ce que l'accès par des tiers auxdites données soit strictement encadré. Dans cet « accès par les tiers », on voit arriver ceux qui convoitent les données à des fins commerciales ou de renseignement.

Cet article 34 est la pierre angulaire de l'enjeu de sécurité au regard de la loi informatique et libertés. Nous l'appliquons de façon uniforme en général mais avec des régimes particuliers liés à certaines catégories de données.

Par exemple, les données de santé font l'objet dans notre législation d'une protection plus forte en termes de sécurité et il existe, notamment, un régime juridique des hébergeurs des données de santé qui doivent être agréés.

On distingue aussi des catégories particulières d'acteurs. Les opérateurs de communications électroniques sont ainsi tenus, depuis 2011, de notifier les failles de sécurité (article 34 bis de la loi). Cela signifie que celles-ci doivent être signalées dans un délai court à la CNIL, quel que soit le niveau de la faille. Et s'ils ne le font pas, ils encourent des sanctions pénales. Par ailleurs, ces opérateurs ont l'obligation d'informer les personnes de l'existence de cette faille, sauf si celle-ci n'a porté atteinte à aucune donnée personnelle ou qu'ont été prises des mesures pour qu'il n'y ait pas de violation de données personnelles dans le cas où la faille interviendrait. Par exemple, si les données ont été cryptées, il n'y aura pas d'obligation de notification aux personnes même si un tiers y a accès. Les opérateurs ont donc une obligation renforcée en termes de sécurité des données personnelles, par rapport à la responsabilité générale de l'article 34.

Enfin, certaines technologies ou usages font l'objet d'un encadrement spécifique de la CNIL par des recommandations, par exemple, sur le vote électronique ou la carte bancaire sans contact.

Tout cet arsenal est-il efficace ? À ce stade, dans la politique de contrôle que nous menons, et qui ne porte pas spécifiquement sur cette question de la sécurité, je dirais que nous constatons , dans la plupart des cas, des manquements en termes de sécurité des traitements . Même si certains de ces manquements peuvent être aisément corrigés ou révèlent surtout un manque de culture « privacy », plutôt qu'une volonté de contourner la loi, ce constat est loin d'être positif.

D'autre part, concernant les failles de sécurité, les opérateurs de réseau ont eu beaucoup de réticences à appliquer cette législation, à tel point que nous avons dû les réunir au début de l'année pour leur adresser le message ferme que cette législation s'appliquait, qu'on la leur expliquait, mais que cela faisait désormais partie de leurs obligations.

J'aurais donc tendance à penser que la prise en compte de ces questions de sécurité est progressive mais lente, même si les outils de conformité existent. Je n'ai pas mentionné les outils pédagogiques que nous développons par ailleurs. Nous travaillons ici en étroite collaboration avec l'ANSSI.

De plus, nous rencontrons des difficultés dans la mobilisation de ces outils. Les sanctions que nous pouvons prononcer, notamment les sanctions pécuniaires, obéissent à une procédure contradictoire assez sophistiquée. Pour qu'il y ait sanction pécuniaire, il faut une mise en demeure préalable. Or, dans le cas des failles de sécurité, lorsque nous sommes saisis, la faille est en général déjà fermée. Donc la mise en demeure ne sert pas à grand-chose.

Au cours de l'année 2013 , selon la société Symantec , les failles de sécurité ont augmenté de 62 %, dont plus de dix failles majeures, c'est-à-dire concernant plus de 10 millions de personnes . Face à des situations de ce type, dans la plupart des cas, nous ne pouvons au maximum que prononcer un avertissement public. Ce n'est pas satisfaisant.

Comment, dès lors, améliorer le dispositif ? D'abord, nous avons fait des propositions qui ont été prises en compte dans la loi du 17 mars 2014 sur la consommation (loi n° 2014-344 du 17 mars 2014, article 105 modifiant l'article 44 de la loi 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés). Nous avons demandé la possibilité d'opérer des contrôles en ligne . Dans le cadre des failles de sécurité, ces contrôles à distance sont extrêmement efficaces.

Ensuite, nous avons fait une proposition à la ministre, Mme Axelle Lemaire, pour que nous puissions prendre des sanctions sans mise en demeure préalable dans certains cas très particuliers d'urgence ou de gravité extrême. Notamment lorsqu'on se trouve en présence d'une faille majeure qui doit être très rapidement traitée, nous pourrons ainsi avoir la possibilité d'aller au-delà d'un seul avertissement.

Le règlement européen est un autre élément qui va changer la donne sur la question de la responsabilisation des opérateurs économiques. Il va donner à la sécurité une dimension nouvelle pour deux raisons. Premièrement, les sous-traitants vont se voir attribuer des responsabilités spécifiques au regard de la loi informatique et libertés , au même titre que les responsables de traitement, ce qui n'est pas le cas aujourd'hui. Les sous-traitants sont actuellement soumis à une obligation de sécurité, mais nous ne pouvons prononcer de sanctions que par rapport aux responsables de traitement.

La deuxième avancée du règlement européen est la mise en place de l' accountability , c'est-à-dire la responsabilisation des entreprises par rapport aux données personnelles, à travers un certain nombre d'instruments internes aux entreprises par lesquels elles doivent démontrer qu'elles appliquent effectivement les principes de la loi informatique et libertés. Par exemple , le Privacy Impact Assessment (PIA) , outil d'analyse d'impact, va les conduire à mener une analyse de risque sur les traitements importants qu'elles mettent en oeuvre. Ces PIAs peuvent renforcer la responsabilisation des acteurs professionnels.

En conclusion, concernant les acteurs professionnels, je crois que nous disposons des outils et nous les complétons à la marge mais que la prise de conscience ne se fait pas aussi vite qu'on pourrait le souhaiter.

La deuxième cible, ce sont les individus . J'ai compris en vous écoutant, madame Le Dain, qu'ils n'étaient pas au centre des préoccupations de votre étude. Mais, en réalité, l'individu est un personnage central dans la sécurité. On sait bien qu' une partie des failles de sécurité vient des individus eux-mêmes, notamment au sein de l'entreprise . Il est donc absolument essentiel de faire passer des messages auprès d'eux. À cet égard, je vois deux leviers.

Le premier levier consiste à développer une culture de la sécurité auprès des individus, montrant l'interdépendance nouvelle entre les uns et les autres à travers cette interconnexion généralisée, et les réflexes nouveaux qu'il faut avoir. C'est l'une des briques très importantes au sein du programme général d'éducation au numérique que nous promouvons avec d'autres. La CNIL a en effet pris l'initiative de construire un collectif visant à faire reconnaître l'éducation au numérique comme une grande cause nationale en 2014 . Il faut faire passer un message général auprès des individus en leur disant qu'ils sont, désormais, acteurs de la sécurité et qu'ils doivent en être conscients.

Le deuxième levier, probablement plus positif, est de dire à l'individu que, par rapport à ces atteintes à la sécurité, notamment relatives à ses données, il peut, lui-même, améliorer la maîtrise de ses données personnelles et donc celle de sa sécurité, en mobilisant les droits qui sont les siens, au regard de la loi informatique et libertés ou du futur projet de règlement européen.

Par exemple, le droit à l'oubli qui va être consacré par le projet de règlement européen. Il s'agit de la capacité qu'a l'individu de maîtriser le devenir de sa donnée et c'est aussi un moyen d'assurer la sécurité de ses données par rapport à d'éventuelles captations par des tiers.

Le droit à l'oubli vient d'être renforcé par un arrêt de la Cour de justice de l'Union européenne qui a affirmé un droit complémentaire qui est le droit au déréférencement , c'est-à-dire la possibilité pour chaque individu, non seulement d'aller voir le site auprès duquel l'information a été initialement publiée, mais de s'adresser aux moteurs de recherche pour demander le déréférencement de sa donnée dans certaines conditions. C'est la première fois que ce droit est affirmé. C'est un élément de sécurisation, par l'individu lui-même, de ses données.

Un autre exemple est le droit à la portabilité des données . Ce droit n'existe pas actuellement en droit français, mais il existera en application du projet de règlement européen. Ce droit à la portabilité offre aux individus la possibilité d'aller voir la plate-forme, le vendeur auprès duquel il a déposé toute une série de données personnelles, pour récupérer celles-ci et les porter ailleurs. Là aussi, c'est un moyen pour l'individu de maîtriser ses données et d'en assurer lui-même la sécurité.

Concernant la responsabilisation des individus, toutes les nouvelles initiatives qui se développent aujourd'hui vont permettre à l'individu de récupérer ses données pour les valoriser d'une autre façon et pour profiter d'un certain nombre de nouveaux services. Je pense, par exemple, au projet MesInfos (fing.org). Tous ces services nouveaux visent à placer l'individu dans la chaîne de sécurité, en lui faisant passer le message suivant : vous êtes les acteurs de votre propre sécurité .

La troisième dimension est collective. Les enjeux de sécurité sont systémiques . Bien que la CNIL soit moins directement concernée par cet aspect, l'affaire Prism a révélé que nous sommes face à une infrastructure générale d'information qui conduit à automatiser la surveillance, de manière systématique et indifférenciée, de tous les citoyens européens à travers l'usage quotidien qu'ils font des plates-formes. Pour des raisons de lutte contre le terrorisme, nous dit-on. Ce dispositif de surveillance révèle la complexité des partenariats entre les acteurs publics et privés, mais, au fur et à mesure que s'égrènent les révélations de M. Snowden, nous apprenons que la question ne concerne pas que l'Europe et les États-Unis d'Amérique, mais aussi ce qui se passe chez chacun .

Par rapport à ces révélations, la CNIL pose deux questions : comment assurons-nous la maîtrise de notre gisement informationnel, c'est-à-dire les données de nos concitoyens européens, par rapport à des tiers étrangers ? Comment assurons-nous, sur ce gisement de données informationnelles, la protection des libertés de nos concitoyens français ou européens, y compris vis-à-vis des services de renseignement du pays de chacun ?

En tant qu'autorité en charge de la protection des données personnelles, la CNIL s'est intéressée à ces deux objectifs. Des réponses commencent à se mettre en place. Elles sont complexes et pas encore conclusives.

Lors d'une audition qui s'est tenue quelque temps après l'affaire Prism , nous avions proposé au Parlement européen une première réponse, qui a été reprise par les parlementaires. C'est l'introduction, dans le projet de règlement , de l'article 43a, qui dit la chose suivante : dès qu'une autorité administrative étrangère veut avoir accès à des données concernant des citoyens européens, elle doit, d'une manière ou d'une autre, avoir l'accord d'une autorité nationale européenne. Un tel accord reste à définir, mais c'est un verrou car on ne peut plus, dès lors, aspirer, sans rendre des comptes, le gisement de données de citoyens européens pour des raisons de renseignement, de lutte contre la corruption, de contrôle des données passagers, etc. On ne le sait pas, mais, en réalité, beaucoup de finalités ont déjà conduit à des demandes d'accès de ce type. Or, cela ne peut être fait sans qu'il y ait une négociation et un cadre qui soient élaborés entre l'autorité étrangère qui demande l'accès et les autorités nationales européennes concernées. Ce débat est assez technique, mais essentiel car il peut permettre de « glisser un pied dans la porte » si je puis dire.

Faut-il aller au-delà et imaginer une loi de blocage au niveau européen ? Il faut y réfléchir. On sent bien qu'on ne peut pas continuer à laisser se mettre en place une surveillance généralisée, systématique et automatisée, d'autant qu'un deuxième élément est intervenu. L'arrêt de la Cour de justice de l'Union européenne du 8 avril 2014 a invalidé la directive data retention relative à la conservation des données de connexion au regard de la charte des droits fondamentaux - articles 7 et 8. En résumé, les juges disent qu'il existe une forme de disproportion dans le dispositif qui a été adopté. Le rapport d'analyse et d'évaluation qui a été rédigé par la Commission quelques mois avant, avait également conclu que ce dispositif n'était pas optimum.

On voit bien que, vis-à-vis de tiers extérieurs à l'Union, il faut apporter des réponses et affirmer la souveraineté numérique de l'Europe. Mais, d'une façon générale, des accès aussi massifs, indifférenciés et automatisés, concernant des citoyens européens, y compris par leurs propres autorités de renseignement, ne sont pas acceptables.

Cela a conduit la CNIL à faire une proposition aux autorités nationales françaises. Aujourd'hui, les fichiers de renseignement ne font l'objet d'aucun contrôle externe de qui que ce soit. Cela n'est pas sain, compte tenu de l'ampleur de la surveillance qu'a révélée l'affaire Prism . Désormais, il est nécessaire d'apporter des garanties aux citoyens sur l'existence d'un cadre, proportionné, de ladite surveillance. Nous avons proposé aux pouvoirs publics que la CNIL puisse être chargée du contrôle des fichiers de souveraineté dans certaines conditions, notamment dans des conditions d'habilitation « secret défense », avec un collège spécifique qui existe déjà à la CNIL à travers le droit d'accès indirect. Ces fichiers de souveraineté sont totalement dérogatoires au regard de notre loi par rapport aux autres fichiers de police. Nous demandons que ce collège spécialisé de la CNIL puisse contrôler non pas l'activité des services de renseignement, mais le fait que ces fichiers fonctionnent dans le respect du droit des personnes.

Je terminerai par une dernière proposition pour améliorer cette « sécurité en réseau ». La CNIL travaille avec d'autres autorités publiques : l'ANSSI, l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), Signal Spam et toute une série d'autorités avec lesquelles nous avons signé des conventions sur ces questions de sécurité pour travailler ensemble. Il me semble que nous gagnerions collectivement beaucoup si, sur cette question de la sécurité, nous allions peut-être plus loin à travers un groupe de contact , en tout cas des échanges continus entre les acteurs publics concernés, sur ces questions qui sont d'intérêt commun.

M. Bruno Sido, président de l'OPECST . - Merci madame la présidente pour l'éclairage nouveau que vous avez su donner à votre présentation. Je suppose qu'elle va donner lieu à des questions après l'intervention de M. Gilles Babinet.

Mme Le Dain et moi-même nous sommes rendus à Bruxelles la semaine dernière pour une journée d'entretien avec des responsables de la sécurité numérique. Il nous est apparu que l'imbrication des normes juridiques et techniques internationales, européennes et nationales, avait atteint un certain degré de complexité - c'est un euphémisme -, peut-être au détriment de leur efficacité.

Pour autant, des solutions ne sont pas davantage à attendre d'un surcroît de normes que d'une simplification de celles-ci. Elles viendront plutôt d'une réflexion d'ampleur sur tous les changements de mentalité et de comportements que suppose le recours généralisé à l'usage des outils du numérique sur des réseaux dont les failles techniques viennent souvent aggraver les failles humaines.

M. Gilles Babinet, responsable des enjeux de l'économie numérique pour la France (French Digital Champion) , Commission européenne . - Ce débat d'aujourd'hui est essentiel. Je vais vous faire des commentaires directement liés aux enjeux de sécurité, en particulier sur ce qui se fait au niveau européen, puis je ferai des commentaires plus généraux sur les sujets de la donnée.

En matière de sécurité, plusieurs initiatives existent ou ont existé au niveau européen. Ces éléments de normalisation peuvent être le fait directement de l'Europe, ou le fait d'agences de normalisation qui n'y sont pas directement rattachées, mais dont l'impact sur la façon de structurer les réseaux est très conséquent. Je pense à l' European Telecommunications Standards Institute (ETSI) par exemple. Ils peuvent aussi être le fait de la correspondance entre des organismes techniques liés à la création de formats de sécurité sur Internet en particulier. Ces travaux sont principalement techniques, ils n'ont pas de nature à proprement parler juridique (recherche d'algorithme, de modèles d'échanges les plus performants entre les systèmes au sens large).

D'une façon générale, l'Europe se réveille un peu en retard en matière de sécurité. Les grandes sociétés de conseil font assez régulièrement des comparaisons en matière de processus de sécurité dans les entreprises, je pense à l'étude de Capgemini , par exemple, il y a deux ans. Elles montrent clairement que les sociétés américaines accordent plus d'attention à la sécurité que les sociétés européennes . Et au sein de l'Europe, il y a de grandes différences entre les pays.

Malheureusement, la France n'a pas investi beaucoup, même s'il y a un rattrapage dans ce domaine. J'en tiens pour preuve un exercice que j'ai lancé avec le journal Les Échos il y a deux mois, qui consiste à mesurer l'agilité numérique des entreprises du CAC 40 . Le sondage comporte une centaine de questions et à ce jour, j'ai pris connaissance de vingt-six formulaires. Sans révéler de noms, je peux vous dire que la prise de conscience est extrêmement récente et qu'elle se traduit par un accroissement important des budgets consacrés à la sécurité . Approximativement, pour les entreprises dont nous avons dépouillé les résultats, la croissance des budgets en matière de sécurité entre 2012 et 2013 est de l'ordre de 40 %. Le budget moyen se situe aux alentours de 70 millions d'euros. Ce sont des montants importants qui sont affectés à la fois aux processus technologiques et aux formations des cadres dirigeants, des cadres intermédiaires et des équipes en général.

Deux affaires publiques, que l'on peut évoquer, ont réveillé les consciences puisque, semble-t-il, il y a eu des fuites importantes au sein d' Airbus et d' Areva , alors qu'une attention forte était donnée à la sécurité. En tout cas, dans l'une de ces deux entreprises, ce n'est pas en soi les processus techniques qui ont failli, mais une formation insuffisante des équipes qui n'étaient pas éveillées au risque de faille dans la sécurité.

À l'échelle européenne, je peux également vous dire qu'il y a la volonté d'une sorte de souveraineté de la sécurité européenne. Mme Neelie Kroes s'est exprimée à cet égard, elle y est sensible et pense qu'il faut absolument une coordination européenne à cet égard. Au-delà, il existe des financements européens qui sont affectés à une trentaine de projets, dont quelques-uns ont une taille significative.

Je pense en particulier au financement des réseaux quantiques . Ceux-ci ont une caractéristique : sur la partie transport, ils sont impossibles à espionner , c'est-à-dire que l'on ne peut pas extraire de la donnée sans que ce soit visible dans le réseau. Les travaux qui sont menés à cet égard sont assez prometteurs. Cela ne résout pas tout, parce qu'il peut y avoir des failles humaines ou des failles de traitement. Je ne parle pas d'ordinateur quantique, mais juste de transmission de données. Mme Neelie Kroes s'est encore récemment exprimée sur ce sujet. C'est intéressant de voir que l'Europe peut être chef de file dans ce domaine, c'est ce qui semble être le cas aujourd'hui.

Je ne suis pas un spécialiste de Prism . Je lis la même chose que vous dans la presse et je me garderai bien de faire des commentaires de comptoir. En revanche, sur l'accord commercial transatlantique TAFTA (Trans-Atlantic Free Trade Agreement ), je peux vous dire objectivement qu'il a été très mal vécu au sein de la Commission européenne, laquelle l'a perçu comme une trahison. D'ailleurs, cela a ralenti les discussions. Et sans connaître aucunement ce qui se dit en matière de traité transatlantique pour les données, puisque par définition ces négociations sont secrètes, je crois savoir que cela a permis aux Européens d'être beaucoup plus attentifs à cette notion et donc assez exigeants.

Je voudrais aussi vous dire que depuis l'affaire Prism , des initiatives sont prises par différents pays. En particulier, l'initiative allemande me semble assez intéressante à certains égards. Elle comporte plusieurs aspects.

Il y a d'abord cette idée selon laquelle il faut que les données soient localisées dans des pays européens. Je trouve cette initiative infondée. Cela n'a pas de sens au plan technique . Ce qui est important, c'est la sécurité que l'on assure à ces données et la façon dont on les traite. La localisation technique des données n'a aucun sens. Je peux vous dire que, dans bien des cas, les administrateurs des nuages numériques ( clouds) ont eux-mêmes du mal à savoir où se trouvent les données. Pour des raisons techniques de sécurité des données, mais aussi pour des besoins de performance, ces données sont répliquées. Dans certaines grandes entreprises, les expériences ont montré que les mêmes données sont localisées dans plus de trente endroits à la fois . De fait, imposer une localisation géographique, cela créerait, d'une part, des contraintes supplémentaires dans la gestion de ces données, et, d'autre part, cela limiterait la performance des réseaux et donc des acteurs propriétaires de ces données.

Le nuage numérique européen est une initiative très populaire dont on entend beaucoup parler. Je regrette que l'argent investi par la France dans cette idée de « nuage souverain » n'ait pas été investi en sécurité des données. Cela m'aurait semblé beaucoup plus pertinent. Je me suis déjà exprimé à ce titre, j'en profite pour le redire.

Les Allemands ont également pris l'initiative d'émettre leurs normes de sécurité . Ils ont recommandé que ce soit une norme nationale largement répandue. J'ai émis exactement la même idée auprès du ministère du redressement productif. J'aurais beaucoup apprécié que ce soit une norme européenne, mais il est possible de créer, ou en tout cas d'utiliser les normes existantes « adaptées » , pour faire en sorte que ce soient des normes européennes ou nationales et qu'elles soient très sûres.

On sait, par exemple, qu'il y a des failles très importantes dans le SSL, une norme massivement utilisée et que l'on continue malgré tout à utiliser. Comme c'est une norme vieillissante, il a tendance à disparaître, mais c'est une norme percée qui continue à être utilisée.

Voilà les commentaires que je voulais vous faire sur ce qui se passe en Europe. D'une façon plus générale, et comme vient de le dire Mme Falque-Pierrotin, tout cela repose très largement sur le droit, un droit qui soit le plus constant possible et dont l'assiette géographique soit la plus large possible.

Il faut garder à l'esprit deux modèles anthropologiques qui s'affrontent. Le modèle anglo-saxon , une culture de la common law facilite à mon sens très largement l'expérimentation. Il considère que l'innovation est une notion intrinsèquement prioritaire, il faut d'abord expérimenter et on verra après. Bien que j'aie de très nombreuses critiques à son égard, c'est le modèle qui prédomine dans les GAFA ( Google , Amazon , Facebook , Apple ). Le modèle tente un tas de choses et il essaie de préserver une contrepartie implicite, c'est-à-dire qu'on vous rend un service de la plus grande valeur, souvent gratuitement, et en contrepartie, vous acceptez les conditions. On considère que votre droit, c'est de ne plus les accepter. Évidemment, on peut juger cela assez inégal. Il n'empêche qu'aujourd'hui des milliards de gens acceptent ce contrat implicite sous cette forme.

Cela doit nous faire réfléchir. Sans vouloir défendre nécessairement ce modèle anglo-saxon, je pense que le modèle qui consiste à avoir une régulation ex ante , a priori , est problématique dans certains cas, dans la mesure où certaines sociétés vont chercher à s'en affranchir. J'ai été surpris, dans le cadre des auditions que j'ai menées sur le CAC 40, qu'un certain nombre de sociétés m'avouent avoir décidé d'héberger leurs données en dehors de l'Europe, voire de les faire héberger avec une sorte d'isolation juridique, pour s'affranchir des contraintes de régulation européenne. C'est quand même lié aussi à des enjeux de sécurité et cela nous pousse à y réfléchir.

Au-delà, j'observe que tous ces principes de régulation sont jugés éminemment complexes et ils sont confiés à des autorités administratives. Il y a une difficulté à avoir un débat citoyen de bonne qualité sur ce sujet. Lorsque vous êtes dans des zones extrêmement exploratoires et innovantes, le risque est d'avoir une régulation mal calée, qui finalement impacte la capacité d'innovation ou même d'inclusion sociale des nations.

Je pense en particulier au système de santé. Les systèmes de santé numériques recèlent des opportunités extraordinaires. Je ne cesse de le dire à une époque où les finances publiques sont en grand péril. On devrait accélérer notre mutation vers ce système de santé. Mais nous sommes tous conscients qu'il comporte également des risques très importants pour les citoyens. Pour caricaturer, une société d'assurance qui découvrirait dans un traitement de données que quelqu'un va avoir un cancer n'a aucun intérêt objectif à l'assurer. Cela est bien compris par tous. Pour autant, les croisements de données ont des capacités prédictives, des capacités d'augmentation de la qualité de prescription, de diagnostic, qui sont absolument incroyables. J'écris actuellement un livre sur ce sujet. Je pense qu'une des raisons qui ont ralenti notre capacité à faire émerger une médecine digitale du XXI ^e siècle, c'est un a priori qui consiste à croire que l'on ne peut rien faire sans que la régulation soit parfaitement calée.

Le risque, qui est à mon sens aujourd'hui avéré, c'est finalement que les gens en viennent à confier leurs données à Apple par exemple, lequel vient de faire une annonce en ce sens. La qualité et la capacité de traitement de ces sociétés vont devenir tellement importantes à court terme, en quelques années, qu'il est probable que toute cette partie de traitement et de diagnostic soit progressivement extraite du système de santé publique pour être confiée à des acteurs privés. Ceux-ci vont récupérer des quantités de données incroyables qui seront affranchies dans une certaine mesure du droit européen parce que ce sera une exigence citoyenne. Les citoyens vont vouloir utiliser ces services. Il y a là quelque chose qui devrait nous pousser à réfléchir en matière de sécurité. Toutes ces données qui partent à l'extérieur des institutions et des entreprises européennes, c'est finalement une perte de souveraineté.

Je finirai par un mot sur le droit à l'oubli , qui a été abordé. Selon l'arrêté de la Cour de justice de l'Union européenne, ce droit donne la possibilité de modifier les données vous concernant. Là aussi, j'ai beaucoup d'inquiétudes. J'ai rencontré une association d'archivistes qui m'a dit que, dans une certaine mesure, c'est une possibilité de réécriture de l'histoire . Évidemment, je me place avant tout du côté des citoyens et des individus, mais je pense que, dans bien des cas, des gens qui ont été justement critiqués pourraient demander la modification des données qui les regardent.

De mon point de vue, cela reflète malgré tout un manque d'agilité numérique des institutions en général qui ont du mal à comprendre les enjeux. Finalement, il me semble que l'ensemble de la régulation et l'harmonisation de la régulation ne doivent pas passer nécessairement par des analyses techniques, mais plus par des analyses éthiques et d'usages en général. Cela est également vrai dans le domaine de la sécurité, où ce n'est pas la technologie qui résout les problèmes, mais davantage la formation des gens .

Pour conclure, je dirais qu' il faut accélérer la prise de conscience à l'égard de l'ensemble de cette formidable révolution digitale . C'est le point principal de mon intervention. C'est la seule façon pour accroître la sécurité et finalement, pour arriver à l'émergence d'une Europe numérique et l'inclusion citoyenne dans cette nouvelle ère.

Questions aux intervenants

M. Bruno Sido . - Je vous remercie pour les éclaircissements européens que vous nous avez apportés et l'annonce de nouvelles perspectives qui, je l'espère, apporteront des solutions pragmatiques dans les meilleurs délais.

Parallèlement, la question de la place du numérique dans les négociations du nouveau traité de partenariat transatlantique se pose, ainsi que celle du rythme de négociation de ce traité par rapport à l'élaboration du règlement européen annoncé.

Nous allons maintenant entamer un bref débat à partir des questions que les autres intervenants de la matinée voudront bien adresser à Mme Isabelle Falque-Pierrotin et à M. Gilles Babinet.

Mme Anne-Yvonne Le Dain . - Je serai un peu plus incisive. Je souhaiterais demander à Mme Falque-Pierrotin comment elle réagit aux propos de M. Gilles Babinet.

Mme Isabelle Falque-Pierrotin . - Je partage ce qui a été dit sur l'insuffisante prise en compte de ces questions de sécurité globalement par la sphère économique française. Cette prise en compte est très récente et insuffisante jusqu'à maintenant.

Sur la localisation des serveurs , je crois effectivement que, sur un plan technique, cela n'a pas grand sens . C'est d'ailleurs un élément qui est dans l'arrêt de la Cour de justice de Luxembourg sur les données puisque la Cour dit que les données des opérateurs de communications devraient être hébergées en Europe. Pour ma part, je crois que, sur le plan de la protection des données personnelles, imposer l'obligation de localiser les serveurs en Europe n'apporte pas de protection. En réalité, la question est de savoir qui opère lesdits serveurs . Dès lors que c'est par une société qui est en fait soumise au droit américain, directement par une société américaine ou une filiale, que le serveur soit basé en Europe, à Paris ou aux États-Unis, les données sont accessibles par la NSA ou par une autorité publique américaine. Donc la localisation n'apporte rien, si ce n'est, par rapport au régulateur que nous sommes, qu'elle permet des contrôles sur place qui sinon n'existent pas. Symboliquement et peut-être aussi opérationnellement, on peut se rendre sur place pour voir les logs et les fichiers. Mais je ne suis pas sûre que, sur le plan de la protection de notre gisement informationnel par rapport à des accès qui seraient demandés, au titre de lois étrangères, par des autorités ou des acteurs étrangers, ce soit en imposant la localisation en Europe que l'on va changer quoi que ce soit.

Peut-être que pour certaines données, on peut avoir un service à valeur ajoutée dans lequel on garantit que la donnée reste totalement sur le territoire national, je pense à la donnée de santé . Mais, sur le fait d'en faire une obligation générale, je partage la position de M. Gilles Babinet. Cela ne me paraît pas décisif.

Sur les autres propos, je n'ai pas de commentaires. Sur l'opposition entre les deux systèmes, dire qu'une régulation mal calée empêche l'innovation, c'est vrai, c'est un propos de bon sens. Mais il est vrai aussi que l'autorégulation débridée conduit à une impasse. Aux États-Unis d'Amérique, montent de plus en plus, de la part de la société civile, des demandes au titre de la protection des données auprès de la Federal Trade Commission (FTC) et d'autres autorités publiques américaines. On ne peut pas utiliser de façon aussi excessive que le droit américain, à certains égards, le permet aujourd'hui, les données des citoyens américains. Chacun des deux systèmes a ses limites. En Europe, nous sommes marqués par une tradition de régulation. C'est notre force, mais aussi notre faiblesse, si elle est mal mise en oeuvre. La question est donc de savoir comment moderniser cette approche de la régulation pour qu'elle soit raisonnable et non pas handicapante par rapport à l'innovation.

En même temps, cette approche nous donne un avantage compétitif par rapport aux acteurs étrangers, qui est considérable. On va le ressentir de plus en plus au fur et à mesure que se mettra en place la maturité des citoyens et des consommateurs européens. Les études récentes montrent que ce qui s'est passé avec Prism a cristallisé un certain nombre d'interrogations que se posent les consommateurs et les citoyens. Il y a des stratégies de contournement, de dissimulation de leur identité, qui commencent à se mettre en place. Toutes les études sur le sujet le montrent. Les consommateurs et les citoyens ont des attentes sur les garanties qu'on peut leur apporter en termes de protection des données personnelles. Donc, profitons de notre tradition de régulation, faisons-en une arme de conquête par rapport aux acteurs étrangers , consolidons la démarche européenne, puisque c'est au niveau européen, à l'occasion du projet de règlement, que l'on doit le faire et alors on pourra se battre d'une façon équilibrée avec ces GAFA et tous les autres acteurs du numérique.

Nous devons cesser de nous fragiliser nous-mêmes. Et nous moderniser, nous hybrider avec les solutions des autres, d'une façon réaliste, et si on peut emprunter aux autres, notamment à travers l' accountability , cette approche beaucoup plus pragmatique, je crois que c'est très positif pour la régulation européenne. Mais, de grâce, arrêtons de considérer que nous sommes les mauvais élèves de la classe ! Ce n'est pas vrai. Simplement nous nous battons avec nos armes à nous.

Mme Anne-Yvonne Le Dain . - Monsieur Babinet, une réponse ?

M. Gilles Babinet . - Nous avons chacun nos points de vue et avons l'occasion d'en débattre. Nous ne sommes pas d'accord sur tout, mais ce qui compte, c'est que nous en débattions. Je n'ai pas grand-chose à ajouter.

Mme Mireille Delmas-Marty, membre de l'Institut de France (Académie des Sciences morales et politiques), professeur honoraire au Collège de France (Études juridiques comparatives et internationalisation du droit) . - Je voudrais rebondir sur les propos de Mme Falque-Pierrotin à propos de l'articulation entre l'autorégulation et la régulation. Vous avez parlé d'hybridation. En fait, on a besoin des deux. On peut l'exprimer aussi en termes de soft law et hard law . On a besoin d'un droit souple et d'un droit dur. Mais concrètement, comment bâtir cette articulation ? Comme répartir dans les contentieux ce qui relève de l'autorégulation et de la régulation ? Si je suis tout à fait d'accord avec l'objectif, je ne vois pas comment concrètement le rationaliser un petit peu.

Vous avez donné un exemple qui m'a frappé au sujet de la communication des données. Vous avez dit qu'un accord a été négocié entre les autorités nationales de régulation, mais on aurait besoin d'une loi de blocage. Autrement dit, on est dans la soft law , on aurait besoin de hard law . Mais y a-t-il des critères sous-jacents qui commandent la répartition entre les deux processus ?

Mme Isabelle Falque-Pierrotin . - Je peux vous donner l'exemple de la Fédération des industries électriques, électroniques et de communication. La FIEEC a souhaité développer tout une série d'innovations autour du compteur intelligent , le nouveau compteur gris dans les maisons qui va enregistrer de façon beaucoup plus fine les données de consommation électrique, ce qui apporte toute une série de services. Les gestionnaires de réseaux électriques vont pouvoir optimiser la charge du réseau, les services pour le consommateur seront optimisés et vont permettre de diminuer la facture, et peut-être d'autres types de services seront-ils élaborés.

Les industriels nous ont sollicités pour développer ce compteur, mais en même temps, ils avaient un peu peur que cette innovation soit mal ressentie par nos concitoyens qui y verraient plutôt l'installation d'une sorte de « mouchard » chez eux, capable de dire que la consommation a augmenté, qu'ils sont trois et non plus deux, ou, c'est curieux qu'ils prennent des bains à deux heures du matin, d'ailleurs ils se promènent beaucoup à l'intérieur de leur maison...

Dans le big data médical, les capteurs font partie des éléments qui pourraient permettre de déceler les troubles de l'Alzheimer. On sent bien que ces objets ne sont pas totalement neutres. Et donc, les industriels ont souhaité bâtir avec la CNIL des scénarios d'innovation, intégrant, dans la mesure du possible, les questions informatique et libertés qu'on aurait à se poser. Ils viennent d'être rendus publics. Pendant neuf mois, nous avons élaboré avec eux des scénarios d'innovation qui correspondent à leurs besoins, en intégrant le plus en amont possible la préoccupation informatique et libertés.

Typiquement, c'est une forme d'hybridation. Des principes généraux se traduisent ensuite concrètement par une sorte de code de conduite que souhaite adopter une profession, de façon extrêmement fine et plus appliquée, afin de décliner les dix principes dans des usages professionnels. De plus en plus, nous essayons de développer cette approche avec les acteurs professionnels. Avec cette sorte d'ombrelle qui a été négociée avec eux, nous pouvons entrer dans la finesse de leurs préoccupations de métiers à partir de nos principes. C'est une forme d'autorégulation encadrée sous l'oeil du régulateur.

Nous avons également une réflexion sur une autre approche qui consiste à faire appel à des tiers certificateurs sur un certain nombre de points. Elle est expérimentée sur des flux internationaux de données. Le régulateur fixe des principes, des référentiels, et ce sont des acteurs externes privés qui gèrent l'opérationnel relatif à ces référentiels.

Il y a donc différentes manières de combiner l'action d'un régulateur, et en même temps, de laisser aux acteurs privés la possibilité de pouvoir développer des offres en parallèle.

M. Gilles Babinet . - Je veux bien répondre car je crois que cela cristallise notre principal point de désaccord. Sur cette affaire de compteurs , les sociétés qui vous ont consultés sont probablement ERDF ou ces grandes entreprises. Mais une jeune entreprise ne ferait jamais cela, et même, elle ne peut pas, sur un préalable d'enjeux juridiques, se lancer dans un projet d'innovation. Pour être dans ce milieu depuis longtemps, consubstantiellement, un entrepreneur lançant une nouvelle entreprise essaie des choses. Vous prenez des risques sans savoir très bien sur quoi vous allez tomber. Avec la donnée et les données massives ou big data en particulier, vous ne savez qu'assez rarement ce que vous allez trouver. Vous lancez des processus de traitement de données et vous pouvez trouver que des gens sont atteints de la maladie d'Alzheimer, par exemple. Dans le domaine, c'est tout à fait étonnant.

Un autre exemple m'a été donné par des chercheurs de Bellevue Hospital . À partir d'un traitement des flux des réseaux sociaux, assez curieusement, ils parviennent à détecter les pathologies, juste en lisant des informations non médicales. Ils pensaient qu'il était possible, sans l'avoir démontré, de voir dans les réseaux sociaux si l'on a les lobes attachés ou pas. 20 % des gens ont des lobes attachés. C'est un marqueur épigénétique fort qui est lié à des éléments de renforcement ou de faiblesse par rapport à certaines maladies. Il est donc probable que, très facilement, à travers les réseaux sociaux, on soit capable d'identifier des résistances, ou au contraire des faiblesses particulières. Vous ne les détectez pas a priori . Vous devez lancer des expérimentations de tous types pour pouvoir soudainement vous rendre compte que cela fonctionne ou pas.

Cela m'importe beaucoup. Je crois que l'Europe est en train de prendre du retard. On entre dans une nouvelle ère avec des paradigmes qui sont assez différents. Je constate que chaque révolution industrielle a amené son droit. La première a amené le code civil, la seconde le droit du travail, et celle-là amènera un droit de la donnée . Je ne suis pas contre la régulation. Au contraire, je pense qu'on va avoir énormément de régulation à cet égard et qu'on va vers une période de surrégulation. Mais, dans la mesure où l'on n'a pas cette agilité numérique pour comprendre ce paradigme, en particulier au sein de l'ensemble des organes qui participent à la régulation de la vie de la cité, je pense que c'est assez risqué.

Encore un exemple. Aux États-Unis, les fermiers commencent à confier leurs données à des sociétés tierces qui leur disent où arroser, où mettre des engrais, etc. Monsanto a d'ailleurs racheté une société de traitement de big data dans le domaine agricole. Les fermiers américains se sont rendu compte qu'ils allaient devenir des sous-traitants de l'industrie de la donnée , notamment de Monsanto qui allait expurger de la valeur. Comme les associations de fermiers américains ont la chance d'être fédérées, elles se sont réunies et ont édicté un code de bonnes conduites qu'elles ont opposé à l'ensemble des sociétés en leur disant : soit vous respectez ce code, soit on demandera à nos membres de ne plus donner leurs données. Et cela a fonctionné. Le code est en discussion en permanence. Les acteurs du traitement des données consultent ces associations et il y a débat.

Je ne dis pas, qu'à terme, il ne faudra pas une régulation en la matière. Je dis simplement qu'il faut absolument faire en sorte que l'Europe ne rate pas une marche qui restera dans l'histoire. C'est mon inquiétude et c'est la raison de ma venue ici ce matin. Ce préalable d'innovation doit être, à mon avis, important.

Je vais vous donner un autre exemple qui n'est pas couvert par la régulation sur les enjeux des machine learning , des techniques qui trouvent des réponses à partir de signaux extrêmement variés sans avoir besoin d'identifier les gens. J'ai vu des expérimentations absolument incroyables de machine learning . Par exemple, je peux détecter qu'à tous les barbus qui ont une voiture rouge, sans connaître leur nom, je vais pouvoir montrer des publicités de rasoir quand ils vont passer dans la rue. C'est très efficace, je l'ai vu, et dans ce domaine, la régulation est complètement perdue.

Même si ce n'est pas dans la culture du droit continental, je pense que le débat citoyen est un préalable indispensable à l'émergence de cette nouvelle forme de droit . Sinon, on court le risque de laisser l'Europe durablement derrière.

Mme Anne-Yvonne Le Dain . - Voilà une discussion qui est ferme, très claire et éclairante pour nous, parlementaires et législateurs. Maintenant, la question est de savoir comment on sort de cette situation, ce qu'on fait, ce qu'on construit, ce qu'on décide, dans quels délais et avec quelles motivations. Tout cela est sur la table. L'une et l'autre. Vous l'avez remarquablement bien exposé. En ce qui me concerne, j'ai appris des choses et découvert un mode de pensée que je ne soupçonnais pas.

Mme Isabelle Falque-Pierrotin . - Puisqu'il s'agit du débat citoyen , nous sommes bien tous d'accord sur le fait qu'il faut passer à l'échelle supérieure pour que collectivement, au plan national ou européen, on entre dans ce nouvel univers. Je partage entièrement cet objectif.

Je voudrais juste pointer ce qui a été dit sur l'expérimentation . L'expérimentation peut-elle tout justifier ? C'est un sujet très intéressant de débat collectif. Nous parlons de données. Effectivement, recenser tous les hommes barbus vêtus d'un pantalon rouge qui se présentent à tel endroit... on ne voit pas. Mais si c'est ce principe d'expérimentation qui justifie tout, je m'inquiète. Et ce n'est pas un propos conservateur. L'histoire a montré que l'expérimentation pouvait conduire à des choses épouvantables. L'expérimentation ne peut pas s'affranchir de tout. Sur un plan humaniste, ce n'est pas acceptable. Ce n'est pas parce qu'il n'est question que de données qu'on peut le faire. Un débat citoyen sur l'ensemble de ces questions me semble nécessaire, en particulier sur cette question de l'expérimentation, parce qu'elle cristallise beaucoup des tabous que l'on veut mettre ou ne pas mettre dans cet univers numérique.

Mme Anne-Yvonne Le Dain . - Je vous remercie tous les deux de votre venue. Je crois que nous serons appelés à nous revoir.

M. Bruno Sido . - M. Pascal Chauve, je crois savoir que la récente loi de programmation militaire et ses décrets d'application sont au coeur de vos préoccupations actuelles. Pouvez-vous dire où vous en êtes à ce sujet ? Plus largement, pouvez-vous nous apporter quelques précisions sur le degré de protection que l'on peut attendre de nouvelles dispositions législatives ou réglementaires face aux failles des réseaux numériques ?

M. Pascal Chauve, conseiller du Secrétaire général de la défense et de la sécurité nationale (SGDSN) . - Je vais vous parler de hard law . La loi de programmation militaire a été promulguée le 18 décembre 2013. Elle fixe un cadre légal totalement novateur pour la protection des infrastructures critiques nationales contre les cyberattaques. Ce dispositif que je vais vous présenter est au coeur de nos préoccupations quotidiennes au SGDSN, où nous sommes chargés d'en élaborer les décrets d'application et toutes les mesures qui en découlent. Je vais nous éloigner de la problématique de l'espionnage des données des personnes pour parler d'un enjeu assez nouveau, celui des attaques informatiques, non pas pour espionner et capter des données, mais pour perturber les systèmes, voire les détruire.

Les mesures qui ont été prises dans la loi de programmation militaire portent sur les infrastructures critiques. En France, on parle d' opérateurs d'importance vitale (OIV) . Ce champ n'est pas nouveau, il a fait l'objet d'une définition dans le code de la Défense. Il concerne tout ce qui est absolument indispensable à la vie de la nation et dont le dysfonctionnement pourrait porter des atteintes graves au fonctionnement de l'État, de ses institutions, de l'économie et à la vie des populations.

Les domaines couverts, qui vous intéressent en particulier, sont ceux de l'énergie et des télécommunications. Mais les transports, l'alimentation sont également autant de secteurs qui sont placés sous la tutelle de ministres coordonnateurs de secteurs d'activité d'importance vitale.

Le texte voté en décembre 2013 est extrêmement consensuel. Son succès est dû à la clairvoyance des parlementaires, mais aussi au talent de pédagogie des auteurs du projet. C'est également le succès d'une idée qui apparaît aujourd'hui comme une sorte d'évidence. Premièrement, les cyberattaques sont un phénomène dont l'ampleur ne cesse de croître. Elles visent nos concitoyens, nos entreprises, mais aussi l'État et toutes les fonctions essentielles au fonctionnement de la nation . Deuxièmement, face à cette menace , l'État doit affirmer son rôle d'autorité de cybersécurité et de cyberdéfense pour continuer à protéger ce qui est essentiel au pays et la loi doit lui en donner les moyens. La chose ne va pas se faire spontanément. Je pense résolument que sur ces questions d'infrastructures critiques, nous ne sommes pas du tout dans le registre de la soft law , du droit souple.

L'idée avait germé dès les discussions sur le Livre blanc sur la défense et la sécurité nationale. À l'été 2013, il a dressé un constat tout à fait préoccupant de l'évolution de la cybermenace depuis sa précédente édition de 2008. Nous étions tous familiers du cyberespionnage. Nous avons constaté que, depuis 2008, le cyberespionnage s'est généralisé - voir les révélations de Snowden. Aujourd'hui, on a affaire à un pillage systématique des informations sensibles de nos industriels, de leurs offres commerciales, de leurs secrets de fabrication . Mais, plus inquiétant, on a assisté, depuis 2008, à l'émergence du cybersabotage dont on a déjà quelques illustrations concrètes comme celle de la fameuse attaque informatique de 2009 sur les centrifugeuses d'uranium iraniennes de Natanz. Des automates industriels, de marque Siemens , ont vu leur fonctionnement perturbé par l'introduction de petits délais aléatoires qui ont conduit à des destructions ainsi qu'à un retard d'un certain temps dans la progression du programme nucléaire iranien. Il y a eu également les attaques destructrices contre la compagnie pétrolière saoudienne Aramco et la compagnie gazière qatarie RasGas .

Aujourd'hui, nos craintes, fondées sur des arguments techniques, portent sur les systèmes de supervision et de management des installations critiques. Par exemple, la régulation des coeurs de centrales nucléaires, la régulation des barrages, le contrôle du trafic aérien, du trafic ferroviaire, des feux tricolores... pourquoi pas ? Le cybersabotage, c'est-à-dire la prise de contrôle par des saboteurs, voire des terroristes, d'une infrastructure critique, ne relève pas uniquement de l'imagination d'un scénariste de film à succès américain ou d'un fameux jeu vidéo qui vient de sortir, dont le héros peut éteindre les quartiers d'une ville en passant son pouce sur son smartphone . C'est une menace bien réelle contre laquelle il convient de se protéger, qui peut conduire à des catastrophes écologiques et à des pertes de vies humaines.

On a commencé à faire de la soft law . Au sein du SGDSN, nous avons l'ANSSI qui a déjà publié sur son site des recommandations sur la sécurité de ce qu'on appelle les Supervisory Control and Data Acquisition (SCADA ) . Ils désignent les systèmes de contrôle industriel, c'est-à-dire ces appareils informatiques qui régulent des processus industriels dont les dysfonctionnements ont des conséquences physiques directes.

Ces recommandations relèvent du bon sens et de ce que le directeur général de l'ANSSI appelle de « l'hygiène informatique », comme de procéder à des authentifications fortes et à des mises à jour, ou superviser la sécurité même de ces dispositifs de contrôle industriel. La mesure essentielle préconisée dans les guides de l'ANSSI est de déconnecter ces systèmes industriels de l'Internet , afin de réduire le plus possible la surface d'attaque qui permet à un attaquant distant de prendre le contrôle de ces dispositifs. À elle seule, cette règle, si elle est effectivement appliquée dans les systèmes modernes et dans les systèmes futurs, s'avérera contraignante, voire très contraignante, tout simplement parce qu'elle va empêcher la télémaintenance et exiger la présence d'un administrateur sur place, depuis sa console, pour vérifier que les systèmes continuent de fonctionner correctement.

C'est une mesure d'autant plus nécessaire que les systèmes sont de plus en plus complexes et qu'ils comportent de plus en plus de failles . Par exemple, les systèmes d'exploitation utilisés dans ces systèmes de contrôle industriel ainsi que les protocoles qui sont mis en oeuvre sont très largement répandus dans l'Internet, voire dans la bureautique. Toutes les failles de sécurité que nous connaissons avec nos ordinateurs, nous pouvons également les rencontrer dans ces systèmes de contrôle industriel.

C'est sur la base de ces recommandations que vont s'ériger désormais par la loi des règles obligatoires qui vont s'appliquer aux opérateurs d'importance vitale. La loi précise que l'État peut fixer des règles et qu'il devra en contrôler l'application. De leur côté, les opérateurs d'importance vitale seront tenus de cartographier leurs systèmes . Vous pouvez mettre au défit un grand industriel de vous montrer à quoi ressemblent ses systèmes d'information, notamment ses systèmes d'information industriels. En général, les industriels ne savent même pas comment est configuré leur système, où sont les interconnexions, les passerelles vers Internet. Le flou est assez abyssal. C'est également le cas des administrations. L'obligation de cartographier est donc absolument importante.

Une fois dressée cette cartographie et identifiés des sous-systèmes qui sont qualifiés de particulièrement critiques au sein de ces opérateurs d'importance vitale, la loi précise qu'il faut mettre en place des sondes de détection d'attaque sur ces systèmes et les faire opérer par des prestataires qualifiés.

Une autre obligation est celle de l'information sans délai des autorités nationales en cas d'attaque . Les opérateurs sont désormais tenus d'alerter l'ANSSI en cas d'attaque informatique sur leurs systèmes critiques. L'ANSSI aura donc un rôle centralisateur de toutes ces alertes qui lui permettra d'avoir une vue d'ensemble et peut-être de prévoir les prochaines.

Enfin, en cas de crise majeure, la loi habilite désormais le Premier ministre à prendre des mesures d'exception .

Les décrets d'application sont en cours de finalisation. Nous ne faisons pas ce travail dans notre tour d'ivoire administrative, éloignés des contraintes de terrain. Nous travaillons en coordination avec les ministères de tutelle, mais aussi avec les opérateurs concernés. Nous n'avons pas du tout laissé la place à l'improvisation sur ces sujets-là. Tout ce travail est issu d'un travail préalable qui avait été conduit dans un cadre de soft law , de recommandations qui avaient été adressées aux différents secteurs.

Je précise également que les règles de sécurité qui seront édictées et donc rendues obligatoires, puis contrôlées par des prestataires de contrôle qualifiés par l'État, seront déclinées secteur par secteur. On ne va pas in abstracto imposer à tout le monde des règles qui seraient inappropriées ou inapplicables.

Je souhaite mettre l'accent sur l'importance de ces prestataires de contrôle qualifiés qui vont naître dans cet écosystème de la sécurité des systèmes d'importance vitale. L'État va donner un label à des prestataires de confiance chargés de détecter les vulnérabilités, les manquements des opérateurs critiques au coeur de leurs systèmes. Ils seront en relation avec l'État. Il y aura des prestataires de détection qualifiés par l'État, qui seront en contact avec l'ANSSI pour échanger sur les nouvelles menaces, les nouvelles signatures techniques de comportement d'attaquant. Ce sont ces critères techniques que l'on peut introduire dans les sondes automatiques pour détecter que quelque chose d'anormal est en train de se passer et que nous sommes a priori victimes d'une attaque. Ces signatures sont désormais le bien le plus cher des agences de sécurité. Elles se substituent un peu à ce que, dans la cybersécurité de grand-papa, on appelait les clés cryptographiques. Le nerf de la guerre, ce sont maintenant les signatures d'attaque informatique , dont l'ANSSI entretient un vivier et qui seront partagées avec des prestataires de détection qualifiés.

Avec ce dispositif, la France est pionnière en Europe . Nos partenaires, notamment allemands, sont en train d'élaborer un cadre similaire. Nous sommes en discussion avec eux. Le projet de directive européenne concernant la Sécurité des réseaux et de l'information (SRI ) est en cours de négociation. Dans son chapitre 4, il comporte des dispositions qui ont été inspirées par la France : l'édiction de règles de sécurité, la notification obligatoire des incidents à une autorité nationale compétente disposant d'un pouvoir de contrôle et un régime de qualification de prestataires.

La France soutient depuis le départ ce projet de texte européen. S'il est adopté, il ne devrait pas nécessiter de transposition en France puisque nous avons déjà les mesures dans notre arsenal législatif.

Dans la discussion européenne, ce nouvel arsenal a soulevé quelques réticences de certains États membres, ceux qui par exemple ne disposent pas d'une autorité nationale compétente en matière de cyberdéfense, contrairement à la France. Pour nous, il est très important d'avoir des interlocuteurs qui s'érigent en autorité nationale de cyberdéfense comme l'est l'ANSSI en France.

D'autres États membres défendent un modèle plus libéral, où il n'y aurait pas de règles qui s'imposent, mais davantage de bonnes pratiques partagées dans les milieux professionnels au sein d'un partenariat public-privé qui instaurerait des règles par la discussion avec les opérateurs concernés. Je pense que ce n'est pas incompatible. C'est ce que nous sommes en train de faire pour les mesures d'application de la loi de programmation militaire.

J'espère vous avoir convaincu de la nécessité et de la pertinence de ce cadre légal. J'espère surtout que, depuis le vote de cette loi il y a six mois, nous tous, industriels, fournisseurs de sécurité, administrations, parlementaires, continuons à croire en ces dispositions qui visent à défendre les systèmes les plus critiques pour le fonctionnement de l'État, l'économie, la société et pour la vie même des populations.

M. Bruno Sido . - Vous conviendrez avec moi que les précisions apportées par M. Pascal Chauve sont de nature à éclairer notre réflexion. Elles peuvent également faire naître de nouvelles interrogations dans l'esprit des rapporteurs qui ne manqueront pas de lui adresser quelques questions et recevront avec plaisir tout document et également toute nouvelle sur l'avancement des rédactions en cours.

Nous tenons à remercier particulièrement Mme Mireille Delmas-Marty qui a accepté de nous apporter un éclairage juridique sur l'élaboration des normes aux niveaux national et international, ce qui peut nous conduire à réfléchir sur l'imbrication du public et du privé, particulièrement complexe dans le domaine de l'Internet, en nous demandant, par exemple, si le concept de souveraineté n'est pas profondément remis en cause par l'évolution du numérique, au point de pouvoir parler de révolution numérique, non plus seulement technique, mais quasiment institutionnelle.

Mme Mireille Delmas-Marty, membre de l'Institut de France (Académie des Sciences morales et politiques), professeur honoraire au Collège de France (Études juridiques comparatives et internationalisation du droit) . - Je ne suis pas spécialiste de la question des réseaux numériques. Je vais donc présenter des observations assez générales sur les métamorphoses du cadre juridique dans le prolongement de cette question des réseaux numériques et de leur sécurité.

D'abord, je voudrais réagir à ce que nous venons d'entendre. Les exemples donnés me frappent parce qu'ils montrent l'impossibilité, ou l'extrême difficulté, à distinguer la sécurité intérieure de la sécurité extérieure. Peut-être y a-t-il là un effet 11 septembre 2001, non pas qu'on y ait vu naître la formule de la guerre contre le terrorisme, mais parce qu'on a vu alors se transformer cette formule qui était une sorte de métaphore - on évoquait souvent aussi « la guerre contre le crime » - en un concept nouveau : la guerre au sens plein du terme. En droit international, on sait qu'après les attentats du 11 septembre, le Conseil de sécurité a considéré qu'il y avait eu une agression justifiant, au nom d'une légitime défense préventive, l'attaque de l'Irak. Et le droit américain a explicitement reconnu l'état de guerre car la Constitution américaine ne prévoit pas l'état d'exception, seulement un état de guerre avec transfert de pouvoir au chef d'État. D'où le fameux Patriot Act de 2001, toujours en vigueur. Ce transfert de pouvoir va très loin, puisqu'il permet au chef de l'État de condamner à mort sans procès les suspects de terrorisme. C'est la pratique des assassinats ciblés, en riposte aux soupçons de terrorisme. À terme, on peut donc s'interroger sur la disparition progressive de la distinction entre guerre et paix, ennemis et criminels, armée et police.

Dans un tel contexte, la question des réseaux numériques est centrale du point de vue juridique. Les réseaux numériques sont en effet au coeur de mutations, de véritables métamorphoses, de l'ordre juridique, tant leur fonctionnement perturbe les différentes composantes de cet ordre que sont les normes, les formes et les dogmes.

Avec les réseaux numériques, on observe de façon extrêmement visible la privatisation des normes qui est liée à la diversification des acteurs, au risque de réduire peut-être l'effectivité, de diluer les responsabilités.

On observe aussi une sorte d' assouplissement des formes . C'est tout le débat que nous avons eu sur la soft law et la hard law , sur l'autorégulation et la régulation proprement dite. Or cet assouplissement des formes entraîne du même coup, un affaiblissement de la prévisibilité et un risque pour la sécurité juridique, c'est-à-dire un risque pour l'état de droit. La forme, longtemps considérée comme la soeur jumelle de la liberté, étant supposée garantir la sécurité juridique.

Enfin, l' ébranlement des dogmes affaiblit la légitimité du cadre juridique lui-même. En Occident, nous avons construit nos systèmes de droit sur le dogme de la souveraineté de l'État. C'est ce qui fonde et ce qui stabilise nos systèmes de droit. Nous avons un modèle souverainiste à l'esprit. Or les réseaux numériques remettent assez directement en cause ce dogme de la souveraineté de l'État. Même si les États résistent, les réseaux numériques annoncent une métamorphose.

Vers quel modèle allons-nous ? Un modèle universaliste, qui reposerait sur un nouveau dogme, le dogme de la communauté mondiale ? On en est loin, semble-t-il. Un modèle ultralibéral, qui reposerait sur le dogme du marché autorégulé ? C'est un peu le prolongement du débat que nous avons eu. Un modèle hybride aurait ma préférence.

Quelques mots sur chacune de ces trois métamorphoses.

1. D'abord la privatisation des normes . Avec les réseaux numériques, l'émission de la norme n'est plus le monopole de l'État-nation, mais elle ne relève pas pour autant d'un État-monde. Au stade actuel, un État-monde n'est sans doute pas souhaitable parce qu'il risque de devenir un État totalitaire. Il n'est pas non plus faisable, fort heureusement, parce qu'il y aurait des obstacles politiques. Même si les experts en nouvelles technologies et les opérateurs privés semblent mener le jeu, les États, surtout les superpuissances, s'en accommodent très bien, précisément parce que la privatisation empêche l'émergence d'un État-monde.

Certes, le constat ne se limite pas aux réseaux numériques. Il vaut plus largement à travers tous les phénomènes liés à la mondialisation du droit. Mais les réseaux ont un effet révélateur parce qu'ils mettent au grand jour un phénomène plus général de diversification des acteurs. On l'a vu pendant la première partie de cette séance. Nous avons parlé d'acteurs étatiques, qui sont encore une fois très présents à travers leurs législateurs, leurs autorités administratives indépendantes comme la CNIL et leurs juges. À l'heure actuelle, il y a une montée en puissance du juge , qui applique non seulement le droit national, mais aussi le droit international. Le juge français est aussi un juge européen. Il a vocation à être juge mondial à l'occasion. Donc les États restent des acteurs essentiels, mais ils ne sont plus les seuls.

À leurs côtés, les organisations interétatiques, voire supraétatiques, se situent à des niveaux différents. À un niveau régional, on a beaucoup parlé d'Europe à travers le projet de règlement de l'Union européenne. À propos de l'Europe, on aurait pu aussi évoquer l'impact de la Convention européenne de sauvegarde des droits de l'homme. C'est le pôle Droits de l'homme de la construction juridique européenne. Mais potentiellement, ces organisations interétatiques se situent aussi à un niveau mondial, par extension du phénomène d' internationalisation des normes .

Cela dit, le plus frappant, ce n'est pas l'internationalisation seule mais l'internationalisation accompagnant, suivant ou complétant la privatisation des normes car elle renvoie aux acteurs privés. Les acteurs privés ne sont pas une catégorie très homogène. En réalité, on y trouve les opérateurs économiques, dont on a déjà beaucoup parlé. Ils montent en puissance et pas seulement à travers les réseaux numériques. Par exemple, dans le droit des investissements, ils peuvent mettre en cause un État au moyen de la procédure d'arbitrage du CIRDI (Centre international de règlement des différends relatifs aux investissements). De ce point de vue, le droit des investissements est un domaine comparable au droit du numérique.

Mais avec les réseaux numériques, ce qui est important, c'est que petit à petit, il semble que les grands acteurs économiques aient centralisé l'architecture de l'Internet , alors même que, au départ, le système était très décentralisé.

Quant aux acteurs scientifiques, aux experts dont nous avons peu parlé, ils sont pourtant très présents, à la fois aux plans national et international. Je pense au rôle des chercheurs en informatique. Il n'y a pas très longtemps, nous avons eu une rencontre entre l'Académie des sciences et l'Académie des sciences morales et politiques. Avec mon collègue du Collège de France, Gérard Berry, nous avons discuté du droit à l'oubli. Selon lui, nous n'avons pas les moyens techniques d'assurer de façon parfaitement efficace ce droit à l'oubli . On a besoin, qu'on le veuille ou non, de cette interface entre les acteurs politiques, juridiques, économiques et scientifiques. Or elle pose toute une série de problèmes liés aux conditions de l'expertise scientifique, aux risques de conflit d'intérêts, un vaste domaine.

Enfin, les acteurs non étatiques sont aussi les citoyens . Ils commencent à s'organiser en agissant de façon concertée. Leur action peut aller à la fois dans le sens d'une recherche de plus de liberté et d'une participation à plus de contraintes, à plus de contrôles. Dans les années 2000, un collègue américain posait la question : « perfect control or perfect freedom ? » allons-nous vers un contrôle parfait ou une liberté totale ?

Les acteurs civiques sont le reflet de ce que le Conseil constitutionnel avait très bien dit, en 2009, à propos de la loi Hadopi : l'exercice de la libre communication et de la liberté d'expression implique la liberté d'accéder à Internet. Même si le Conseil constitutionnel ne va pas jusqu'à affirmer que l'accès à Internet serait un droit fondamental, il n'est pas loin de le dire. Cela étant, les acteurs civiques, et cela a été rappelé par la présidente de la CNIL, participent aussi à la surveillance. Donc ils revendiquent leur liberté et, en même temps, ils participent à la surveillance : de façon passive quand ils profitent des services de l'Internet, mais aussi en acceptant d'entrer dans ce jeu de façon active lorsqu'ils participent à la surveillance, par des dénonciations par exemple.

C'est le premier point qu'il me paraissait important de souligner à travers la privatisation des normes. Mais la multiplication des acteurs que je viens de commenter brièvement n'entraîne pas seulement cette privatisation des normes, elle entraîne aussi la complexité des jeux entre la soft law et la hard law.

2. On observe par là même un second processus, d'assouplissement des formes . Assouplissement, parce que le recours à la soft law accompagne généralement la privatisation et parfois l'internationalisation. Je traduirais soft law par droit souple. Derrière la soft law, nous avons à la fois un droit flou , ou imprécis, fait de principes généraux qui ne sont pas définis de façon rigoureuse et un droit mou , facultatif, non obligatoire (le droit des recommandations), enfin le droit doux, qui n'est pas sanctionné. Le flou, le mou et le doux peuvent aller de pair ou séparément.

L'un des enjeux de notre discussion est d'articuler la soft law et la hard law, de les faire cohabiter, fonctionner de façon non pas opposée mais complémentaire. Il peut en effet être utile de dissocier le droit flou, c'est-à-dire des principes généraux ou des principes directeurs, suffisamment précis pour indiquer une orientation mais suffisamment vagues pour permettre ensuite des applications concrètes par des régulations différentes les unes des autres. Un droit qui n'uniformise pas, mais qui permet de pluraliser la régulation , me paraît une perspective très intéressante. Elle irait dans le sens d'une corégulation qui ne soit pas l'uniformité de la loi, au sens traditionnel du terme.

Il est utile aussi, et on l'a déjà dit, de faire appel au droit mou, non obligatoire, comme manière d'amorcer un processus de régulation. Il est plus facile de commencer par des recommandations que directement par un texte de loi. Le droit mou est peut-être un moyen d' éviter que le cadre juridique soit en retard par rapport aux innovations technologiques. La loi est plus rigide. Pour mieux adapter le cadre juridique à cette extraordinaire accélération des vitesses de transformation technologique, on a besoin d'agir très vite et de façon souple, d'où l'utilité de passer dans un premier temps par le droit mou, qui fera ensuite l'objet d'un durcissement progressif. C'est un peu ce qui se dessinait dans la présentation de la présidente de la CNIL à propos de l'accord entre les autorités nationales de protection des données, qui appellerait peut-être par la suite une loi de blocage.

Cet assouplissement est utile, mais il pose, en termes d'éthique, le problème de la légitimité du cadre juridique. Cette légitimité est d'autant plus difficile à trouver que l'on observe l'ébranlement des dogmes. La métamorphose des normes par leur internationalisation, par leur privatisation et l'assouplissement des formes, produisent un ébranlement qui annonce peut-être un changement de modèle.

3. L' ébranlement des dogmes . Nous vivons encore sous le dogme du souverainisme . C'est un État souverain qui assure la régulation et la réglementation, sur son territoire. Ce dogme est très important puisqu'il permet de stabiliser la norme juridique et de ne pas la réduire à l'état de pur instrument au service de la force, au service du marché.

Or, s'agissant des réseaux numériques et de leur sécurité, le territoire n'a guère de sens . Il y a une sorte de neutralisation des frontières par la circulation de flux immatériels d'informations ou de capitaux. Au mieux, on pourrait parler de transterritorialité. Nous sommes donc obligés de renoncer, au moins en partie, au modèle souverainiste, non pas pour des raisons idéologiques, mais en raison de la déterritorialisation des pratiques.

Quel autre modèle invoquer ? Un modèle universaliste nous conduirait à un nouveau dogme, nouveau car il suppose une communauté mondiale et qu'elle soit suffisamment organisée pour émettre des normes dans un cadre juridique clair et cohérent et pour assurer une régulation qui serait non pas étatique, mais supraétatique. Apparemment, une telle voie peut sembler séduisante. On y retrouve l'idée de la démocratie par Internet. Internet au service de la liberté d'expression et favorisant l'éclosion de mouvements comme celui dit des Printemps arabes. En même temps, ce modèle universaliste ne me paraît pas réalisable en raison de la résistance quasi certaine des États , à commencer par les grandes puissances. Et je ne pense pas qu'il soit souhaitable parce qu'il risque de cacher le rôle hégémonique exercé par une superpuissance.

Que penser du modèle ultralibéral ou libéraliste de type transétatique ? Ce serait l'autorégulation revendiquée au nom d'un autre dogme, celui du marché autorégulé. Le risque de ce modèle, c'est qu'il reflète, lui aussi, la tendance hégémonique d'une régulation imposée par des acteurs tout puissants. Le risque, c'est que le modèle libéral pur, ultralibéral, conduise au totalitarisme du marché. On le voit déjà avec la commercialisation du corps humain par Internet : vente d'organes, recrutement de mères porteuses et bien d'autres pratiques. On a l'impression que dans cette perspective, les normes se resserrent dans un maillage de plus en plus dense et qui annoncerait l'avènement d'une société de contrôle ou de surveillance. Je rappelle que cet avènement avait été prophétisé dans des termes prémonitoires par Tocqueville quand il s'était posé la question de savoir à quoi ressemblerait le despotisme en démocratie . Il écrivait : « Ce serait un despotisme plus étendu et plus doux qui dégraderait les hommes sans les tourmenter et qui couvrirait la société d'un réseau de petites règles compliquées, minutieuses, uniformes, mais dont on aurait un peu perdu le sens, la signification. Il tendrait à retenir les humains dans l'enfance et à réduire chaque nation à n'être plus qu'un troupeau d'animaux timides et industrieux dont le Gouvernement est le berger. » Ce tableau n'est pas très loin de celui que l'on peut observer, avec cette nuance qu'au lieu de troupeau d'animaux timides, il faudrait plutôt parler d'une tendance à la robotisation de l'être humain. En tout cas, le modèle ultralibéral n'est pas une réponse satisfaisante.

Alors vers quoi allons-nous ? Je propose d'imaginer un nouveau modèle plus complexe, qu'on pourrait appeler modèle pluraliste , dans la mesure où il n'échappera aux risques de totalitarisme ou de fondamentalisme juridique que s'il tient compte de la diversité des cultures et s'il réussit à anticiper sur les innovations technologiques. Il faut donc un modèle pluraliste et évolutif, ce qui pose très directement la question des valeurs de référence . Quelles sont les valeurs sur lesquelles on pourrait bâtir ce modèle à la fois commun et pluraliste, stable et évolutif ?

Nous disposons déjà des éléments : dans le droit international des droits de l'homme, avec le droit à la dignité de la personne humaine ; dans la justice pénale internationale avec le crime contre l'humanité , une sorte de noyau dur que Boutros Boutros-Ghali (à l'époque Secrétaire général de l'organisation des Nations unies) avait appelé, lors de la conférence de Vienne en 1993 « l'irréductible humain ». Évidemment, il faudrait donner un contenu plus précis.

Si l'on veut aller vers des valeurs communes en matière de réseaux numériques, les droits de l'homme et les crimes internationaux ne suffiront pas. Il faudrait ajouter la notion de « bien public mondial ». Cette notion, qui vient de l'économie, désigne des biens non exclusifs - on ne peut se les approprier, ils peuvent être utilisés par tous - et non rivaux, en ce sens que l'usage par quiconque ne compromet pas l'utilisation par autrui. Chacun en a sa part et tous l'ont en entier. On pourrait dire cela à propos des réseaux numériques. Les qualifier de biens publics mondiaux serait une manière de favoriser une convergence autour de valeurs qui deviendraient universelles.

En conclusion, pour assurer la sécurité dans les réseaux numériques sans aboutir à une insécurité au niveau juridique, il faut d'abord tout un arsenal juridique et technique hautement complexe. C'est ce qui sera présenté pour l'essentiel dans cette journée. J'ai voulu simplement rappeler qu'il faudra aussi une boussole pour orienter les choix éthiques et instaurer ainsi une confiance dans les réseaux autour de valeurs universalisables, aptes à devenir progressivement universelles.

M. Bruno Sido . - Merci, madame le professeur, c'est avec un vif intérêt que nous avons écouté la communication d'un membre de l'Institut sur le sujet qui nous occupe depuis plusieurs mois, ma collègue députée et moi-même. Permettez-moi à cette occasion de recommander la lecture de votre contribution à l'ouvrage collectif « Science et Société : les normes en question » (Actes Sud/IHEST, 2014), intitulée : « Normes, formes et dogmes : regards d'une juriste ».

Permettez-moi de saluer la venue de Jean-Yves Le Déaut, député, premier vice-président de l'OPECST, qui mène par ailleurs un rapport sur un sujet d'actualité lié à la loi sur la transition énergétique.

La parole est à M. Jean-Dominique Nollet, qui nous vient des Pays-Bas, puisqu'il travaille à Europol . Nous attendons de lui un éclairage technique. À partir de son expérience technique et internationale, pourra-t-il tracer quelques pistes de solutions pour améliorer l'avenir qui attend les entreprises, quelle que soit leur taille, et pour nous aider à mieux cerner le risque numérique résultant directement des vulnérabilités qu'il a eu l'occasion de mieux cerner dans son activité quotidienne ?

M. Jean-Dominique Nollet, lieutenant-colonel de la Gendarmerie nationale, chef d'unité de laboratoire de recherche, Centre européen de lutte contre la cybercriminalité ( EC3 ) à Europol . - Merci de nous donner l'occasion de tenter de vous éclairer dans ce cadre difficile de la cybersécurité. J'articulerai mon propos en deux points : une présentation de ce qu'est vraiment la cybercriminalité pour nous et, ensuite, la déclinaison des risques potentiels dans les pratiques actuelles dans le domaine de cybercriminalité appliquée aux entreprises.

Le Centre européen de lutte contre la cybercriminalité a été créé il y a un an et demi à la suite d'une communication de la Commission européenne et il se focalise sur les groupes criminels. Dans notre vision des choses, il y a des domaines. On a entendu parler de la cyberdéfense et de la défense contre le cyberespionnage. Pour notre part, nous travaillons à lutter contre la cybercriminalité.

Je regrette que, depuis ce matin, on ait assez peu parlé des acteurs. On a l'impression qu'on attrape un virus informatique parce qu'on se promène dans la rue. L'analogie est bonne, mais n'oublions pas que derrière des claviers d'ordinateur, ce sont des gens qui créent des virus, des malwares , ou qui ouvrent des portes qui sont restées ouvertes. Il ne faudrait pas déshumaniser le côté de l'attaquant malicieux. Derrière ce qui se passe, il y a de vrais gens, de vraies personnes. Il ne faut pas oublier que nous, en tant qu'organisme européen de police, souhaitons remettre ces personnes à la justice afin qu'elles soient arrêtées et que les biens qu'elles peuvent générer, souvent énormes, puissent leur être confisqués.

Le gros problème en matière de cybercriminalité, c'est l'absence de lien entre le lieu de l'infraction et son auteur. En effet, le principe d'échange de Locard ne s'applique pas à la cybercriminalité . C'est un gros changement pour les forces de l'ordre en général. L'attaquant n'est pas forcément en Europe, il a peut-être rebondi sur un site au Venezuela ou au Vietnam. Ou ce peut être une attaque entre deux personnes situées dans la même rue. La perte de ce lien géographique appelle nécessairement une coopération entre les polices internationales.

Depuis un an et demi, l'approche des policiers internationaux a considérablement changé. Ils viennent frapper à notre porte avec des dossiers complets pour collaborer avec nous. Jusqu'alors, ce n'était pas une pratique courante en matière de contre-terrorisme et de lutte contre le crime organisé. Nous sommes très satisfaits de voir le FBI et d'autres grands organes venir nous proposer des dossiers et essayer d'organiser les ripostes, principalement contre les botnets , des réseaux assez puissants qui demandent un gros travail.

Les priorités émises par les ministres de l'intérieur européens nous permettent de nous focaliser sur la cyberattaque pure : botnet , malware , des attaquants assez classiques du cyber, mais très avancés.

Ensuite, il y a l'abus de l'enfance en ligne . Il n'a pas été évoqué et je le regrette. C'est quand même un drame ! Je sais que la protection des infrastructures critiques est très importante. Mais n'oublions pas ce que certains appellent la « pédopornographie en ligne », un terme qui me paraît inapproprié. Des enfants se font violer pour que des gens puissent aller regarder devant des ordinateurs ces viols d'enfants ! En matière d'éthique mondiale, ce volet nous semble prioritaire.

Un troisième axe concerne la fraude aux moyens de paiement , qui est en augmentation. Il y a eu un mouvement depuis les groupes qui opéraient des fraudes classiques de manipulation d'automates ou de terminaux de paiement ou skimming . En termes de technologie, c'est la copie d'une bande magnétique des années 1960, ce qui n'est pas très compliqué. On a encore ce problème-là aujourd'hui. Mais toutes ces problématiques se déplacent dans le Card-Not-Present , c'est-à-dire le vol de numéros de cartes bleues destiné à faire des achats en ligne. Tout cela est très structuré par des groupes criminels très puissants. Un numéro de carte bleue sur Internet ne vous coûtera qu'entre vingt-cinq et trente centimes d'euros !

Sur Internet, les réseaux de « Cybercrime as a Service », pour faire l'analogie avec l'informatique en nuage ou cloud computing , vous fournissent des services vingt-quatre heures sur vingt-quatre, en cinq langues. Vous pouvez les appeler à trois heures du matin pour demander une attaque sur la société concurrente de votre choix. Vous pouvez les rappeler aussi, etc. C'est une vraie industrie qui fonctionne. On est très surpris de constater la réactivité de leur service après-vente. Techniquement, leurs services sont très bons.

Certains sites proposent une attaque dite DDoS (Denial of Service Attack), c'est-à-dire une attaque par déni de service, somme toute classique, à dix euros les dix minutes ! Vous n'avez rien à connaître. Il suffit de payer pour simplement attaquer votre voisin. J'ai connu des sociétés qui se sont retrouvées en grande difficulté et qui même ont dû fermer, à la suite d'une attaque de leur concurrent au moment de Noël. La cybercriminalité est une réalité.

Mon laboratoire travaille sur un quatrième axe : les sciences légales avancées . Internet oblige les forces de l'ordre de tous les pays à se bouger en matière technologique et à suivre l'avancée technologique des malfaisants, afin d'essayer de comprendre dans un premier temps ce qui se passe, pour ensuite neutraliser, quand c'est possible, ou essayer a posteriori de trouver dans les logs . Mais je doute que s'il y a espionnage, on va trouver grand-chose dans les logs . Les gens doivent comprendre que la preuve informatique va évoluer. Il y a dix ans, on savait qui avait effacé son fichier. Dans quelques années, avec l'évolution de différentes technologies, sa nature va évoluer. Elle sera peut-être plus fluide parce que les attaquants s'adaptent relativement bien.

À ce titre, les lois en France sont relativement bien faites. En tant que porte-parole européen, il me paraît important que les enquêtes sous couverture , telles qu'elles sont définies actuellement, et la possibilité pour les enquêteurs d'aller anonymement en ligne, doivent être étendues en France.

Une autre chose me paraît capitale, c'est d' étendre la captation des données à distance . Si l'on considère que l'écoute téléphonique doit être maintenue, c'est-à-dire la possibilité de procéder à des écoutes dans le cadre de commissions rogatoires, avec un encadrement juridique qui est relativement sain dans notre pays, il faut pouvoir avoir les moyens techniques d'avancer vers une captation à distance des données.

Pour moi, l'Internet, ce sont ces deux points et une ligne au milieu. Cette ligne va être de plus en plus cryptée et les points de départ vont être de plus en plus durcis par les criminels. C'est déjà le cas. Si vous n'êtes pas sur l'un de ces deux points, vous ne savez pas ce qui se passe. Donc il va falloir rentrer dans les machines qui sont d'un côté ou de l'autre. Là-dessus, la loi française pourrait favorablement évoluer.

Avant de parler des entreprises, je vais parler de la sensibilisation . C'est un thème à la mode. Il y a deux ans et demi, nous nous sommes livrés à un exercice très analytique et très classique dans le monde du renseignement et de la police : élaborer un scénario sur la sécurité informatique en 2020.

Nous avons réuni nos experts, des pirates informatiques, des experts du monde de l'industrie, de la vente et de la sécurité informatique, pour essayer, avec une méthodologie du scénario, de voir quelles seraient les options en 2020. Je vous invite à lire notre beau rapport de trente pages. Mais évidemment, les gens ne lisent pas ce genre de rapport, en anglais en plus. Et la société Trend Micro , qui était avec nous, l'a repris pour en faire un film avec des acteurs. Je vous invite à le voir sur YouTube ( http://2020.trendmicro.com ). Il permet de prendre conscience de ce que M. Gilles Babinet vient de décrire. Notre monde va évoluer.

Pour l'instant, les publicités arrivent sur le smartphone , mais dans quelques années, elles arriveront dans vos lunettes Google Glass . On a toujours tendance à se dire qu'on va essayer de réglementer un peu tout ça et que, lorsque la technologie sera mûre, on y réfléchira. Je pense que c'est une erreur de raisonnement. Il faut réfléchir dès maintenant aux conséquences de ces évolutions sur la société. Certes, ce scénario est fait par des policiers, des gens qui ne sont pas toujours optimistes sur la moralité. Mais cela nous paraît assez intéressant.

En ce qui concerne la sécurité des entreprises , c'est une grosse difficulté. Pour l'instant, si l'on considère les entreprises dans leur globalité, hors opérateurs d'importance vitale et high tech , il n'y a pas grand monde qui y comprend quelque chose. C'est difficile de suivre, parfois très difficile, et l'on ne sent pas la volonté des gens d'y parvenir.

Je trouve surprenant qu'après un épisode aussi important que les révélations de M. Edward Snowden, les entreprises qui ont des choses à cacher, comme la R&D en biologie, n'ont pas pris en compte cette menace et se protègent. Il n'y aura pas de scandale plus fort de ce niveau-là. Malgré cet événement, des acteurs qui évoluent dans des secteurs avancés et qui peuvent se sentir vulnérables, ce qui n'est pas le cas de toutes les sociétés, n'ont pas pris en compte cette dimension-là. Il ne faut pas non plus hurler au loup, mais on pense qu'il faut que les choses avancent.

Dans les entreprises, on assiste aussi à une moralisation de la sécurité informatique. C'est un problème. Je ne suis pas contre la morale, mais croire qu'il n'y a pas de risque parce qu'on ne va surfer que sur des sites reconnus ou parce que le directeur des ressources humaines a demandé de bloquer Facebook , c'est faux. Il n'existe pas de proportionnalité de risque entre les comportements des salariés sur leur ordinateur et le risque qu'ils courent.

Pour moi, le point clé de la sécurité dans les entreprises françaises réside dans la sensibilisation des décideurs . Le problème se situe au niveau des décideurs. Les responsables de la sécurité des systèmes d'information (RSSI) savent ce qu'il faudrait faire et ils l'ont décrit, en s'aidant des guides de l'ANSSI ou de références internationales. Mais la perception et l'analyse du risque dans les entreprises doivent être faites au niveau de la direction et la prise de conscience par la direction n'est pas forcément proportionnée. C'est une grosse difficulté. Je rencontre des RSSI qui me disent qu'ils ont tout écrit. « Si ça pète, j'aurai fait ce qu'il fallait ! » La seule issue ne peut venir que d'une prise de conscience dans ce domaine-là.

Pour le décideur, la grosse difficulté réside dans la disproportion entre l'investissement qui doit être fait dans la sécurité informatique et le risque qui va être couvert ou pas. Cela bénéficie à certaines entreprises du marché de la sécurité informatique qui vous vendent des grosses boîtes magiques à deux millions d'euros censées vous protéger de tout ! Ces boîtes-là n'existent pas. Et cela oblige les gens à se poser des questions pour lesquelles ils ne sont pas formés.

La sécurité informatique est une histoire de code. Qu'est-ce que le code ? Vous écrivez un rapport parlementaire et puis quelqu'un va le réécrire autrement, pour lui faire dire autre chose, en modifiant deux ou trois mots. La sécurité informatique, c'est la même chose : une histoire sans fin. Du code sécurisé à 100 %, ce n'est pas possible. On pourra augmenter la sécurisation, ce qui n'est pas très difficile en ce moment, mais ce code informatique est un texte écrit par un humain, et un autre humain, avec ou sans intention malicieuse, va chercher à le détourner. Cet aspect de l' adaptation permanente doit être pris en considération. Untel vous vantera la cryptographie comme la solution ultime, un autre le niveau des pare-feu ou firewall , etc. Il faut toujours s'adapter. C'est le cadre juridique ou le cadre conceptuel de la sécurité informatique, qui doit être posé.

Je me sers souvent des analogies avec des portes à propos de la sécurité informatique. Le PDG va très bien comprendre que la porte blindée à l'entrée sera plus sécurisée que la porte vitrée. Mais, pour faire venir des clients, une porte blindée, ce n'est pas accueillant. En matière informatique, cette perception et la compréhension du décideur ne vont pas être facilitées. Toutes les sociétés qui font de l'audit de sécurité, ou pentesting , proposent de l'ingénierie sociale. Les entreprises n'en veulent pas. C'est un souci. Et pour ces sociétés d'audit, il s'agit aussi de garder leurs clients. Si elles ne détectent pas grand-chose, c'est mieux pour elles. Plus l'audit est avancé, plus on a de chance de trouver quelque chose. Si la sécurité informatique ne se fonde pas sur la vue que peut avoir un attaquant d'une société, elle n'est pas réelle. Certains commandent des audits de sécurité depuis l'intérieur du réseau. L'intérêt peut être technique, mais en aucun cas cela n'aura de l'efficacité en matière de réseau.

En conclusion, je dirais que nous rencontrons deux difficultés dans la lutte contre la cybercriminalité au profit des entreprises. D'un côté, les pirates opèrent selon une technique de guérilla , à la façon de guérilleros, et de l'autre, on essaie souvent d'y répondre avec des chars . C'est ainsi que, quels que soient le hardware et les logiciels que l'on met en oeuvre, si le programmeur de logiciel a oublié de changer le mot de passe par défaut - l'erreur est humaine -, les pirates entreront. Si l'entreprise ne comprend pas que le code malicieux est apparu parce qu'on a cliqué sur un lien malveillant non protégé ou inconnu, ou si la mise à jour d' Acrobat reader n'a pas été faite, elle sera piratée.

M. Bruno Sido . - L'une des questions qui me vient le plus à l'esprit est celle de la nouvelle place des États face au développement, souvent inattendu, du numérique. Pourront-ils aller jusqu'à prévoir l'imprévisible alors qu'il se présente de plus en plus de manière soudaine à un rythme défiant celui des institutions ? Nous en reparlons à l'occasion du débat tout à l'heure.

Nous allons maintenant aborder la question des données massives ou big data avec M. Charles Huot qui préside le comité éditorial du portail Alliance big data. Il va nous exposer en quelques mots pourquoi la création de ce portail est nécessaire, avant de nous faire part de ses analyses et réflexions sur le thème de la présente journée d'audition.

M. Charles Huot, président d' Aproged , président du comité éditorial du portail Alliance big data . - L'objectif de la création de cette Alliance est un peu le même que celui de ma participation ce matin à votre audition. Big data est un terme porteur de beaucoup de fantasmes et comme pour tous les termes qui se développent rapidement ou buzzword , on pense que ce mot est amené à disparaître. En réalité, il va perdurer parce qu'il correspond à une réalité nouvelle, une vraie révolution.

L'objectif de cette Alliance vise à expliquer, à raconter ce qu'est le big data à travers toute une série d'exemples. M. Gilles Babinet en a donné quelques-uns. Et peut-être que l'explication de ces exemples va apporter des réponses aux orientations juridiques que nous devons donner au traitement de ces données.

L' Alliance big data est partie du constat suivant : ce terme étant issu de l'informatique, très rapidement les sociétés informatiques s'en sont emparées, notamment les grandes entreprises américaines, les Google , Facebook et autres, qui ont développé les technologies sous-jacentes au big data pour des raisons internes à leurs entreprises, liées à la nécessité technique d'utiliser de nouveaux systèmes d'exploitation de l'information, de façon à prendre à compte les volumes de données très importants qu'elles devaient gérer chaque jour, les millions de clients, les très gros volumes de données issus des recherches et des indexations de l'Internet.

Finalement, l'idée de cette Alliance est venue le jour où l'on s'est dit que le besoin de technologies pour traiter de gros volumes de données, ce n'était pas vraiment nouveau. C'est lié à l'histoire de l'informatique. Cela remonte au temps où l'on voulait modéliser un profilage d'un véhicule dans des systèmes de soufflerie numérique. En quoi le big data n'est-il pas seulement un élément technologique ? La donnée ou data , dans l'écosystème national et international, c'est un terme qui s'associe à d'autres termes, comme l' open data par exemple, qui est le fait pour les États d'ouvrir leurs espaces de données aux citoyens et aux entreprises.

Petit à petit, un consensus s'est fait entre des acteurs qui avaient des intérêts différents, des métiers différents, et qui se sont regroupés dans ce mouvement qui porte aujourd'hui le nom d' Alliance big data . Les associations membres sont partagées en trois grands silos : le silo lié aux données, au milieu le silo lié aux technologies, c'est le cas notamment des grands pôles de compétitivité, et, enfin, le silo lié aux usages. Quand on prend le big data sous l'angle technologique, on oublie souvent de se demander à quoi il sert.

Le big data va perdurer parce qu'il touche tout le monde. La question, ce n'est pas la technologie pour la technologie, les données pour les données, mais les usages à lui donner. Le big data est bien ce lien entre ces trois grands pôles, où chacun va apporter sa brique. S'agissant des données, on va s'intéresser à leur nature, à leur qualité et à leur protection, c'est-à-dire à tout l'environnement qui a déjà été décrit ce matin autour de la sécurisation des données, de la propriété des données et du rôle de la CNIL.

Ce qu'on réalise peut-être mal, c'est l'incroyable capacité des outils techniques à exploiter les données. Il y a toute une série de questions qu'on se pose aujourd'hui. On a parlé des données de santé . Je ne sais pas si on mesure bien la possibilité aujourd'hui, avec des données ouvertes, disponibles sur Internet, d'améliorer la santé publique, sans pour autant ouvrir des données de l'État sur notre consommation de médicaments ou les feuilles de remboursement maladie. Il faut bien comprendre que si l'on bloque un certain nombre d'accès à des données, pour des raisons de protection de la vie privée et autres, ces aspects-là seront détournés, parce qu'on travaillera sur d'autres gisements de données publiques qui nous permettront in fine d'arriver aux mêmes résultats. C'est donc une question de temps. C'est un phénomène incroyable d'interconnexion de données. Le moindre appel téléphonique donne lieu à des centaines d'enregistrements et de captations de données qui vont des plus classiques - comme la géolocalisation ou le contenu de la conversation - aux plus pointues - les routeurs - les éléments techniques et tous les réseaux par lesquels sont passées les conversations.

De quelle technologie, de quelles données parle-t-on ? Pour visualiser la notion de données , on peut imaginer une base de données de clients qui comporte le nom, le prénom, l'adresse et tout un tas d'informations sur les produits qu'il a achetés. Aujourd'hui, avec le temps et le développement des technologies, on est capable de stocker dans cette même base de données des données dites non structurées. Autant on peut concevoir qu'un ordinateur soit capable d'analyser intelligemment des chiffres, autant c'est moins évident de comprendre qu' aujourd'hui les ordinateurs et les technologies peuvent analyser de manière semi-automatique, voire automatique, des textes . Cette compréhension de texte passe par le web sémantique, des outils de traitement automatique du langage, mais également des outils de traitement automatique des images et du son. Les technologies de reconnaissance faciale, capables de reconnaître un individu par rapport à une photo, vont être mises en exploitation par Facebook pour indexer les photos de vacances tout simplement. Par exemple : « J'aimerais avoir toutes les photos de mon fils à bicyclette. »

Tout cela a dépassé le stade de l'expérimentation. Ces systèmes sont disponibles aujourd'hui pour les entreprises et les laboratoires de recherche, en Europe et en France. Nos grands instituts de recherche les développent. Les applications sont à l'oeuvre sur des ensembles de données. Dans le monde scientifique, on voit apparaître des alliances sur les données de la recherche. Research Data Alliance , un grand consortium paneuropéen, vise à regarder les exploitations envisageables des données scientifiques . D'un côté, on dispose de toutes les données expérimentales, avec des volumes informatiques colossaux, alors que précédemment, on avait un article de cinq pages qui décrivait l'objet de la recherche. La réécriture ou la reconstitution de l'expérience en partant de ces données versus ce qu'on faisait à l'époque, en partant directement de la lecture de l'article, pose question.

Ces big data se mettent en oeuvre dans tous les secteurs des services et de l'industrie. On a parlé du compteur électrique intelligent qui permet aussi de savoir quelle chaîne de télévision est regardée, qui prend sa douche, etc. Si l'on combine toutes ces données à d'autres données, sur le transport en Île-de-France et toutes les données publiques produites par les collectivités, par exemple, on comprend bien qu'on peut en tirer un grand usage pour la collectivité et de grandes économies. On a rappelé ce qui est envisageable pour les données de santé qui peuvent également servir au bon usage de l'argent public et c'est tout le débat qui nous touche profondément sur l'ouverture des données de l'État. La nomination récente de M. Henri Verdier, chief data officer , responsable des données de l'État, vient contribuer au débat sur le big data .

Et là on va rebondir sur toutes les questions d'actualité depuis que cette fameuse actrice américaine s'est fait opérer suite à l'analyse de son génome. Ce sujet touche aussi le monde des assurances. Doit-on rembourser les frais de maladie de quelqu'un dont on sait qu'il va tomber malade ? Dans l'assurance automobile, on peut assurer au kilomètre en plaçant un capteur dans le véhicule. Ce capteur peut également capter d'autres informations permettant de connaître le comportement de conduite. Si je suis un bon usager et que je respecte le code de la route, je vais souhaiter pouvoir en bénéficier auprès de mon assureur.

Les exemples se multiplient à l'infini. Toutes les grandes entreprises françaises, aidées par le réseau des pôles de compétitivité et tous les réseaux liés à l'innovation en France, créent aujourd'hui au sein de leurs organisations des laboratoires de recherche dédiés au big data . Ils créent également des collaborations avec des chaires parmi les plus grandes universités françaises, sur les thématiques de la banque, de l'assurance, de l'automobile, de la santé, etc.

Les technologies sont prêtes. On attaque le sujet. Ces technologies commencent à travailler sur des ensembles de données, avec toujours cette idée presque absurde qu'on ne sait pas en premier lieu ce qu'on va pouvoir faire de toutes ces données. Que peut-on faire d'un million d'informations concentrées sur un individu ou sur une région ? L' Alliance big data nous pousse à être pragmatiques. Travaillons au cas par cas et réfléchissons à cette notion d'écosystème. Le véhicule n'est plus l'apanage du constructeur automobile. Il appartient désormais à tout un écosystème de capteurs, d'assurance, de déplacements dans la ville...

Il existe d'autres thématiques. Vous avez cité en introduction le nuage numérique ou cloud , les objets intelligents, les villes connectées. Le citoyen qui se déplace dans la ville est à la fois élément déclencheur de toute une série de capteurs, soit mobiles soit fixes, et en parallèle, il est porteur et émetteur de toute une série d'informations non structurées issues des réseaux sociaux.

Mme Anne-Yvonne Le Dain . - Merci pour ce tour d'horizon très complet, qui est, comme la vie elle-même, à la fois vivifiant et inquiétant. C'est le propre de l'humanité, quasiment depuis Adam et Ève, qui ont inventé le mal, comme chacun sait. Le mal va devenir le paradis. Et là, comment arrive-t-on à construire, dans un système qui s'est fait tout seul ? L'Internet n'a pas vraiment été inventé, il est apparu d'un seul coup. Quand on a décidé de faire les chemins de fer, quelqu'un a inventé un moteur à vapeur, il a décidé de le mettre sur une caisse en fer et il l'a fait avancer en mettant des rails dessous. L'Internet n'a pas été décidé. Les possibilités de l'Internet se sont déployées à grande vitesse et personne n'a véritablement su comment et combien.

Tout à l'heure, Mme Mireille Delmas-Marty a cité expressément l'ancienne prix Nobel d'économie, Mme Elinor Ostrom, qui a inventé le concept de « bien public mondial ». C'est apparu sur la place publique comme une sorte de révélation simple. Maintenant il appartient à tous les êtres humains vivants, scientifiques, intellectuels, industriels, associations, politiques, de construire progressivement cet espace juridique qui fera que notre avenir, espérons-le, soit meilleur et un peu moins angoissant.

Maître Christiane Féral-Schuhl, ancienne bâtonnière du Barreau de Paris, nous vous remercions d'avoir accepté de venir nous faire part de votre analyse. En tant qu'avocate spécialisée en droit de l'informatique et des technologies, vous allez faire état, de manière très synthétique, des problématiques qui résultent des sept zones de risques que vous avez identifiées, ainsi que des parades que l'on peut imaginer pour limiter tout cela. Sachant que tout est à faire et à construire, mais que tout est, en partie, déjà pensé.

Je n'oublie pas ce qu'ont dit MM. Jean-Dominique Nollet et Pascal Chauve qui nous rappellent au fait que le droit construit et détermine ce qui va être la vie des individus dans leurs forces et leurs faiblesses. Ce ne sont pas que des théories intellectuelles qui régulent des sociétés. Ce système est extrêmement concret et important.

Me Christiane Féral-Schuhl, avocat spécialisé en droit de l'informatique et des technologies, ancien bâtonnier du Barreau de Paris . - Je vais peut-être réagir à ces propos. Vous disiez que l'Internet est apparu d'un seul coup. C'était au début des années 1990. En vingt ans, les technologies nous ont obligés à repenser tous les fondamentaux de la société. Les institutions ont été bouleversées. Tous les modèles ont été confrontés à l'Internet, et, bien sûr, le cadre juridique aussi. Mais, ce que j'ai pu constater à travers les années, c'est qu'à chaque fois que se pose un problème technologique et que l'on regarde les textes existants, les principes fondateurs de notre droit apportent des réponses satisfaisantes.

On a évoqué uniquement la loi informatique et libertés. Elle pose des règles fondatrices et c'est sous forme d'avis et de recommandations que la CNIL s'est exprimée, apportant des précisions aux différents cas auxquels nous avons été confrontés. Et l'on trouve dans notre droit ces principes fondateurs sans avoir besoin de la prolifération des textes que l'on a pu voir ces dernières années.

À propos du thème particulier de la sécurité, j'ai constaté que le citoyen a toujours une attitude schizophrène. Nous avons toujours cette recherche de la sécurité, de l'État sécuritaire, et puis, en face, cette volonté de liberté qui est revendiquée sur Internet. C'est, par exemple, tout le débat qu'a suscité le passe Navigo de la RATP . À sa sortie, ce passe permettait de tracer par la collecte des données le chemin parcouru dans le métro. Un tollé s'est élevé, fondé sur le principe de la liberté d'aller et de venir, liberté constitutionnelle. Dans le même temps, très spontanément le voyageur va se tourner vers la RATP pour s'indigner de son incapacité, avec tous les outils dont elle dispose, à suivre la trace des agresseurs de voyageurs.

On retrouve cette même logique avec la vidéosurveillance pudiquement appelée « vidéoprotection ». Chacun refuse qu'on surveille ses allées et venues dans son immeuble, en revanche, dès qu'il y a un cambriolage, il s'interroge sur l'utilité de tous ces systèmes.

Un dernier exemple avec les contrôles aéroportuaires . On vit comme un déshabillage numérique ces contrôles, et, dans le même temps, on ne comprendrait pas que le transporteur ne remplisse pas son obligation de sécurité renforcée.

Cette problématique est déclinable à l'infini. Suivant le moment, on va changer de positionnement et faire bouger le curseur, tantôt en voulant être protégé, tantôt en voulant revendiquer cette zone de liberté. Face au thème de la liberté d'expression, du droit à l'information, du droit de savoir selon certains, on va tout de suite voir la limite posée par la protection de la vie privée, la revendication de l'intimité de la vie privée.

Cela m'amène à dire qu'il faut peut-être définir ce qu'est la vie privée, comment elle s'appréhende aujourd'hui. Dans le modèle économique actuel qui consiste à livrer ses données personnelles, à alimenter le système de l'Internet, la conscience de l'internaute, ou en tout cas son attention, doit être attirée sur deux règles fondamentales de l'Internet : la mémoire d'éléphant - « je donne de l'information et elle ne disparaît jamais » - et le préjudice sur Internet qui peut être à l'échelle planétaire.

Vous m'avez demandé d'aborder plus particulièrement la problématique sous l'angle de l'entreprise . L'entreprise est partie prenante de cet univers, elle fait partie de la société numérique. Il y a cette conscience aussi à l'intérieur de l'entreprise. Le chef d'entreprise est responsable de son bateau. Dans le même temps, le numérique fait que tout s'instaure par la voie des dialogues, des échanges et des enrichissements. Beaucoup de choses ont changé dans le modèle de l'entreprise.

Une première réaction consiste à protéger le bateau en faisant attention aux voies d'eau. La première zone de risque consiste donc à identifier ce qui peut provoquer ces voies d'eau.

Et, déjà, il apparaît une première difficulté qui vient du défaut de gestion des contrôles d'accès . Les entreprises font de plus en plus appel à des prestataires ou à du personnel intérimaire et le problème des badges d'accès n'est pas réglé. Pour les grands projets informatiques, des armées de prestataires entrent dans l'entreprise, et, lorsque le projet est terminé, on ne va pas nécessairement changer les codes à la sortie. Sur quelque chose d'aussi basique que les badges , on constate des défaillances.

Par ailleurs, aujourd'hui il est facile de prendre la maîtrise d'un ordinateur à distance. Cela suppose que des codes soient communiqués.

D'autre part, certaines grandes entreprises ou administrations livrent à travers leurs appels d'offres l'intégralité de leur système d'information . C'est pourquoi la politique informatique d'une entreprise est absolument déterminante pour éviter de livrer clé en main des informations stratégiques sans traiter le volet confidentialité. En effet, la clause de confidentialité ne va apparaître qu'au moment où le contrat va être signé avec le prestataire . Avant cela, une mine d'informations stratégiques relatives aux modalités d'accès et aux systèmes de traitement est ainsi livrée en pâture à des tiers.

Ensuite, il y a tout ce qui est lié à la surveillance électronique . Par exemple, les mises à jour de pare-feu ne sont pas faites systématiquement . Or de nouveaux virus apparaissent au quotidien et nécessitent donc une mise à jour périodique. La responsabilité de l'entreprise se joue déjà à ce simple niveau. Certes, les atteintes en provenance de l'extérieur sont réelles, mais, souvent, elles sont dues à des négligences de ce type.

Les atteintes peuvent aussi venir de l'intérieur. 85 % des risques qui se concrétisent dans l'entreprise viennent du personnel, par malveillance ou par négligence. La sécurité passe par des mesures basiques, via des audits, des tests d'intrusion. L'essentiel des risques se situe déjà à ce niveau-là.

La deuxième zone de risque est liée au risque de discontinuité du service . L'entreprise fonctionne dans un dialogue permanent avec l'extérieur. Au niveau du système d'information et du traitement d'information, il existe une vulnérabilité très forte de l'entreprise qui ne traite pas suffisamment la réversibilité ou la transférabilité d'un système. Par exemple, si l'application de gestion des commandes s'arrête, quels sont les scénarios qui doivent être mis en place pour assurer la continuité de l'entreprise ? Cette chaîne de fabrication passe par des mesures de protection informatiques et technologiques : plan de contournement d'activité, plan de reprise d'activité, de façon à s'assurer de la continuité des logiciels et garantir la continuité de service. J'invite les entreprises à identifier toutes leurs applications sensibles afin de gérer l'incident, le risque de discontinuité de service.

La troisième zone de risque est liée à la perte des archives . Le chef d'entreprise est responsable de la conservation de la mémoire de l'entreprise. L'administration a cette même obligation. Aujourd'hui on ne raisonne plus qu'en termes d'archives numériques. La politique d'archivage doit favoriser une approche hiérarchisée des archives. La CNIL propose trois niveaux de hiérarchie : les archives courantes, les archives intermédiaires et les archives définitives.

Pourquoi la CNIL ? Le volet des données personnelles est incontournable dans les archives et la durée de conservation doit être définie. Cette distinction que propose la CNIL est tout à fait pertinente. Les données concernant un client pendant l'exécution du contrat iront aux archives courantes. Les données servant un intérêt en cas de contentieux comportent un délai de prescription légale et iront aux archives intermédiaires. Enfin, les données qui présentent un intérêt scientifique, historique, doivent être conservées dans le temps et elles iront aux archives définitives pour que la mémoire de l'entreprise puisse être restituée dans un ou deux siècles.

Cela pose la question de la lisibilité des données dans le temps par les appareils de lecture . Les supports d'il y a dix ans sont déjà obsolètes aujourd'hui. Une politique d'archivage inclut à la fois la conservation et la mise à jour des archives afin de garantir la lisibilité, l'accessibilité, l'authenticité des informations. L'intégrité des informations, la pérennité des solutions techniques d'archivages sont importantes. Elles supposent un travail d'indentification des données sensibles . Nous sommes là au coeur de la problématique de la sécurité.

La quatrième zone de risque est liée à l'atteinte à la vie privée . Ces risques existent au sein de l'entreprise, notamment via la messagerie. Comment s'articulent les sphères privée et professionnelle au moment où elles ne recouvrent plus les mêmes unités de temps et de lieu de travail ? J'ai tendance à dire que le code du travail est dépassé sur ce point. Pour toute une catégorie de salariés, les trente-cinq heures n'ont plus beaucoup de sens, quand on sait que leur temps de travail se prolonge chez eux et que, sur leur lieu de travail, des démarches personnelles sont faites. Tout cela pose le problème de l'atteinte à la vie privée par les réseaux sur le lieu de travail.

Peut-on interdire l'usage de l'Internet dans l'entreprise ? Non, mais en même temps, le chef d'entreprise est responsable de tout ce qui est transféré par le réseau, notamment des téléchargements effectués par ses salariés dans son entreprise par la voie des accès Internet , de la même manière qu'il serait responsable d'un réseau de trafic de drogue ou de prostitution qui se mettrait en place dans son entreprise.

Des dispositifs de contrôle doivent donc être prévus. Le chef d'entreprise en a le droit, à condition de respecter deux règles : la règle de la transparence et la règle de la proportionnalité. Dès lors il faut se demander comment donner une place à la sphère privée de l'employé, comment gérer intelligemment toutes ces relations et ces modifications qui se mettent en place au sein de l'entreprise.

La cinquième zone de risque est liée à l'atteinte à la liberté d'expression , une liberté fondamentale que beaucoup revendiquent. Mais, au sein de l'entreprise, beaucoup de choses changent. Quid de la liberté syndicale ? Va-t-on pouvoir utiliser la messagerie ? Peut-on utiliser le site de l'entreprise ? Que peut-on divulguer quand on sait que les syndicats peuvent avoir accès à des informations couvertes par le secret ? La diffusion de certaines informations pose des problèmes de risque. Si la liberté d'opinion est garantie, notamment aux fonctionnaires, des règles sont à rappeler : le secret professionnel, la discrétion professionnelle, le devoir de réserve, pas d'utilisation à des fins politiques, pas d'information à des fins syndicales... Tout cela fait partie des zones de prise de conscience par les entreprises.

La sixième zone de risque est liée au non-respect de la loi informatique et libertés . Je ne vais pas revenir sur les éléments apportés par Mme Falque-Pierrotin, sinon pour rappeler que les entreprises sont amenées à contribuer à la sécurité, notamment par l'obligation de conservation des données de connexion pendant une année . Dans certaines entreprises qui ouvrent des possibilités d'accès en Wi-Fi pour leurs clients par exemple, ou pour les visiteurs, des garanties sont à prendre en matière de sécurité. Cela s'inscrit dans le plan de lutte contre la cybercriminalité qui a été évoquée.

La mise en place des accès biométriques est de plus en plus généralisée dans les entreprises. Elle soulève cette recherche d'un juste équilibre entre la vie privée et le besoin de sécurité au sein de l'entreprise.

La septième zone de risque est liée au non-respect du code de la propriété intellectuelle . Parmi les problèmes les plus courants, figure l'utilisation de logiciels sans licence et la conformité des sites web , de l'Intranet et des bases de données.

D'une part, je voudrais insister encore une fois sur le problème du téléchargement au sein de l'entreprise et de la responsabilité particulière du chef d'entreprise, lorsqu'une infraction a été commise et alors qu'il est responsable du réseau.

D'autre part, j'attire l'attention sur l'utilisation de l' open data et des biens communs. Il faut être conscient que cela peut fragiliser l'entreprise. Dans une démarche visant à favoriser l' open data et le logiciel libre, il faut connaître les contraintes du dispositif. Le concept même du logiciel libre est l'inversion du raisonnement du droit d'auteur. Le droit d'auteur dit : « Je ne veux pas qu'on puisse s'approprier le logiciel dont je suis l'auteur. » En contrepartie, tous ceux qui l'utilisent partagent les évolutions et l'enrichissement. Et certaines entreprises peuvent être obligées de communiquer et de partager des informations qui viennent sur ce terrain-là mettre en difficulté leur politique de sécurité.

Pour finir, je vais vous faire part d'une préoccupation. Aujourd'hui la sécurité est omniprésente et, à chaque fois que la liberté avance, les libertés fondamentales peuvent reculer. La question est de trouver le juste équilibre. Je suis frappée de voir que notre système judiciaire et juridique de manière générale, a mis en place un certain nombre de protections, notamment les prescriptions . Je vais prendre l'exemple des prescriptions de la presse , où les diffamations et injures sont limitées à trois mois. Pour moi, elles n'ont pas de sens sur Internet parce que le préjudice perdure . Les entreprises peuvent en être victimes. Aujourd'hui, la guerre économique se fait aussi sur le terrain de la diffamation pour les entreprises et pour les chefs d'entreprise. En règle générale, cette durée de prescription est toujours limitée à trois mois. Et, même si elle a été prolongée à une durée de trois ans pour certains délits aggravés, dans certains cas comme la pédopornographie, la prescription est limitée à trois mois en règle générale. Cette durée me paraît aberrante par rapport à la réalité de ce que l'on constate sur Internet.

À l'inverse, il y a une possibilité d'effacement des peines, pour un chef d'entreprise par exemple, et les casiers judiciaires ne sont pas partagés à l'échelle de l'Internet. Nous avons une faculté d'effacement dans la vie de tous les jours, ce qui n'est pas le cas de l'Internet. En tant qu'avocate, je vois des drames, des chefs d'entreprise dans l'incapacité de se reconstruire et de reconstruire leur entreprise à cause de diffamations, d'injures, voire de situations où ils ont été largement médiatisés suite à des gardes à vue ou à des actions qui ont pu être engagées. Parfois elles ont conduit à des relaxes, parfois à des peines, mais en tout cas elles perdurent sur Internet. De ce point de vue, la décision qui a été rendue par la Cour de justice de l'Union européenne est extrêmement intéressante. Pour la première fois, on est dans un droit de déréférencement à travers la possibilité de déréférencer certains liens sur certains contenus.

C'est différent du droit à l'oubli qui est la faculté de pouvoir effacer complètement une information, ne plus la faire exister sur Internet. C'est, par exemple, le souhait d'un jeune qui s'est ridiculisé dans une vidéo en fêtant l'obtention de son baccalauréat et qui en est pénalisé dans sa vie professionnelle ou sentimentale pendant des années. On peut imaginer quand même ne pas être lié ad vitam aeternam à certains comportements qu'on a pu avoir à un moment donné. Donc oui au droit à l'oubli dans ce cas-là. En revanche, les opposants au droit à l'oubli disent une chose très importante : est-ce que chacun va pouvoir réécrire son histoire telle qu'il a envie de l'écrire ? C'est le problème de la mémoire. Aujourd'hui, l'archivage va s'écrire à travers le numérique. La sécurisation de l'histoire, le devoir de mémoire, va s'écrire et se décliner partout. Il faut donc faire attention à cette faculté.

La Cour de justice de l'Union européenne ouvre une porte. Peut-être faut-il en profiter. C'est extrêmement intéressant. L'information ne disparaît pas d'Internet, mais c'est le référencement qui disparaît. Il faudrait arriver à faire respecter sur Internet la présomption d'innocence, le respect du contradictoire et le respect des prescriptions qui sont des protections et qui sont inscrits dans ces principes fondateurs que j'évoquais au début.

Mme Anne-Yvonne Le Dain . - Nous vous remercions de ces ouvertures et en même temps du rappel de ces inquiétudes constantes. Le droit construit la vie, vous en avez fait une démonstration magistrale.

Avant d'ouvrir le débat général, je voudrais passer la parole à notre collègue député, Jean-Yves Le Déaut, premier vice-président de l'OPECST. Pourriez-vous regrouper vos interrogations en une seule ?

Jean-Yves Le Déaut, député, premier vice-président de l'OPECST . - Les débats de ce matin sont passionnants. Nous avons déjà suivi cette question avec le sénateur Bruno Sido et cela a donné lieu à une audition publique de l'OPECST en 2013 sur « Le risque numérique : en prendre conscience pour mieux le maîtriser ». Nous y avions examiné les risques pour la défense et pour la société civile. D'autre part, je suis rapporteur général de l'Assemblée parlementaire du Conseil de l'Europe pour la science et la technologie, et, à ce titre, on vient de travailler sur ces sujets au Conseil de l'Europe.

En vingt ans, tout a bougé. Non seulement le citoyen a compris l'intérêt d'utiliser l'Internet et ses applications, mais, en même temps, il souhaite une protection, une sécurité et il ne comprend pas les ressorts techniques de ce qu'il utilise. L'élu encore moins. L'élu est déboussolé devant ces avancées scientifiques et techniques. Le rôle de l'OPECST, c'est finalement de rendre compréhensible les questionnements pour que l'élu puisse décider. C'est de vous donner la parole et c'est ce que nous faisons aujourd'hui.

Vous avez très largement indiqué les dévoiements du système. Ils ne sont pas de même nature selon qu'on exploite des données disponibles, gigantesques, qu'on est capable d'aller puiser par des outils informatiques puissants. Cela donne des renseignements, y compris commerciaux.

Les données frauduleuses ne sont pas de même nature. Et là, ce que demandent globalement le Conseil de l'Europe, l'Union européenne et la communauté internationale, c'est une sorte de régulation. D'abord en affirmant, comme l'ont dit les Nations unies, lors de l'assemblée générale du 18 décembre 2013, le droit à la vie privée à l'ère du numérique ; ensuite, en travaillant de plus en plus sur la gouvernance de l'Internet, car il faut progresser sur cette question - une réunion à Istanbul aura lieu sur ce thème du 2 au 4 septembre 2014 ; et, enfin, en complétant un certain nombre de textes internationaux qui existent déjà, et c'est le rôle du Conseil de l'Europe.

Dans ses recommandations, le Conseil de l'Europe propose des avancées pour améliorer le cadre juridique au niveau international, aussi bien sur l'entraide judiciaire en matière de cybercriminalité que sur la protection des personnes.

Le Conseil de l'Europe a recommandé de veiller à la protection de la vie privée et la sécurité de l'utilisateur. Celui-ci doit être protégé en ligne, notamment face à l'interception, la surveillance, le profilage et l'archivage des données. Il faut que cela soit clair et que le consommateur le sache.

Parmi toutes ces recommandations, je voudrais attirer l'attention sur le fournisseur de services en ligne , commercial ou institutionnel. Il faut qu'il soit identifiable et transparent et qu'il affiche clairement sa politique , et ce n'est pas le cas aujourd'hui. Nous ne savons pas d'où viennent ces services. C'est comme si on achetait des produits sans savoir qui nous les vend. Ce fournisseur de services collecte énormément de données qui lui sont fournies par l'utilisateur et qu'il peut utiliser sans que, de manière transparente, l'utilisateur en soit averti. Sur ce point, nous devons progresser.

Deuxièmement, je souhaiterais vous interroger sur l'obligation de mettre en place pour ces questions un médiateur du citoyen . Celui-ci pourrait être désigné par chaque fournisseur, être facilement joignable et avoir obligation de répondre. Certains fournisseurs en ont un.

Troisièmement, je souhaiterais qu'un travail soit accompli sur le recours à l'identification réelle en ligne , que ce soit par des outils d'authentification, et certains existent déjà - la signature électronique par exemple, mais on pourrait en développer d'autres, notamment le recours à des tiers de confiance , ce qui n'a pas toujours été fait.

Quatrièmement, le droit à l'oubli me paraît important. Même si parfois, de manière schizophrénique, ce sont les utilisateurs eux-mêmes qui ont émis ces données, la possibilité de retirer des données, des contenus et des informations doit exister. Et ce, malgré le point que vous avez indiqué, Maître Christiane Féral-Schuhl, à savoir que tout fait partie de la mémoire. Je ne suis pas sûr que lorsqu'on a multiplié par mille les données en ligne sur un seul individu, il y ait un intérêt historique à toutes les conserver. L'individu doit pouvoir demander à un fournisseur de retirer les données le concernant.

Cinquièmement, les fournisseurs doivent s'interdire de fournir les identifiants des utilisateurs , les « user ID », sauf avec leur autorisation.

Sixièmement, les cookies existent, on le sait, et certains servent tout simplement à mesurer un certain nombre de besoins de l'utilisateur de l'ordinateur. Les cookies devraient à mon sens avoir une durée de vie limitée , sauf si les utilisateurs les acceptent. C'est possible techniquement. Rien que cette limitation de la durée de vie des cookies ferait changer les choses.

Tant que nous aurons des réglementations nationales sur des sujets qui ont des conséquences internationales, nous n'y arriverons pas. Quel est le système juridique qui va s'imposer ? Celui du pays de l'utilisateur ? Celui du consommateur final ? Celui du constructeur ? Pour le consommateur, le droit applicable serait le plus favorable entre celui du pays d'origine et celui du pays de service.

Il faudrait également travailler sur la gouvernance mondiale de l'Internet . Sans vouloir une révolution, on peut espérer avoir une charte de l'Internet signée par tous les pays, traitant notamment de l'attribution des noms de domaine et d'un certain nombre de sujets. Ces idées ont peu évolué depuis Tunis, je crois, il y a une dizaine d'années, et, comme on l'a vu lors de la dernière réunion à Montevideo .

Voilà quelques points, monsieur le président, que je souhaitais livrer à votre réflexion. Je suis très heureux que nos deux rapporteurs aient choisi ce sujet d'investigation. Actuellement, l'Office traite aussi d'un autre sujet relatif au numérique sur les données médicales, « Le numérique au service de la santé », dont les rapporteurs sont M. Gérard Bapt, député, et Mme Catherine Procaccia, sénateur.

Débat

M. Bruno Sido . - Nous allons profiter des minutes qui nous restent pour échanger.

Me Christiane Féral-Schuhl . - Merci pour votre intervention. Il me semble qu' aujourd'hui on n'a pas besoin de légiférer . Deux points me paraissent les plus critiques. Premièrement la sensibilisation à l'information avec obligation pour les fournisseurs de bien renseigner le consommateur. Informer l'internaute, que lorsqu'il choisit la page privée de Facebook , cela ne veut pas dire que cette page est confidentielle. Tout un travail de sensibilisation est à faire pour que les consommateurs arrêtent de fournir tous azimuts des données personnelles.

Le deuxième élément à consolider aux plans national, européen et international, est lié aux chargés d'enquête, de façon à appréhender les auteurs d'infraction. Depuis la loi Godfrain, l'arsenal est extrêmement riche, en tout cas, je n'ai jamais eu de difficultés à l'appliquer. En dehors du domaine pénal, on a tout ce qu'il faut en termes de textes, et même parfois trop, puisque nous avons des hésitations. En matière pénale, je sais, comme vous, qu'il faut un texte pour que l'infraction puisse exister. On y arrive à 95 %. Le délit d'usurpation numérique a été rajouté. Je me permets d'insister là-dessus. Les cadres juridiques se juxtaposent et je crains que cela finisse par susciter une difficulté. L'ensemble des juristes vous diront qu'il y a une prolifération de textes qui s'emboîtent, compte tenu du travail européen qui se fait.

Je voudrais également faire une observation sur la charte Internet dont vous avez souligné l'intérêt. Aujourd'hui, les acteurs sont transversaux, en particulier les moteurs de recherche, qui forment un État quasiment à eux seuls. En ce qui concerne les données personnelles, nous sommes arrivés à faire adhérer les entreprises américaines au Safe Harbor . L'idée que les grands acteurs soient tenus d'adhérer à ce que vous appelez la charte informatique est absolument à encourager et à imposer.

Enfin, je suis frappée par les ravages provoqués par les propos anonymes , cette possibilité sur Internet d'avoir des pseudonymes. La liberté d'expression, qui est une liberté fondamentale, ne prévoit nulle part qu'elle s'applique à des personnes anonymes. Rien n'empêcherait, dans l'élaboration d'une charte constitutionnelle numérique, si on devait aller dans cette direction, de rappeler l'obligation d'identification. Aujourd'hui, lorsqu'un journaliste utilise un pseudonyme, on peut le retrouver grâce au rédacteur en chef et à la responsabilité en cascade qui s'applique en matière de propriété littéraire et artistique. Mais, avec le pseudonyme, on se heurte à l'obstacle de l'anonymat. Ce problème doit être surmonté, ce qui règlerait déjà une partie non négligeable des problèmes, puisqu'un certain nombre de personnes aiment bien s'exprimer avec violence sur Internet, en général sous couvert d'anonymat.

Mme Mireille Delmas-Marty . - Je vais continuer la discussion sur la gouvernance mondiale d'Internet . Si je comprends bien, une charte signée par tous les pays du monde est un objectif lointain. Pourquoi est-elle bloquée ? Si l'on n'y arrive pas tout de suite, peut-on considérer que les organisations régionales comme celles que nous avons en Europe puissent fonctionner comme un laboratoire d'expérimentation ?

Cela m'amène à une autre question concernant le représentant d'Europol, M. Jean-Dominique Nollet. Pensez-vous que le parquet européen , prévu par le traité de Lisbonne, pourrait jouer un rôle dans le domaine de la cybercriminalité ? Même si ce n'est pas évident sur le plan du montage juridique, serait-ce souhaitable ?

M. Jean-Dominique Nollet . - Ce parquet européen est une entreprise qui se bâtit doucement, avec un intérêt qui est clair. En matière de cybercriminalité, nous n'en voyons pas le manque. Dans mon travail de tous les jours, quand on monte des opérations pour démonter des réseaux de robots informatiques ou botnets , on a tous les outils juridiques pour travailler.

Là où l'on a des besoins, c'est pour travailler plus vite et plus en profondeur. Pourquoi plus vite ? Parce que pendant que nous démontons les infrastructures des groupes criminels, ces groupes nous attaquent. Dans le monde physique, on arrête physiquement les gens et ils « gigotent » plus ou moins. Sur Internet, ils se livrent à des attaques par déni de service ( DDoS ). C'est très dynamique, très rapide, et donc il faudrait pouvoir adapter notre structure de démantèlement à cette vitesse.

M. Bruno Sido . - Mais disposez-vous de tous les outils juridiques quand vos attaquants sont en Chine, en Russie ou ailleurs ?

M. Jean-Dominique Nollet . - Ce n'est pas un problème juridique. Nous devons avoir les moyens pour mener notre opération à bien. Démanteler les centres de contrôle et de serveurs ou désinfecter les machines.

Je vais rebondir sur votre question. La vision que nous avons autour de cette table est très centrée sur la France et un peu sur l'Europe. Vous pourrez faire une charte, mais techniquement l'anonymat est possible sur Internet , en vous connectant au logiciel Tor par exemple. Entre 800 000 et un million de personnes utilisent Tor . Ces utilisateurs sont parfois bienveillants, ce sont des journalistes par exemple, parce qu'ils souhaitent entrer en contact avec des personnes qui sont en souffrance dans leur pays ou parce qu'ils sont exposés et que, si un État saisit leurs serveurs de messagerie, l'anonymat de leurs sources disparaît.

Donc l'anonymat est techniquement possible sur Internet. Même si vous faites signer une charte par les opérateurs Internet, cela ne changera absolument rien. Et je renverse la question : n'est-il pas fondé, pour les forces de l'ordre de l'Union européenne, d'essayer de lever cet anonymat de façon proportionnée, quand l'infraction le justifie ?

Mme Anne-Yvonne Le Dain . - La question de l'anonymat est fondamentale. Cette question n'est pas si simple parce qu'on touche à des questions assez délicates. Si l'on pense à une loi, encore faut-il qu'elle soit votée par une majorité. De plus, une loi est nationale. Mais c'est une question, effectivement. Une charte me semble une étape pertinente, qui aura le mérite d'être partagée par plusieurs pays européens et au-delà. C'est quelque chose qu'on est obligé de construire. Maintenant, j'entends votre urgence.

M. Jean-Dominique Nollet . - Je me suis mal exprimé. Je ne dis pas qu'il ne faut pas de loi en la matière. Je dis juste que la loi peut être contournée par la technologie en quinze secondes .

Mme Anne-Yvonne Le Dain . - Que faire alors ?

M. Jean-Dominique Nollet . - Sur l'anonymat , ma proposition est de dire la chose suivante. Je me promène dans la rue en tant que citoyen. Si un policier me contrôle, je vais lever mon anonymat puisqu'il existe un cadre juridique pour ce contrôle. Essayons aussi de maintenir sur la planète la capacité pour les forces de l'ordre de lever l'anonymat pour des gens qui portent une cagoule sur Internet.

M. Bruno Sido . - Disposez-vous actuellement de tous les outils juridiques nécessaires ?

M. Jean-Dominique Nollet . - Actuellement, il faut des outils avancés pour pouvoir lever cet anonymat. C'est ce que j'évoquais dans mon introduction à propos de la captation de données à distance.

Me Christiane Féral-Schuhl . - Cela m'évoque le problème des cybercafés . À un moment donné, on a dit que c'est de là que venaient la plupart des contenus illicites. J'ai constaté que certains cafés affichent au moment de la connexion une page du cybercafé qui dit : « Pour nous conformer à la loi, nous vous demandons votre identité ». Vous donnez votre nom et un certain nombre d'informations. Cela signifie que nous ne pouvons créer une identité virtuelle, le café se réservant même parfois le droit de demander la pièce d'identité à son client. Je ne dis pas que c'est la solution mais c'est le signe d'une prise de conscience.

À noter, à propos de liberté, que lorsque je m'installe dans un cybercafé, j'utilise la connexion Wi-Fi du café ; quand je suis chez moi, j'utilise ma connexion. C'est le responsable de ma connexion qui doit rendre compte à la justice de ce qui se passe. Il peut donc y avoir une justification dans le fait que, oui, je vous autorise à vous connecter, mais ce qui va circuler par ce réseau est de ma responsabilité de cybercafé, donc je vous demande des informations.

Mme Anne-Yvonne Le Dain . - Cela renvoie à la question de l'anonymat. Dans le droit français, on n'a pas le droit de se promener dans la rue avec le visage couvert.

M. Bruno Sido . - Pas en tchador par exemple.

Mme Anne-Yvonne Le Dain . - C'est une particularité du droit français, mais c'est dans notre loi. Et donc la question est d'une nature extrêmement délicate et complexe. Le sénateur Bruno Sido et moi-même ne partageons pas forcément la même analyse.

Dans un monde où l'individu devient le noeud de tout et peut se connecter à tout, dans des communautés variées, improbables, introuvables, pertinentes, éventuellement profitables, je crois qu'on est véritablement dans une nouvelle dimension économique. Le XXI ^e siècle, c'est l'ère du numérique, de l'Internet, d'une liberté individuelle qu'il faut corréler avec les libertés sociales, avec la sécurité individuelle et sociale.

Seconde table ronde

M. Pierre Lasbordes, ancien député, ancien membre de l'OPECST . - Cette table ronde est très riche, puisqu'elle invite des philosophes, des représentants des consommateurs, des techniciens, des avocats, une responsable d'un office étatique de la police et un psychopathologue.

À 16 heures, nous aurons la chance d'écouter Mme Axelle Lemaire, secrétaire d'État chargée du numérique, puis les débats reprendront.

Je vais tout de suite donner la parole à M. Bernard Stiegler qui va nous donner sa vision d'un thème ayant déjà fait l'objet d'un rapport de l'OPECST, dont j'ai été membre pendant dix ans : la sécurité des réseaux numériques.

M. Bernard Stiegler, philosophe, directeur de l'Institut de recherche et d'innovation du Centre Georges Pompidou (IRI), membre du Conseil national du numérique . - Je vais commencer par un mot axiomatique qui va être à la base de tous mes propos. Je soutiens, avec la communauté des philosophes du XXI ^e siècle, une thèse qui est à l'origine de la philosophie, une thèse de Socrate selon laquelle toute technique est ce que les Grecs appellent un pharmakon . Comme le disait Claude François, un marteau sert à construire sa maison, mais aussi à assassiner son voisin. Toute technique a cette double dimension, plus ou moins visiblement, et plus ou moins sensiblement. Par exemple, une technique comme le biface a mis près d'un million d'années à se constituer, en passant du chopper (il y a 2,8 millions d'années) au biface (il y a deux millions d'années). Le temps d'appropriation de cette technique a été relativement long.

Le numérique commence avec le web qui est apparu le 30 avril 1993. En l'espace de vingt-et-un ans, il a bouleversé absolument tout : la fiscalité, le commerce, l'enseignement, les pratiques scientifiques, la vie politique. Cette sorte d'éclair foudroyant pose un problème d'une difficulté colossale à savoir la capacité de la société à transformer la toxicité potentielle du pharmakon Internet en un système thérapeutique, curatif . En vingt-et-un ans, une communauté de sept milliards d'individus doit arriver à reconstruire des modèles, là où, autrefois, encore pratiquement jusqu'à la révolution industrielle, vers 1780, on avait encore deux ou trois siècles pour s'approprier une mutation technologique. Au début de l'humanité, c'était incomparablement plus long.

Nous avons donc affaire à un problème de pharmacologie, au sens large de Socrate, absolument exceptionnel. D'une manière ou d'une autre, l'OPECST est toujours confronté à ces problématiques. C'est pourquoi il faut faire des choix technologiques. Une enceinte politique doit arbitrer de tels choix qui ne sauraient être laissés au seul marché car ce dernier a la faiblesse de ne représenter que des intérêts particuliers. Je sais bien que certaines théories du marché posent que la sommation de ces intérêts particuliers produit un intérêt général, mais c'est un autre sujet dans lequel je ne vais pas m'engager.

En tant que membre du Conseil national du numérique (CNNum), je signale la récente parution du rapport sur la neutralité des plates-formes , publié par le CNNum et pour lequel M. Francis Jutand, son principal rédacteur, a accompli un travail exceptionnel d'analyse sur les dangers portés par les logiques de plates-formes qui sont actuellement mises en oeuvre .

Alors qu'est-ce qu'une plate-forme ? Le web en est une d'une certaine manière. Mais à cette plate-forme sont venues s'ajouter des plates-formes de type Apple ou Facebook , lesquelles distordent les logiques initiales de la plate-forme qu'était le web .

Vous aurez noté aussi que le patron de Springer a adressé une lettre ouverte à M. Éric Schmidt, en avril 2014, intitulée : « Nous avons peur de Google. » C'est une première dans l'histoire du capitalisme industriel qu'un PDG d'une entreprise d'une telle ampleur déclare qu'il a peur de quelque chose. Normalement, un PDG n'a peur de rien. Cette rhétorique indique qu'un malaise s'est installé autour du numérique et qu'il faut absolument l'analyser en détail.

Ce malaise s'est installé depuis environ un an, depuis l'affaire Snowden en particulier et même avant, puisque, il y a trois ans, l'Institut de la culture des réseaux à Amsterdam, que dirige M. Geert Lovink, un activiste très pronumérique, a changé de ton et a engendré ce que j'ai appelé dans une conférence « le blues du Net ». Le doute s'est installé dans la communauté des activistes qui sont des militants du numérique.

Ce malaise profond, on le retrouve aussi dans le rapport sur la fiscalité de l'économie numérique , remis par Pierre Collin et Nicolas Colin, un problème qui avait déjà été souligné par M. Philippe Marini, sénateur. La fiscalité à l'époque de l'économie des données est littéralement en voie de désintégration avec les plates-formes que j'ai évoquées et toutes sortes de modèles qui sont liés au numérique.

Ce blues du Net se produit maintenant dans le champ scientifique, par exemple autour des données massives ou big data . M. Chris Anderson, qui fut un prescripteur en tant que rédacteur en chef de Wired , la revue de référence de la Silicon Valley , a publié, en juin 2008, un article intitulé : « The end of theory : data deluge makes the scientific method obsolete ». Dans cet article, il prenait Google comme un exemple caractéristique. Premièrement, Google , en faisant évoluer la pratique des langues à travers son moteur de recherche, les AdWords , l'autocomplétion, la traduction automatisée et bien d'autres services, a totalement transformé le rapport au langage et l'évolution des langues . Or, constatait Chris Anderson, il n'y a pas de linguiste chez Google , si ce n'est pour traiter des problèmes d'interface. Ce qui a permis tout cela, ce n'est pas la linguistique, ce sont les mathématiques appliquées mettant en oeuvre des chaînes de Markov à l'échelle de ce qu'il appelle le « déluge de données » ( data deluge ), c'est-à-dire ce qu'on appelle aujourd'hui le big data .

M. Chris Anderson ajoute que l'OMS n'a pas su anticiper l'évolution de l'épidémie de grippe, mais que Google l'a fait très bien, sans médecin. Donc on n'a plus besoin de ces savoirs théoriques, avec des modèles, des hypothèses, des causalités. On n'a plus besoin que de corrélations. C'est M. Viktor Mayer-Schönberger, de l'Institut Internet de l'université d'Oxford, qui le dit. M. Chris Anderson ne le dit pas, mais il décrit déjà cela.

Quatre mois plus tard, M. Alan Greenspan, président de la Réserve fédérale américaine, est auditionné devant le Congrès à la suite de la crise des subprimes . Ses explications consistent à dire que le trading automatique, la délégation aux automates - ce qui a fait dire aux prix Nobel d'économie, qu'il n'y avait plus besoin de modèles théoriques, d'hypothèses -, et que tout cela, par la sommation automatisée, ne pouvait que marcher très bien, alors que cela ne marche pas du tout ! Et il a refusé que lui soit reproché d'avoir mis en oeuvre cela parce que toute la théorie économique avait en fait renoncé à la théorie économique en disant qu'il fallait remplacer la prise de décision des humains par des systèmes automatisés. Cette audition du 23 octobre 2008 est en ligne sur YouTube .

Le numérique est un pharmakon d'un genre spécial qui engendre toutes sortes de risques : des risques civiques , par exemple avec la perte de contrôle des données personnelles, des risques politiques , des risques économiques - fiscalité ou plates-formes telles que Francis Jutand a montré qu'aux États-Unis d'Amérique elles permettaient aujourd'hui d'imposer des modèles hégémoniques et des distorsions de concurrence absolument drastiques -, des risques culturels , des risques diplomatiques aussi.

Le web et plus généralement l'Internet et le numérique, n'est pas l'informatique, qui est la science des ordinateurs. Le numérique est la science de ce que Mme Clarisse Herrenschmidt appelle « l'écriture réticulaire », c'est-à-dire que tout le monde est relié à travers des réseaux et produit des traces.

Depuis deux ans et demi, l'université de Stanford fait la promotion des MOOCs , une vitrine un peu tapageuse qui cache beaucoup d'autres choses que l'on regroupe sous le terme de smart power . Mme Clinton porte un grand discours sur le smart power qui viendrait remplacer le soft power . Le soft power est venu de l'usine à rêves Hollywood qui permettait aux États-Unis d'envoyer plutôt Mickey que les GIs . Comme le disent certains spécialistes de l'histoire américaine, Mickey rapporte de l'argent et de l'estime, les GIs coûtent de l'argent et produisent des ennemis. Il vaut mieux avoir un soft power, s'appuyant sur toute une technologie et des industries culturelles et qui va être à la base du modèle économique puisque ce sera aussi à l'origine de l' american way of life , c'est-à-dire le consumérisme capitaliste américain.

Aujourd'hui, nous allons vers le smart power , c'est-à-dire la prise de contrôle de la constitution des concepts, de la formation des élites, de tout ce qui consiste d'une façon générale à exploiter les possibilités des technologies dites intelligentes reposant sur l'automatisation, le calcul, les corrélations, etc.

Dans ce contexte géopolitique tout à fait fascinant, je pense que l'Europe est extrêmement mal partie . C'est le risque principal dont je veux vous parler. Cela peut sembler incroyable, puisqu'elle avait un avantage à la fin des années 1980. La télématique, qui est à l'origine du concept du web , a été conçue en France grâce à deux hauts fonctionnaires, respectivement inspecteur des finances et directeur de l'ENA, M. Simon Nora et M. Alain Minc. À la demande du Président de la République française, ils ont prescrit la nécessité de développer des réseaux télématiques.

Pour rappel, c'est dans le cadre de l'informatisation de la société, qui est à l'origine de la CNIL, qu'a été recommandée à la Direction générale des télécommunications (DGT) la mise en oeuvre d'une politique nationale française de télématique. Celle-ci a donné le Minitel qui n'était qu'une première phase. Le web est une deuxième phase, française et européenne, qui a été développé à Genève, au CERN. Ce développement a duré quatre ans, de 1989 à 1993, date à laquelle les responsables du CERN, dont M. Tim Berners-Lee, directeur du World Wide web Consortium (W3C) , ont décidé de le verser dans le domaine public. Ils estimaient que parce qu'ils étaient des fonctionnaires payés par l'Union européenne, il n'y avait aucune raison qu'ils s'approprient ces résultats. Il se trouve que c'est M. Al Gore qui a récupéré ce travail pour en faire le coeur d'une stratégie de développement et de rebond des États-Unis, qui, faut-il le rappeler à cette époque, ne se portaient pas très bien.

J'insiste sur ce point pour affirmer que l'Europe peut parfaitement rebondir aujourd'hui. L'Europe a développé énormément de concepts qui sont aujourd'hui mis en oeuvre stratégiquement par le Gouvernement fédéral américain. L'Europe doit repenser le web et l'élaborer de fond en comble. Elle en a absolument les moyens.

Que s'est-il passé entre 1993 et aujourd'hui ? En 1993, M. Tim Berners-Lee, M. Robert Cailliau et quelques autres ont constitué cette plate-forme qui s'appelle le web , basée sur html , les URL et un certain nombre d'autres technologies, dans une optique tout à fait précise : développer une plate-forme d'échanges entre scientifiques, ou porteurs d'hypothèses de savoir, afin que ces hypothèses soient livrées à la controverse publique. Ce public, ce sont d'abord les physiciens, les informaticiens, les mathématiciens, etc., mais le but était que tout cela puisse s'ouvrir au débat public sous toutes ses formes, politique, économique et autres. C'est de cette manière que le web s'est développé initialement.

Mais l'Amérique du Nord a très vite tiré parti de ce développement, dans une logique contributive qui était d'ailleurs celle du web . Les Américains sont entrés massivement auprès du consortium W3C pour prescrire les évolutions du web . Comme vous le savez, le W3C est une instance de recommandation où l'on n'impose rien, mais où l'on recommande très fortement. La recommandation a un tel effet d'autoréalisation et de performativité que tout le monde est obligé de s'y soumettre, non pas par la force de la loi, mais par la force du fait technologique.

En conséquence, le web a évolué depuis vingt-et-un ans dans une direction complètement différente de celle qui était initialement prévue. Le web est devenu essentiellement une machine à prendre tout le marché publicitaire qui était dans les médias de masse, pour le transférer vers les plates-formes et au passage, défiscaliser les actions, créer de nouveaux modes intégrés de logistique, de production, etc. Aujourd'hui, Amazon s'apprête à prendre les marchés de Promodès . Je n'ai jamais trouvé personne pour me contredire sur ce point. Amazon vous livre déjà des livres et des balances électroniques à la fois. Si la question est à poser en ces termes-là, en toute logique, on peut s'attendre à ce qu' Amazon vous livre bientôt de la lessive et des petits pois.

Si vraiment on en est là, alors une question majeure se pose. Le Gouvernement français a récemment prévu d'investir treize milliards d'euros dans les infrastructures à très haut débit en France . C'est une très bonne chose, si et seulement si l'on crée les conditions pour que ces réseaux à très haut débit servent plutôt à des activités européennes. Ces réseaux à très haut débit ne doivent pas devenir les ambassadeurs d' Amazon , de Google , de Facebook , pour détruire la fiscalité nationale et l'activité privée européenne. C'est pourtant ce qui est en train de se préparer en ce moment.

Dès lors, je pense qu'il faut poser les problèmes avec une certaine radicalité. On considère que c'est la population française qui contribue le plus sur les réseaux. Que signifie contribuer et qu'est-ce qu'un réseau numérique aujourd'hui ? Un réseau numérique ne vit que de la contribution des utilisateurs. Ce qui veut dire que ce ne sont pas des consommateurs. Le consommateur ne contribue pas, il consomme. Le modèle d'un réseau numérique n'est absolument pas consumériste. C'est un modèle contributif. L'association Ars industrialis , que je préside, plaide depuis neuf ans pour la mise en oeuvre d'une politique et d'une économie contributives fondées sur le numérique, qui rompt avec les modèles classiques du consumérisme issus du XX ^e siècle.

Il est fondamental que l'Europe reconstitue une stratégie numérique, la France en particulier, à mon avis avec l'Allemagne. Un groupe parlementaire s'est constitué en France, et, côté allemand, Mme Merkel a encouragé un groupe parlementaire l'an dernier au Bundestag, qui a remis ses conclusions tout récemment à Berlin. Cette stratégie numérique doit avoir une ampleur mondiale et reposer sur la formation d'un troisième web .

Le web des années 1990 conçu par Tim Berners-Lee reposait sur les liens hypertextes et les URL . Ce web a été remplacé à la fin des années 1990 par les technologies collaboratives qui reposent sur les métadonnées, etc., et qui évoluent en ce moment même vers le web sémantique. Aujourd'hui il faut constituer un nouveau web , que j'appelle le « web herméneutique » et qui repose sur la possibilité pour les individus de reconstituer des controverses et de refaire du web un outil d'intelligence collective et pas simplement un outil de captation du marché publicitaire par les plates-formes américaines. L'Europe en a les moyens. Cela suppose de repenser les industries éditoriales européennes et aussi l'enseignement supérieur, qu'il faut absolument mobiliser pour cela.

Je vous recommande la lecture d'un article de M. Hubert Guillaud, publié il y a deux jours dans Internet Actu . Il reprend des idées que j'ai présentées au Centre Pompidou en décembre 2013 lors des Entretiens du nouveau monde industriel, dont les travaux portaient sur l'automatisation (« Le nouvel âge de l'automatisation, algorithmes, données, individuations » ). Le numérique est une technologie qui permet d'articuler très étroitement et fonctionnellement toutes sortes d'automatismes. C'est l'hypothèse de M. Michel Volle en France, ou de M. Marc Giget (CNAM).

Il y a un mois, M. Bill Gates a annoncé que la technologie algorithmique allait détruire l'emploi dans les vingt ans qui viennent . D'innombrables rapports sortent en ce moment, surtout aux États-Unis, qui montrent que le modèle fondé sur l'emploi est terminé . Ce modèle est basé sur la redistribution de la plus-value via le salaire et donc la constitution d'un pouvoir d'achat permettant au système de fonctionner sur les bases de ce que Roosevelt avait mis au point en 1933, vingt-cinq ans après les débuts d'Henry Ford, en institutionnalisant le modèle keynesien. Ces travaux montrent que le modèle fordo-keynesien est terminé. L'automatisation sonne la fin de l'époque de l'emploi.

Dans un tel contexte, on doit prendre en compte tous les facteurs que je viens d'évoquer, et bien d'autres, notamment la nécessité de constituer une citoyenneté numérique . Lors de mon intervention au Conseil d'État sur l'impact du numérique sur le droit, j'ai soutenu que le droit devait être repensé au niveau constitutionnel dans le contexte du numérique. C'est une nouvelle Constitution qu'il faut mettre en place, de A à Z , de l'ampleur de ce que les révolutionnaires ont posé en 1789. Dans le contexte de Condorcet, c'était la République des Lettres créée par l'imprimerie. Aujourd'hui, c'est la publication numérique automatisée à l'échelle planétaire qui pose un problème de Constitution.

D'ailleurs, M. Tim Berners-Lee encourage actuellement l'écriture d'une constitution du web à l'échelle internationale. Je pense qu'il faut poser ces problèmes-là dans toutes leurs dimensions et les articuler dans un point de vue synthétique et non pas d'une façon sectorisée. Par exemple, pour développer une alternative au web tel qu'il est passé sous le contrôle californien, il faut mobiliser toutes les disciplines, en faisant travailler ensemble l'INRIA, le CNRS, les grandes universités, et pas seulement en France mais aussi en Allemagne avec le Fraunhofer, l'Université de Berlin, etc.

Questions à M. Bernard Stiegler

Mme Anne-Yvonne Le Dain . - Êtes-vous dans l'inquiétude, dans l'urgence, dans le désir, dans l'angoisse ou dans la nécessité ?

M. Bernard Stiegler . - Rien de tout cela. Je suis dans la pensée. Selon Hegel, l'inquiétude, c'est ce qui fait penser. Pour certains, je suis un indécrottable optimiste, un technophile qui ne raisonne qu'en étant persuadé de trouver une solution à tout. Pour d'autres, je suis un Cassandre qui annonce la fin des haricots. Je ne suis ni optimiste ni pessimiste. Le pessimisme est une façon d'empêcher de penser puisque tout est fait d'avance et il n'y a plus rien à faire. L'optimisme, c'est l'inverse, il n'y a rien à faire parce que tout s'arrangera. Je récuse ces attitudes-là. La responsabilité consiste à refuser l'une ou l'autre de ces positions. Par contre, il faut être lucide.

Quant à l'affaire Snowden, il faut souligner que tous ceux qui ont un petit peu réfléchi au numérique avaient connaissance de ces problèmes. Ils ne le disaient pas pour ne pas créer de panique. Mais, à un moment donné, il faut poser les problèmes. La toxicité du numérique est extrêmement grande et très protéiforme. Le potentiel de réponse à cette toxicité par le numérique est encore plus grande , selon moi. Je pense qu'il y a beaucoup de choses à faire et qu'elles sont possibles, mais cela suppose de penser, c'est-à-dire d'élaborer des points de vue vérifiés, à partir de données, etc.

Vous m'avez parlé d'urgence. Il ne faut pas penser pour les six mois qui viennent. C'est très important. En 1989, j'ai été chargé par l'Université de technologie de Compiègne et ensuite par le Premier ministre, Alain Juppé, quand j'étais directeur de l'Institut national de l'audiovisuel (INA), d'observer la stratégie industrielle américaine dans le champ de l'audiovisuel et de l'informatique. Dès les années 1980, les États-Unis avaient une stratégie d'engagement dans le numérique , à travers la loi de Moore, à travers Intel pour être précis, pour conquérir tout le marché des produits bruns.

Pourquoi ? En 1979, les États-Unis avaient perdu le marché de l'électronique grand public puisque JVC avait sorti le premier magnétoscope. Ils avaient également perdu le contrôle du marché automobile puisque Toyota était en train de supplanter General Motors . Bref, c'était le début de la désindustrialisation des États-Unis. Détroit commençait à s'écrouler. L'Amérique du Nord a construit une alternative industrielle avec l'armée, les grandes universités, les grands industriels, la société civile et les administrations fédérales, en l'occurrence avec la Commission fédérale des communications ( FCC ) .

Lorsque j'ai organisé, en 1989, à la Cité des sciences et de l'industrie un séminaire sur le D2 Mac Paquets , la TVHD, etc., tout le monde était là, sauf les Américains. M. Lionel Levasseur, économiste, qui travaille toujours à France Télécom , m'a expliqué que les États-Unis avaient fait un autre choix, celui du multimédia, c'est-à-dire que c'est par les microprocesseurs qu'ils allaient prendre le contrôle de la télévision.

En 1997, j'étais directeur général de l'INA, j'ai reçu M. Craig Mundie, vice-président de Microsoft . Il arrivait juste après une décision de la FCC , le 3 avril 1997, déclarant que, en 2006, il n'y aurait plus aucune fréquence analogique, en invitant les 3 500 stations de radio et de télévision américaines à passer au tout numérique dès 2003.

Vous comprenez comment marchent les États-Unis. On dit qu'ils ne fonctionnent que sur le marché à très court terme. C'est absolument faux. Ils ont un pilotage stratégique qui est fait par l'armée américaine. J'ai moi-même fait des travaux de développement de réseaux sociaux alternatifs dans mon institut à l'Institut de recherche et d'innovation (IRI) et j'ai eu la tristesse d'être financé par l' US Navy et non pas par les Français ou les Européens. L' US Navy s'est d'ailleurs déplacée exprès de Californie pour venir voir les résultats de ces travaux.

Il y a une intelligence techno-scientifique dans la puissance publique américaine, qui ne travaille pas pour elle-même, mais bien pour le marché américain, sachant très bien que le marché n'aura jamais intérêt à développer une technologie de rupture. Il faut l'obliger à la développer. Donc il faut reconstruire une politique européenne à long terme .

M. Parfait Nangmo, ingénieur en sécurité informatique, représentant d' Altran technologies . - J'ai apprécié l'intervention très riche de M. Bernard Stiegler. Vous avez dit que le web a été créé comme une plate-forme d'échanges et par la suite, il s'est dénaturé et a été monopolisé par des géants comme Google . Comme solution, vous proposez la création d'un troisième web comme une plate-forme d'échanges collective. Ne va-t-on pas retomber dans le même engrenage que pour le premier web ? En d'autres termes, quelles sont les pratiques actuelles qui vous font penser que le troisième web pourrait avoir le succès qui a été pensé au départ ?

M. Bernard Stiegler . - Merci pour cette très bonne question. C'est la question qui se pose après mon intervention. Je crois que l'Europe est très menacée en ce moment par la stratégie du smart power . D'abord parce que ses universités risquent d'être extrêmement pénalisées par cette démarche ainsi que ses grands éditeurs, Springer par exemple, comme le dit son CEO , ou Gallimard en France, qui est ni plus ni moins que l'image de la France partout dans le monde, parce qu'il incarne une histoire (Voltaire...) et les scientifiques français (Évariste Galois, Pasteur...). Si la France est aujourd'hui encore extrêmement respectée dans le monde et l'Europe plus généralement, comme étant les pays des grands penseurs, des grands artistes, des grands scientifiques, etc., c'est parce que la France et l'Europe ont des industries éditoriales. Si vous perdez les industries éditoriales, tout cela va disparaître en très peu de temps. Je vous recommande un excellent article sur le rôle de la bibliométrie américaine et la manière dont l'Amérique du Nord a pris le contrôle de l'évaluation scientifique à travers les technologies de bibliométrie (revue Réseaux, printemps 2013). Google est un produit direct de cela.

Il faut que l'Europe reconstitue un schéma de priorités européennes et de solvabilisation d'une technologie de rupture. Pour illustrer mon propos, je vais vous dire un mot sur Jules Ferry. C'est un homme qui se réfère à Condorcet, pensant que l'Occident a une mission planétaire à travers une politique coloniale. C'est aussi quelqu'un qui récupère un État qui s'est développé à partir de 1830 avec Louis Hachette. Très connu comme le fondateur des éditions Hachette , Louis Hachette au départ voulait être professeur et il a fait l'École normale. Au moment de la Restauration, il a été remercié et s'est retrouvé au chômage. Un ami lui a prêté de l'argent pour qu'il achète une librairie. À cette époque, une librairie, c'est aussi une maison d'édition. Louis Hachette devient donc éditeur, et comme, par ailleurs, il a été formé, c'est un professeur, il se met à publier des manuels scolaires. Un ami à lui, qui s'est retrouvé ministre de l'éducation nationale, lui ouvre des marchés. Et cela a été le début, non pas de l'éducation nationale à la façon de Jules Ferry, mais d'une instruction portée par la puissance publique, bien qu'elle n'ait pas encore été obligatoire. En 1880, quand Jules Ferry arrive, il y a eu l'apparition de Hachette , le premier à fabriquer des manuels scolaires et l'arrivée de la presse à journaux, qui permettait au Petit Journal par exemple de tirer à un million d'exemplaires en 1870. Cela a permis que les manuels scolaires de Hachette descendent à un sou, permettant à une petite commune de trois cents habitants de les acheter pour la bibliothèque et donc de créer une école communale. Le génie incroyable de Jules Ferry, en 1880, c'est d'avoir consacré un budget absolument colossal à l'éducation de tout le monde. C'était inimaginable à cette époque-là. Oui pour mettre 20 % du budget national dans l'armée, mais dans l'instruction des paysans, non ! Et d'abord, on disait que les paysans ne pouvaient pas être formés... Jules Ferry l'a fait parce qu'une technologie a permis de le faire : c'était la technologie de production des manuels scolaires.

Aujourd'hui, nous devons réinventer un système de publication numérique qui permette de créer un nouveau système académique. Cette publication académique doit être produite selon des formes contributives. Au CNNum, j'ai proposé au Gouvernement que l'État français investisse treize milliards d'euros sur vingt ans dans une infrastructure, à une condition : financer tous les ans cinq cents thèses sur le numérique pour penser la mutation numérique de manière transdisciplinaire, avec des technologies de contribution et d'éditorialisation d'un nouveau genre .

J'ai proposé à France Télévisions , membre de l'IRI, qui a accepté de s'associer à cette démarche. Nous réfléchissons actuellement à la manière dont France Télévisions pourrait devenir éditeur de savoir dans une démarche de recherche contributive.

Le numérique évoluant extrêmement vite, vous devez mettre en oeuvre des méthodes de transfert vers la société, des travaux de recherche qui accélèrent la transmission de l'intelligence collective et qui collent à la réalité numérique. En effet, quand les travaux de thèse sont finis, ils sont magnifiques, mais ils parlent de choses qui ont disparu. Le numérique offre des technologies de transfert de concept, et, en plus, il permet d'y associer les populations. Wikipédia en est un exemple. Le numérique a développé des espaces communautaires de production de savoir, qui parfois sont de très bonne qualité et produits par des gens qui ne sont pas issus du monde académique. Il y a aussi des choses de très mauvaise qualité. Mais la démarche contributive engendrée par le numérique est extrêmement intéressante.

L'Europe doit donc développer une stratégie contributive en mobilisant toutes ces intelligences. Tant qu'à payer des thésards, payons-les à faire quelque chose de vraiment intéressant pour que nous inventions ce nouveau web . À partir du moment où nous aurons fait cela, nous allons solvabiliser le système parce que nous aurons créé une industrie éditoriale d'un nouveau genre qui va elle-même être au service d'une production d'intelligence collective à l'échelle européenne.

Depuis vingt-cinq ans, on nous dit que nous entrons dans la société de la connaissance. C'est vrai, mais de son côté, quelqu'un comme M. Alan Greenspan estime que nous sommes entrés dans la société de la bêtise. Il faut que nous allions vers la connaissance mais nous n'y sommes pas encore. Et je crois qu'on peut le faire avec une vraie stratégie industrielle de recherche et d'enseignement supérieur , en mobilisant les ressources spécifiques du numérique dans ce sens et dans le sens de nos intérêts et non pas ceux de la Californie ou d' Amazon en Virginie.

M. Pierre Lasbordes . - Je vais donner la parole à un représentant des consommateurs qui est apparemment sensible à tout ce qui tourne autour de la fraude au niveau des cartes de paiement. Dans mon rapport au Premier ministre, en 2006, j'avais constaté que, aux États-Unis, les entreprises n'étaient pas gênées pour dire qu'elles avaient été piratées, y compris les banques. En France, ce n'est pas imaginable pour l'instant. Il est vrai que si une banque déclare à ses clients qu'elle a fait l'objet de dix attaques de phishing par jour, peut-être risque-t-elle de perdre des clients. Comment voyez-vous votre rôle au niveau de l'association UFC-Que Choisir pour sensibiliser les consommateurs à ces problèmes qui sont de plus en plus nombreux ?

M. Maxime Chipoy, responsable des études, UFC-Que Choisir . - Je vous remercie pour cette introduction qui fait référence à l'un des coeurs de sujets sur lesquels je travaille. Je supervise toutes les études économiques effectuée par l' UFC-Que Choisir et je m'attache en particulier à toutes les problématiques financières (banque, finances, assurance), dont la fraude à la carte bancaire et aux autres moyens de paiement qui constitue vraiment une importante problématique.

Aujourd'hui, je peux vous dire que le risque sur la sécurité du numérique est avéré pour les consommateurs et même supporté . Pour ne parler que de la fraude à la carte bancaire , les montants fraudés sont de l'ordre de 450 millions d'euros par an, dont 60 % ont été fraudés par la voie numérique. Ce sont principalement des données de cartes bancaires volées sur Internet lors d'un achat effectué par un consommateur, qui sont ensuite réutilisées par des fraudeurs pour effectuer d'autres paiements. Les taux sont en forte croissance depuis 2007, avec la croissance des achats sur Internet, mais la part des montants fraudés sur les montants facturés a progressé beaucoup plus vite que la montée en charge du commerce électronique.

Il y a deux problématiques principales. La première est géographique. Au fur et à mesure des années et parfois de manière assez douloureuse, les commerçants français ont peu à peu amélioré leur site Internet pour qu'on ne puisse pas capturer de données bancaires. Mais, auparavant en Europe et aujourd'hui à l'international, tous les pays n'atteignent pas le même niveau de sécurité . On aura beau élaborer des réglementations contraignantes au niveau français, pousser les acteurs à sécuriser leur site Internet et pousser les consommateurs à adopter de bonnes pratiques, si, à l'échelle européenne voire internationale, on n'a pas le même degré de sécurité, il est fort à parier que les fraudeurs vont agir sur le maillon de la chaîne qui est le plus faible . Ce maillon peut être géographique ou technologique ou tout simplement un type de moyen de paiement.

En France, et même en Europe, on commence à faire des efforts sur la carte bancaire. On sait que les Européens commencent peu à peu à convaincre les Américains de l'utilité de la mise en place d'une carte à puce pour leurs paiements et de l'utilité d'une meilleure sécurisation des sites Internet américains pour éviter que les fraudeurs qui ont récupéré des numéros de cartes bancaires françaises les réutilisent aux États-Unis.

Je voulais dépasser le cadre de la carte bancaire car nous avons une nouvelle préoccupation à l' UFC-Que Choisir . La carte bancaire commençant à être sécurisée, les fraudeurs se reportent sur les moyens de paiement les plus faibles et malheureusement aujourd'hui, nous avons de grosses craintes sur les virements et les prélèvements . En effet, le règlement européen SEPA ( Espace unique de paiement en euros ) prévoit, dans un but louable d'harmonisation du marché européen, de créer des processus uniques pour les prélèvements et les virements. Son entrée en application prévue en janvier 2014 a été reportée à août 2014 parce que la plupart des établissements français et des professionnels n'étaient pas prêts. En janvier 2014, seuls 40 % des commerçants étaient prêts. Jusqu'à présent, les prélèvements français fonctionnaient selon un modèle franco-français. Demain, les prélèvements seront communs à l'Espace économique européen (EEE), la Suisse et Monaco.

Cela va provoquer un problème. Précédemment, quand les consommateurs français mettaient en place un prélèvement, ils devaient donner leur mandat de prélèvement, d'une part au commerçant pour qu'il puisse retirer de l'argent sur leur compte et, d'autre part, à la banque pour qu'elle puisse vérifier que le professionnel qui effectue une opération fût bien reconnu par le consommateur. Aujourd'hui, le nouveau mandat de prélèvement européen ne prévoit plus qu'un seul mandat. Ce mandat est donné au professionnel et c'est le professionnel qui va fournir le mandat auprès du banquier pour retirer de l'argent sur le compte du consommateur. Cela pose un gros problème. Désormais, la banque est totalement aveugle. Elle ignore si, oui ou non, le consommateur a accepté le prélèvement.

Alors que le prélèvement SEPA vient à peine d'être mis en oeuvre, nous avons déjà des cas de fraude. Le fraudeur a réussi à capturer les données d'identité du consommateur (nom, prénom, adresse, etc.) et ses coordonnées bancaires, ce qui n'est pas vraiment difficile en France, où on les donne très souvent. Par exemple, des fraudeurs s'abonnent à Orange et font payer la facture par un prélèvement automatique sur le compte d'autrui. Si le consommateur n'est pas extrêmement vigilant, vous pouvez être sûr que, dans les années à venir, vous aurez des prélèvements SEPA de un ou deux euros montés par des fraudeurs sur des centaines de milliers de comptes.

Nous souhaitons dénoncer une seconde chose au sujet du SEPA . Le législateur européen, sachant que ce système de mandat unique est bien moins sécurisé que le système de double mandat que l'on avait en France, a prévu des mécanismes de sécurité. Théoriquement, le consommateur a le droit de mettre en place auprès de sa banque ce qu'à l' UFC-Que Choisir nous avons appelé des « listes noires » ou des « listes blanches ». Concrètement, vous demandez à votre banquier de refuser tout prélèvement qui viendrait d'un autre organisme qu' Orange , GDF ou EDF , par exemple. C'est la liste blanche. Seuls sont autorisés les paiements des prestataires identifiés. Dans l'autre cas, la liste noire vise à interdire les prélèvements à un ou plusieurs prestataires.

Ces outils très utiles sont censés sécuriser le prélèvement européen et éviter les fraudes. Or notre enquête, menée en janvier 2014, a montré que sur les cent trente banques que nous avons étudiées, une seule banque communique avec ses clients sur la possibilité de mettre en place des listes noires ou des listes blanches pour éviter les prélèvements non acceptés. Ce manque d'information du client nous paraît assez irresponsable, d'autant plus que le règlement européen oblige les banques à communiquer sur la mise en place de ces listes noires et blanches .

Voilà pour le cadre, un peu apocalyptique, du sujet numérique sur l'aspect bancaire à l' UFC-Que Choisir .

Je vais revenir sur des sujets plus larges. En ce qui concerne la sécurité des serveurs contenant des données personnelles , nous sommes en faveur de la mise en place d'une normalisation la plus large possible, au moins au niveau européen, voire au niveau mondial. Cela suppose la mise en place d'une autorité mondiale ayant éventuellement des pouvoirs de sanction , ce qui ne va pas sans poser de gros problèmes vis-à-vis des prérogatives de chaque État. Malgré tout, cela nous paraît indispensable dans un monde globalisé. Si l'on en reste au niveau franco-français, et on le voit déjà avec les moyens de paiement, une normalisation ne servira à rien. Il est très facile, dès aujourd'hui, de voler des données de cartes bancaires pour s'en servir en Chine ou ailleurs. Les autorités de police sont totalement impuissants , ou en tout cas, ils peuvent agir mais cela prend des années et donc ne sert pas concrètement au consommateur à limiter le coût de la fraude. Il faudrait une normalisation mondiale avec des pouvoirs de sanction au même niveau. C'est au politique de prendre le relais.

Que faire en cas d'attaque informatique sur les serveurs ? À l' UFC-Que Choisir , nous estimons qu'il y a beaucoup plus d'attaques informatiques réussies que ce que l'on veut bien nous dire. Théoriquement, les professionnels ont une obligation de moyens quant à la déclaration aux consommateurs lorsqu'ils ont été dérobés et ils ont une obligation de résultats quand il s'agit de données personnelles sensibles. À l' UFC-Que Choisir , nous pensons que la plupart des professionnels en France font passer leurs intérêts propres avant tout et le risque d'atteinte à leur image lié à la fraude avant de penser à l'intérêt de leurs clients.

C'est pourquoi nous plaidons fortement pour la mise en place d'une obligation de déclaration au client dès lors qu'une attaque informatique réussie a eu lieu . Peu importe le nombre de comptes qui ont été dérobés. Cette règle d'or doit être applicable à l'ensemble des professionnels agissant dans le secteur numérique.

Nous considérons qu'il est meilleur pour l'image d'une entreprise qu'elle dise honnêtement à ses clients qu'elle a été victime d'une attaque informatique. Les progrès de la fraude étant ce qu'ils sont et les progrès de la sécurité informatique ne pouvant que suivre, hélas, les progrès de la fraude, on sait très bien que le risque zéro n'existe pas et qu'il y aura toujours des attaques informatiques. Dès lors, il n'y a pas d'acteurs meilleurs que d'autres à partir du moment où ils ont respecté une normalisation de base. Il faut que les consommateurs soient avertis de l'attaque du compte de leur prestataire pour qu'ils puissent prendre les précautions qui s'imposent. Si l'un de mes prestataires possède mes numéros de carte bancaire et qu'il s'est fait attaquer, je préférerais largement faire opposition à ma carte bancaire et en commander une nouvelle plutôt que de découvrir trois semaines plus tard que j'ai été fraudé de deux cents euros.

Cependant, il faut reconnaître que la loi issue des directives européennes est très protectrice en matière de fraudes à la carte bancaire. Théoriquement , pour tout ce qui concerne le numérique, le consommateur est entièrement couvert . Et même s'il peut y avoir des problèmes au cas par cas puisque des banques peuvent rechigner à rembourser le préjudice subi, et cela peut prendre certains délais, aujourd'hui les consommateurs sont bien couverts par la loi à titre individuel. Mais cela a un coût. Plus il y aura de fraude, plus cette fraude sera répercutée sur les tarifs bancaires , et donc, in fine , sera assumée par l'ensemble des consommateurs.

C'est pourquoi nous sommes en faveur d'une politique de prévention très large. Il faut une normalisation, une sécurité maximale, et cette normalisation doit être mise à jour de manière régulière. Il faut également qu'un système d'alerte permette au consommateur de prendre des précautions minimales , comme de surveiller son compte en banque ou faire opposition à ses moyens de paiement si une attaque informatique a été détectée.

Pour terminer sur la question des données personnelles au sens large, nous déplorons la tendance des consommateurs à donner leurs données personnelles à n'importe qui, notamment parce qu'une bonne partie de l'économie de l'Internet est fondée sur le principe de la gratuité du service contre la fourniture de données personnelles. Hélas, les consommateurs ne savent pas encore que la gratuité n'existe pas et que les données personnelles qu'ils fournissent à leurs prestataires sont forcément réutilisées et revendues quelque part. Toutefois, on note une prise de conscience de la part des consommateurs. On l'a vu avec l'affaire Instagram qui a révélé que les photos des consommateurs devenaient plus ou moins la propriété d' Instagram et qu'elles pouvaient être réutilisées.

Néanmoins, il faut aussi les aider à gérer leurs données personnelles. À l' UFC-Que Choisir , nous plaidons très fortement pour la mise en place de dashboard par l'ensemble des acteurs du monde numérique. Dans cet espace personnel, le consommateur peut savoir quelles données le professionnel possède sur lui mais également à qui le professionnel a revendu ses données personnelles. Ce dashboard irait dans le sens d'une plus grande clarté. À partir du moment où le consommateur reçoit ces informations, il peut commencer à faire des demandes d'effacement, des demandes auprès de la CNIL, etc.

Je vais terminer sur la problématique du droit à l'oubli . À l' UFC-Que Choisir , nous considérons que le droit à l'oubli est une chimère totale . Vous aurez beau demander à un professionnel de retirer des photos ou des renseignements qui vous concernent, même s'il le fait, rien n'indique qu'un tiers n'aura pas déjà récupéré les données personnelles et qu'il sera en capacité de les réutiliser. Ce droit à l'oubli est donc très provisoire.

Concernant le droit au déréférencement , on l'a vu récemment avec l'affaire Google , la problématique est double. Premièrement, Google peut encore s'arroger le titre du juge puisqu'il est en droit d'estimer de la légitimité de la demande effectuée par le consommateur. Il est très gênant qu'une personnalité privée, de sensibilité anglo-saxonne, soit en capacité de juger de la pertinence et de la légitimité de la demande des consommateurs. Au-delà de cet aspect, le fait de déréférencer sur Google France ne va pas automatiquement déréférencer sur Google monde . Enfin, si vous êtes déréférencé sur Google , rien n'indique que vos données ne soient pas retrouvables sur Bing ou sur d'autres moteurs de recherche. En conséquence, nous pensons que le droit au déréférencement est une bonne chose, mais il ne peut être que partiel et ne doit pas se substituer au droit à l'effacement des données personnelles.

M. Pierre Lasbordes . - Nous comptons sur vous pour être l'aiguillon qui sensibilisera les gens à être prudents. Personne ne peut dire qu'il n'a pas été l'objet d'une fraude.

M. Maxime Chipoy . - On constate que le montant moyen des fraudes diminue tandis que le nombre de personnes touchées s'accroît. Les consommateurs se rendent compte des fraudes d'un montant élevé puisque cela touche directement l'équilibre de leur budget chaque mois. À l'avenir, il est à craindre que les fraudeurs fassent des dizaines ou des centaines de milliers de prélèvements d'un euro qui passeront inaperçus pendant des années.

Mme Anne-Yvonne Le Dain . - Ce matin, Me Christiane Féral-Schuhl a considéré que le droit à l'oubli pourrait être une manière de réécrire sa biographie et que, au contraire, le droit au déréférencement permettrait de continuer à construire du droit et une histoire sur laquelle pourrait se construire le droit futur, y compris de tiers. Votre position est assez différente.

M. Maxime Chipoy . - Nous considérons que le droit à l'oubli n'a pas vraiment d'application puisque vous ne savez pas qui a utilisé vos données personnelles, qui les a vues, qui les a capturées.

Mme Anne-Yvonne Le Dain . - Vous souhaitez qu'on puisse faire appel au droit à l'oubli, c'est-à-dire disparaître de la Toile mais pas au détriment du droit au déréférencement. Me Christiane Féral-Schuhl a souligné que le droit à l'oubli, c'est-à-dire le fait de supprimer sa trace sur Internet, permettrait de contribuer à la réécriture de son propre historique, ce qui pourrait mettre en danger, moral ou juridique, des tiers. Vos deux points de vue sont-ils si différents ?

M. Maxime Chipoy . - Je vais être plus clair. Nous ne sommes pas contre le droit à l'oubli en tant que tel. Mais nous considérons qu'il ne faut pas que la création d'un droit à l'oubli serve de prétexte pour oublier les autres droits qui seront sans doute plus effectifs. Effectivement, nous pensons au droit au déréférencement , même s'il trouve très largement ses limites, mais également au droit à l'effacement qui nous semble beaucoup plus important. Mais pour qu'il y ait droit à l'effacement, il faut aussi une prise de conscience et la mise à disposition des consommateurs d'outils adaptés pour qu'ils sachent avant tout quelles sont les données possédées par l'ensemble des prestataires ou des services par lesquels ils passent.

M. Pierre Lasbordes . - Monsieur Jean-Pierre Quémard, en tant que chef de la délégation française à l'ISO/IEC JTC 1/SC 27, vous jouez un rôle assez important en matière de normalisation. En France, nous avons la réputation d'être en retard sur ce sujet, par rapport aux Américains en particulier. Pouvez-vous nous rassurer et nous dire que la France n'est pas en retard, que les Américains ou des Européens plus puissants que nous ne vont pas nous imposer des normes et quelles sont pour vous les étapes importantes dans cette normalisation ?

M. Jean-Pierre Quémard, président de la commission de normalisation SSI et chef de délégation française à l'ISO/IEC JTC 1/SC 27 . - Je voudrais d'abord réagir sur ce que j'ai entendu. On dit que l'industriel se préoccupe de ses intérêts plutôt que de sécurité et de ses produits. Chez Airbus , nous avons mis en place un Product Security Office parce que nous considérons que la sécurité de nos solutions et de nos produits est très importante pour notre réputation et que l'on ne peut plus se permettre aujourd'hui de traiter la sécurité comme un mal nécessaire. Je suis d'ailleurs en charge de ces activités chez Airbus Défense & Sécurité .

Au sujet de la normalisation, il faut identifier un premier point qui est le triangle magique. Actuellement la biométrie fait débat. Mais il n'y a pas de technologie bonne ou mauvaise en soi. Un marteau peut enfoncer un clou tout comme vous écraser un doigt. Ce qui est très important, c'est d' entourer la technologie des trois sommets d'un triangle que sont la réglementation, la normalisation et l'évaluation .

Une réglementation va définir un cadre juridique, technique, politique parfois. La normalisation va permettre de garantir un niveau de standardisation, d'homogénéité, d'interopérabilité. L'évaluation consiste à vérifier que l'on est conforme à des standards et que ces standards respectent la réglementation. Cela permet de recadrer la standardisation comme étant indispensable pour garantir de nombreuses choses, aussi bien l'interopérabilité des boulons que la sécurité des réseaux numériques.

Je vais me concentrer sur l'aspect normalisation de la sécurité des systèmes d'information . En tant que président de la délégation française à l' ISO du SC 27 qui traite des systèmes d'information, je dirais qu' en France nous ne sommes pas en retard . Dans la délégation que j'ai conduite il y a un mois à Hong Kong, il y avait dix-huit délégués français sur deux cents délégués du monde entier et nous étions la troisième délégation en nombre derrière les Américains et les Japonais. C'est loin d'être ridicule. Je pense qu'on a réussi à motiver dans ce domaine un certain nombre d'intervenants, aussi bien des grands groupes que des PME, des experts dans le domaine.

Les travaux du SC 27 se partagent en cinq activités : la gestion des systèmes d'information ( ISMS ) ; le groupe 2 définit tous les mécanismes crypto ; le groupe 3 s'occupe de tout ce qui est évaluation comme, par exemple, les critères communs, l'évaluation d'algorithmes cryptographiques... tout un ensemble de normes et de standards qui permettent de vérifier la conformité ; ensuite il y a la sécurité des applications ; et finalement la sécurité des identités et de la biométrie. Ces travaux couvrent l'ensemble des briques nécessaires à la mise en place d'un système sécurisé performant.

En France, nous sommes tout à fait bien placés. Je suis personnellement éditeur de cinq standards internationaux plutôt dans le domaine de l'évaluation de la crypto. Nous avons des compétences très fortes en France. En revanche, nous avons aussi quelques faiblesses sur lesquelles je reviendrai.

M. Pierre Lasbordes a parlé de normes mondiales, c'est bien, mais en fait, il y a trois niveaux dans la sécurité. Le premier niveau est national, régalien, c'est le « confidentiel défense » ou le régalien pur qu'on ne va pas trop partager. Ensuite il y a le monde européen dans lequel on est capable de mettre en place des règlements. Enfin il y a la norme mondiale, où, là, c'est un combat politique. Je ne parlerai pas de Snowden, mais on se sent plus à l'aise à travailler avec nos partenaires européens plutôt que se faire imposer des standards qui viennent soit de Chine soit des États-Unis. Pourquoi j'engage beaucoup l'industrie française à aller dans le sens de la standardisation ? Parce que c'est un avantage compétitif. Quand on est conforme aux standards, a priori on a un avantage commercial mais nous serons encore meilleurs si c'est nous qui avons contribué à la définition du standard.

La cohérence et l'homogénéité sont très importantes. J'anime aussi ces réflexions au niveau européen, au sein du Cyber Security Coordination Group (CSCG) dont je suis vice-président. Et je suis aussi vice-président du Technical Committee on Cyber Security à l' ETSI .

Je vous ai décrit une situation merveilleuse, mais ce n'est pas aussi simple. Au sein du Comité de filière des industries de la sécurité, j'anime aussi les réflexions sur les aspects « Export, Normes, Intelligence économique ». C'est vrai qu'il n'existe pas de position partagée par tous. Souvent, des interlocuteurs me disent que ça coûte cher. En France, on souffre d'un problème de gouvernance de la normalisation.

Un exemple : l'AFNOR est le national body , c'est-à-dire le référent mandaté au niveau de l' ISO . La normalisation française est faite de telle sorte que ceux qui y contribuent paient trois fois. Une fois pour adhérer à l'AFNOR, une deuxième fois, si vous êtes très motivé, pour envoyer des experts, des gens qui vont faire des contributions, des commentaires..., une troisième fois pour acheter la norme parce qu'elle n'est pas gratuite.

Au Japon, les choses se passent différemment. Lorsque le Japon a considéré qu'un domaine était prioritaire, il paie ses experts pour constituer un groupe miroir. C'est pourquoi dans une délégation japonaise on trouve quarante experts quand celle de la France compte quinze volontaires.

Donc face aux atouts, nous avons un vrai problème de gouvernance. Je travaille sur ce problème-là avec la Direction générale de la compétitivité, de l'industrie et des services (DGCIS) en charge de la coordination de la normalisation, pour essayer d'avancer sur ce sujet. Les freins et les limitations sont plutôt à rechercher de ce côté-là. Pour accepter de payer trois fois, il faut être très motivé.

M. Pierre Lasbordes . - J'avais écrit, en 2006, que la France devait absolument être à l'avant-garde dans le domaine des normes de la sécurité informatique. Vous me rassurez. C'est déjà une bonne chose.

M. Philippe Wolf, ingénieur général de l'armement, auteur de nombreux articles et ouvrages sur le numérique . - Je connais bien les critères communs . C'est effectivement devenu un gros mot pour les Américains qui cherchent à remplacer ces critères un peu rigoureux par des choses moins rigoureuses. Est-ce toujours la tentation aujourd'hui d'aller plus vers l'auto-évaluation ?

M. Jean-Pierre Quémard . - Évidemment, c'est un sujet sensible sur lequel je travaille. Je viens de faire ce matin un input paper pour la prochaine réunion du Cyber Security Coordination Group disant que le label européen repose sur les critères communs. Les critères communs sont d'origine européenne, c'est une base d'évaluation internationale. Les Américains, qui veulent un peu rejeter les critères communs, avancent l'argument suivant : même les Chinois sont capables d'évaluer et d'avoir des laboratoires de certification. Nous pensons qu'il faut renforcer et avoir une évaluation tripartite, par celui qui réalise l'équipement, celui qui prononce la certification et le laboratoire d'évaluation. Ce modèle à trois tiers est sain. Je récuse complètement l'auto-évaluation, sinon tout le monde va être standard. Certes, dans certains cas, pour des problèmes de coûts sur des systèmes de moindre risque, on peut avoir ce genre de choses pour des niveaux d'évaluation d'assurance qualité n1 ou n2. Mais pour des niveaux au-dessus de 3, il faut absolument passer par des laboratoires.

Me Éric Caprioli, docteur en droit, avocat à la Cour d'appel de Paris, vice-président du Club des experts de la sécurité de l'information et du numérique (CESIN) . - Vous avez parlé de dix-huit délégués experts qui sont envoyés pour oeuvrer à la normalisation et à la défense des intérêts français au niveau international. Ces dix-huit experts sont-ils financés par leur entreprise ?

M. Jean-Pierre Quémard . - Pas tout à fait. Une convention entre l'ANSSI et l'AFNOR permet d'aider une PME à chaque fois en lui payant ses frais de déplacements, sinon l'essentiel est financé par les entreprises. D'où la difficulté. C'est l'un des trois paiements pour accéder à la normalisation.

Me Éric Caprioli . - Nous participons à des travaux sur certains sujets, via la Fédération nationale des tiers de confiance (FNTC), et ce sont les cotisations des membres qui financent les personnes que l'on envoie, par groupe d'une, deux ou trois personnes, qui viennent défendre les intérêts français sur l'archivage ou des sujets liés à la dématérialisation. Je constate que l'État est relativement absent . De la même manière, quand on doit faire des travaux et les financer au niveau de l'AFNOR, je constate que nous sommes rackettés. On nous a vendu des concepts politiques. Travailler plus pour gagner plus ou travailler plus pour gagner moins mais, dans ce cas, c'est travailler plus à vos frais ! Cette approche est assez surréaliste, d'autant plus que nous envoyons de l'expertise, et donc envoyer de la matière grise qui elle-même paie pour travailler, cela fait un peu beaucoup en termes de charges.

M. Jean-Pierre Quémard . - Nous sommes en phase, c'est tout à fait ce que j'ai dit. C'est pourquoi j'insiste sur cet aspect de la gouvernance de la normalisation. C'est un sujet stratégique. Si l'on ne veut pas être en retard, il y a urgence de mettre en place des modèles différents. C'est vrai de ce que vous faites à la FNTC, dont je connais bien le président, ou de ce que l'on fait à la Fédération des industries électriques, électroniques et de communication (FIEEC) vis-à-vis de l'Union technique de l'électricité (UTE), ou de certaines fédérations professionnelles qui prennent en charge les coûts d'expert. On pallie les défauts du modèle. C'est un emplâtre sur une jambe de bois. Je ne dis pas qu'il faut tout payer. Au sein du comité de filière des industries de la sécurité, on essaie de définir les sujets stratégiques sur lesquels on doit être présent, soit parce qu'il y a une menace sur notre industrie soit parce que nous avons des avantages à défendre et travaillons sur ces sujets-là. On ne peut pas tout embrasser.

M. Philippe Wolf . - Les normes à l'AFNOR sont payantes parce que l'AFNOR se finance avec la vente des normes, ce qui fait que toutes les PME n'ont pas accès à des normes aussi simples que des normes de bonnes pratiques , par exemple l' ISO 2702, qu'il faut payer à des prix hallucinants. Heureusement, on trouve des versions pirates sur Internet mais je trouve que la situation n'est pas très satisfaisante. Que peut-on faire pour avoir des normes gratuites , sachant que les normes du National Institute of Standards and Technology (NIST) sont partout, qu'elles sont gratuites et que vous les trouvez très facilement sur le site de cet institut ?

M. Jean-Pierre Quémard . - Je suis complètement d'accord. En tant qu'industriels, nous nous battons pour demander à l' ISO un certain nombre de normes gratuites. En revanche, l' ISO 2700 est gratuite, mais pas les 2701, 2702, 2703, 2704, 2705... Il y a un palliatif, c'est de passer par l' ETSI , dont toutes les normes sont gratuites. Là encore, vous soulevez le problème de la gouvernance. L'AFNOR est un vrai modèle commercial et il y a un autre effet pervers. Dès qu'on a une petite idée, on crée un nouveau groupe parce qu'un nouveau groupe, c'est une nouvelle adhésion, donc c'est de l'argent qui rentre dans les caisses. Le modèle de l'AFNOR est complètement pervers. C'est un modèle à tuer ! En Allemagne, l'Institut allemand de normalisation ( Deutsches Institut für Normung , DIN ), ne fonctionne pas comme cela. Ni l' ANSI aux États-Unis. Nous sommes les seuls au monde ! C'est l'exception culturelle française.

M. Pierre Lasbordes . - Petite question naïve : Que peuvent faire les politiques par rapport à cela ?

M. Jean-Pierre Quémard . - Simplement changer le modèle en disant que la participation aux groupes de normalisation est gratuite et que l'AFNOR se débrouille autrement. À la limite, je n'ai pas besoin de l'AFNOR pour faire fonctionner mon groupe. C'est simplement un point de passage obligé. Qu'est-ce que m'apporte l'AFNOR ? Rien. Je fais les comptes rendus, c'est moi qui y vais, j'anime les réunions. Ça ne sert à rien.

Me Éric Caprioli . - Vous avez parlé de l' ETSI qui, aujourd'hui, travaille sur plusieurs dizaines de normes dans le cadre du règlement sur l'identification électronique et les services de confiance ( eIDAS ). Quand on contribue, dans le cadre de ces groupes de travail, les enjeux sont fondamentaux puisqu'ils concernent toute la sécurité dans les échanges , et en plus, certains modèles sur l'identité. Heureusement qu'on a l'ANSSI en tout cas pour toute une partie des travaux avec l'Allemagne qui vont certainement nous aider. Mais les participations sont gratuites et la plupart des personnes qui travaillent en tant que Français sont payés par leur entreprise pour aller à Sophia Antipolis ou ailleurs. Ce sont des enjeux stratégiques pour la nation en termes de sécurité. Toutes les entreprises, par exemple les prestataires de services de confiance qui ne sont pas de grosses entreprises, Open Trust , Dictao ... ne sont pas Airbus ou Thales . Elles mobilisent beaucoup d'énergie pour être présentes sur ces marchés. Que faut-il faire par rapport à cela ?

M. Jean-Pierre Quémard . - Je vais répondre sur l' eIDAS que je connais très bien. C'est un exemple qui a très bien marché. Certains pays européens, poussés par certains États, avaient couru le risque d'avoir une identité au rabais. La France s'est mobilisée avec l'ANSSI, l'Agence nationale des titres sécurisés (ANTS), les industriels, on a exercé les pressions qui conviennent auprès de Bruxelles et l'on a réussi à obtenir un règlement qui nous va bien. L' eIDAS est un succès et je pense qu'à la FNTC ils le savent aussi. C'est une bonne base réglementaire qui permet de garantir une identité de bonne valeur. C'est vrai que des sociétés comme Dictao ou Keynectis y participent et que cela leur coûte un peu d'argent. Je milite pour la mise en place d'un vrai crédit d'impôt normalisation. C'est ce que je propose. Mais, par les temps qui courent, dès qu'on parle de crédit d'impôt, on est crucifié. Or, je veux sortir vivant de cette noble arène.

Mme Anne-Yvonne Le Dain . - On ne peut pas non plus en permanence compter sur la puissance publique dès qu'il y a une dépense imprévue.

M. Jean-Pierre Quémard . - Je suis d'accord avec vous. Il ne s'agit pas de demander à l'État de tout gérer à la place des industriels. L'envoi des experts est de la responsabilité des industriels. Je dis simplement : payons une fois, mais pas trois, ce serait déjà pas mal.

Mme Anne-Yvonne Le Dain . - Certes. Mais on sent que le sujet est délicat, compliqué, difficile, et que les avis sont partagés au sein de l'Union européenne. Du côté de la Commission européenne, c'est très éparpillé au niveau des services qui sont concernés par ces questions-là. Il n'y a pas véritablement encore de posture. Elle se construit. L'affaire Snowden y a un peu contribué. Il ne faut pas sous-estimer non plus l'intérêt de l'opération. On sait bien qu'un certain nombre de gens avertis depuis longtemps se posaient ces questions-là. Mais il y a une opportunité qu'on tente de saisir. On sent bien que la position en Europe, par rapport à la détermination américaine, n'est pas stabilisée, en tout cas elle n'est pas claire. Les États-Unis ont une politique, elle s'exprime, elle s'affirme, elle ne se construit pas, elle est là. Et nous, nous essayons en permanence de trouver notre place.

M. Jean-Pierre Quémard . - Je vais reprendre l'exemple de l' eIDAS . On a travaillé en synergie complète avec les Allemands et cela s'est extrêmement bien passé. En Europe, il y a trois niveaux. Sur les problèmes de privacy , je travaille beaucoup avec la CNIL, de façon très étroite, pour définir les normes qui vont bien. Mme Isabelle Falque-Pierrotin a été élue à la présidence du G29 . C'est la France qui montre le chemin , clairement. Nos experts sont bons, on sait faire. Le problème, c'est qu'on se met des semelles de plomb là où il faudrait avoir des chaussures un petit peu plus légères. Et les alliances, on les trouve en Europe. Le chef de la délégation allemande au SC 27 est un copain. Dans 95 % des cas, on est en phase.

Mme Anne-Yvonne Le Dain . - Les grandes entreprises qui utilisent l'Internet pour créer du travail, de l'emploi et du profit ne sont pas européennes. Google , Amazon ou Apple ne sont pas européennes. En tant que parlementaires, nous essayons de construire une pensée. Je ne suis pas dans un débat scientifique, intellectuel ou moral. On vous demande de nous aider à construire notre pensée. Elle n'est pas formée. C'est notre interrogation. Nous sommes face à ces GAFA .

M. Jean-Pierre Quémard . - GAFA , ça fait peur, mais j'ai toujours eu pour principe de ne jamais être victime.

Mme Anne-Yvonne Le Dain . - N'interprétez pas mes propos. Je n'ai pas dit que j'avais peur. Je constate un fait.

M. Jean-Pierre Quémard . - Les faits sont comme ça et je vous assure que dans les instances de normalisation que je pratique, on ne voit pas ces sociétés. Je n'ai jamais vu Google , Amazon , Apple , YouTube .

Mme Anne-Yvonne Le Dain . - Pour les noms de domaine, ils ont leur système auto-organisé qui s'impose à tout le monde, avec beaucoup de brio, et qui est en train de s'installer, avec notre accord, en Suisse. En a-t-on envie ou pas ? Est-ce bien ou pas ? Je ne sais pas. D'un système auto-organisé, doit-on passer à un système supraétatique qui s'organise et qui fait force de loi ? Ce sont de vraies questions.

M. Jean-Pierre Quémard . - Ce sont de vraies questions et je pense que la réponse sur ce genre de problème va être européenne et non française.

Mme Anne-Yvonne Le Dain . - On est bien d'accord.

M. Jean-Pierre Quémard . - Si vous voulez, avançons, émettons des propositions, discutons avec nos partenaires. Ce qui s'est passé au niveau du G29 sur les libertés individuelles, c'est un très bon exemple parce que ça s'applique à tout le monde. Et dans nos groupes de normalisation, on compte parmi nos experts une ou deux personnes de la CNIL qui se défendent. Et on voit les Allemands qui marchent avec, les Espagnols aussi, etc. Il faut créer le mouvement. Il faut y aller !

M. Philippe Wolf, ingénieur général de l'armement, auteur de nombreux articles et ouvrages sur le numérique . - Je vais partager avec vous ma vision d'ingénieur sur le big data et la sécurité. Certains ajoutent la sécurité aux quatre piliers du futur cyberespace que sont le cloud , la mobilité, les réseaux sociaux et le big data . M. Ross Anderson (Université de Cambridge, Computer Laboratory ) résume ainsi la situation : « Les vainqueurs sont ceux qui, dans un premier temps, ignorent la sécurité au profit de la facilité, puis, dans un second temps, verrouillent leur écosystème numérique plutôt que de nous protéger des méchants. »

Les enjeux de sécurité des traitements de masse ne concernent pas principalement le secret, le fameux patrimoine scientifique et technique, mais surtout la vie privée et le libre arbitre qui sont les fondements de nos droits de l'homme. Un rapport de mai 2014 de la Maison Blanche sur le big data pointe le risque, je cite : « Les grandes analyses de données ont le potentiel d'éclipser pour longtemps la protection des droits civils dans la façon dont les renseignements personnels sont utilisés dans le logement, le crédit, l'emploi, la santé, l'éducation et le marché. » Je vais donc essayer de vous convaincre de la nécessité de sécuriser ce big data non seulement par de nouvelles régulations, mais surtout par des réponses techniques qui sont à inventer pour que ces régulations ne restent pas vaines.

Je vais essayer de chiffrer mes exemples sur le big data . L'octet étant la grandeur élémentaire pour coder un caractère, 1 téraoctet (10 ¹² ), c'est un disque dur, 1 pétaoctet quand on a 1 000 de ces objets, l'exaoctet c'est 1 million de fois, le zettaoctet 1 milliard de fois, le yottaoctet 1 trilliard de fois cette capacité. En 2012, 4 exaoctets de données ont été générées, soit plus que dans les 5 000 années précédentes. Cela va croître d'un facteur 70 d'ici 2020. Un humain va absorber au plus 40 pétaoctets dans sa vie. C'est à rapporter aux 200 yottaoctets qui seront manipulés par Internet durant 60 ans. Le rapport est ici d'1 milliard. Mais ce n'est que le début du big data . Avec le big data , il y a aura mille fois plus d'objets connectés que d'humains. Des voitures, des caméras, des machines industrielles, des équipements médicaux, etc., seront connectés et généreront en temps réel des données bien plus massives que celles disponibles aujourd'hui.

Dans le champ scientifique, le philosophe Bernard Stiegler a dit tout à l'heure que notre vieille démarche de l'induction est morte ou va mourir par le big data . Dans le passé, il s'agissait de confronter les théories imaginées aux observations. Aujourd'hui, avec des téraoctets de données, on ne peut plus effectuer cette confrontation à la main. Il faut donc exprimer la théorie sous une forme prédictive, c'est-à-dire algorithmique. Si l'on veut se servir des observations pour imaginer des théories, il faut un traitement informatique que l'on appelle l'apprentissage automatique. La nouvelle science qu'on nous annonce consiste donc à concevoir des algorithmes permettant de construire des théories à partir des observations. On pourra même se passer des hommes au profit des robots.

Deux exemples dans le champ ouvert des sciences fondamentales. D'abord, le nouveau collisionneur du CERN produit 15 pétaoctets de données chaque année. La découverte du boson de Higgs va illustrer la recherche d'une aiguille dans une botte de foin. Cette recherche a nécessité une grille de 200 centres de calcul, soit 500 000 ordinateurs et 200 pétaoctets de stockage sur disque.

Si l'on prend l'humain, le séquençage d'un génome est égal à 3,4 milliards de paires de base, soit 1 gigaoctet. Vous pouvez mettre 1 000 ADN dans cet objet. Par manque de moyens financiers, les trois banques publiques ne permettent plus l'exhaustivité d'accès qui était l'idée de base. Une multitude de banques privées se mettent en place avec la création de 178 banques privées en 2013. Une première crainte est une marchandisation du vivant qui va réapparaître très vite à travers ces banques privées.

Dans le champ du renseignement , je vais utiliser un seul élément des révélations de Snowden. C'est le programme d'écoute de fibre optique Dancing Oasis de la NSA . Il effectue 57 milliards d'enregistrements par mois, soit 684 milliards par an. Le programme chargé de trier ces données s'appelle Cissor . Un câble de fibre optique transporte 25 pétaoctets de données par jour. Après un premier tri protocolaire, environ 3 à 6 pétaoctets sont traités par les calculateurs de la NSA tous les jours. Après traitement et analyse, il reste à la fin 50 téraoctets par an, ce qui n'est pas grand-chose, c'est vraiment la substantifique moelle de ce qui a traversé cet ensemble de fibre optique (celle-ci équipait le Moyen-Orient vers des pays intéressant les États-Unis). On peut noter l'efficacité réductrice des traitements de la NSA . Le nouveau centre de stockage de la NSA dans l'Utah aurait une capacité de stockage entre 3 et 12 exaoctets, c'est-à-dire des millions de téraoctets. Avec l'aide de 10 000 RAM de serveurs, la NSA a les moyens de stocker toutes les communications.

Dans le champ de la mercatique, c'est « big data is big value ». Savez-vous par exemple que chaque publicité ciblée fait l'objet d'un marchandage mondial en moins d'une demi-seconde ? C'est Google qui est au coeur de ce système. Il a donné naissance à de nouveaux métiers : les data brokers ou courtiers en données , qui vont rafler et analyser toutes les données personnelles que nous éparpillons sur la Toile et ailleurs.

Un récent rapport de la Federal Trade Commission de mai 2014 s'inquiète de la non-régulation de ces courtiers. Ils ont quatre cibles de métiers : la première, c'est bien sûr la mercatique, la publicité ; la deuxième, c'est la vérification d'identité ; la troisième, c'est la détection de fraude ; et la quatrième, c'est la recherche de personnes. Celle-ci marche bien aux États-Unis puisque c'est un pays sans état civil.

Dans le champ de la finance, je vais vous donner des chiffres sur le high-frequency trading ou boursicottage de très haute fréquence . En bourse, aujourd'hui, le temps moyen d'exécution d'un ordre, c'est une seconde. Dans le high-frequency trading , une transaction, c'est cinq microsecondes. Le record actuel est à 740 nanosecondes. En 2012, plus de la moitié des ordres transitaient par les robots du high-frequency trading . Cela a encore augmenté aujourd'hui et va aller vers les 95 % très vite. On dit que dans le high-frequency trading, une milliseconde gagnée, c'est 100 millions de dollars gagnés . Le délit d'initié, c'est-à-dire avoir une information avant les autres, ça se monnaie, ça se joue à la seconde pour des clients premium qui paient un peu plus. Parfois, une information donnée deux secondes avant suffit pour ces robots. Des physiciens mettent en équation « l'éconophysique », une nouvelle branche de la physique qui vise à localiser physiquement ces machines et routeurs au plus près des salles de marché qui sont virtuelles aujourd'hui.

Le champ sociétal est sûrement le plus prometteur. Voici un exemple d'analyse des données urbaines dans une ville intelligente à partir du cas des pompiers de New York . Sur le million d'immeubles que compte New York, environ 3 000 prennent feu chaque année. Depuis juillet 2013, les pompiers de la ville ont mis en place un algorithme qui analyse 60 facteurs de risques d'incendie. Les 341 unités de pompiers de la ville doivent inspecter au total 50 000 immeubles par an. Leur algorithme établit un score de risques pour les 330 000 immeubles de New York et cela fournit aujourd'hui la feuille de route des priorités pour leurs visites hebdomadaires. L'an prochain, ou dans deux ans, on aura le retour sur l'efficacité de traitement de ces données massives.

Un dernier exemple sociétal, c'est la cartographie des épidémies de grippe . Des études très sérieuses ont montré que Wikipédia est plus efficace pour faire de la cartographie que Google . Il s'agit simplement de prendre en compte le nombre de gens qui font des recherches autour de la grippe. Et il a été prouvé scientifiquement que c'est beaucoup plus efficace pour prévoir les épidémies de grippe que les données produites par les organismes spécialisés en recherche médicale ou en santé publique. Dans le domaine de la santé, le big data aura un effet majeur.

Le risque, c'est de prendre pour des oracles des prédictions produites par des ordinateurs à partir de théories trop complexes pour être comprises. Et donc il faut faire très attention aux biais cognitifs qui sont produits par l'exploitation des données massives.

Je vois trois paradoxes dans le big data . Premièrement, le paradoxe de la transparence. On annonce partout que la protection des données personnelles est morte. M. Vint Cerf, l'un des créateurs d'Internet employé par Google , l'a dit : « privacy is dead ». Nos données personnelles deviennent transparentes. Et donc les traitements opérés par le big data devraient aussi l'être. Mais ce sont des écosystèmes numériques fermés qui vont manipuler avec le secret le plus absolu ces données personnelles. Et les décisions prises par les robots de surveillance sont totalement opaques.

Je vais illustrer ce paradoxe de la transparence avec les GAFA , même s'il ne faut jamais oublier ces vieux acteurs comme Microsoft et IBM . Google s'appuie sur la recherche en psychologie cognitive pour mieux atteindre son but qui est d'amener les gens à utiliser leur ordinateur avec plus d'efficacité. Cette société ne sera pas satisfaite tant qu'elle ne disposera pas de 100 % des données de ses utilisateurs. Je cite là quelqu'un qui travaille chez Google .

Deuxièmement, le paradoxe de l'identité . Le droit à l'identité nécessite le libre arbitre. Mais les robots-programmes du big data , qui fonctionnent déjà, vont chercher à identifier qui nous devons être , qui nous devons aimer, ce que nous devons consommer, ce qui nous est interdit, jusqu'à influencer nos choix intellectuels et nous faire perdre notre identité . Les robots produisent ces résultats-là. Par exemple, dans les révélations de Snowden, on apprend que le programme Synapse de la NSA vise à stocker, pour chaque internaute, 94 critères d'identité : numéro de téléphone, emails , adresse IP , etc. ; on n'a pas toute la liste. Ils vont permettre d'y corréler 164 types de relations : profilage par les réseaux sociaux, paiements électroniques, profils d'intérêt, déplacements, géolocalisation, etc. C'est l'identité au sens de la NSA .

Troisièmement, le paradoxe du pouvoir . Le big data est censé nous fournir une boîte à outils pour mieux comprendre le monde. Mais ces robots ne sont pas entre les mains des individus mais d'institutions intermédiaires qui ont le pouvoir de manipulation. Le big data va donc créer des vainqueurs et des vaincus. Par exemple, dans le high-frequency trading , les vainqueurs sont déjà connus. Les vaincus, ce sont les petits porteurs, ils n'ont plus aucune chance dans ce monde-là, dans cette bataille de robots. Les techniques utilisées par les robots ont des noms évocateurs. Pour la plupart, elles sont offensives et bientôt destructives. Dans le high-frequency trading , la dérégulation se fait presque exclusivement au niveau des acteurs. Plus personne n'arrive à comprendre ce qui s'y passe.

Je vais prendre un exemple de ce qu'on appelle un feu de brousse médiatique. C'est un faux tweet de l' AFP qui a été reçu par les 2,5 millions abonnés de l' AFP le 23 avril 2013, à 13 h 07 et 50 secondes, qui annonce un attentat à la Maison Blanche, dix jours après les attentats de Boston. Le piratage sera d'ailleurs revendiqué par l'armée électronique syrienne. Entre 13 h 08 et 13 h 10, le Dow Jones va perdre 147 points, soit 136 milliards de dollars de capitalisation. 105 milliards d'euros. À la fin de la journée, le Dow Jones finit en hausse de 1,5 %. L'argent a donc changé de main, il n'a pas été détruit. Une enquête a été ouverte par le FBI et la Securities and Exchange Commission (SEC) pour essayer d'éclaircir un doute sur vingt-huit contrats à terme. Je n'ai pas vu encore les résultats de cette enquête. Il y a deux hypothèses. Soit il s'agit d'un emballement algorithmique autonome soit c'est une des prises de décision humaine sous la peur pendant les 17 secondes avant la réaction des robots logiciels qui a amplifié la peur.

Après l'intervention de la ministre en charge du numérique, nous verrons les solutions pour sécuriser le big data . Pour en savoir plus sur le high-frequency trading , je vous invite à lire Le nouveau capitalisme criminel , de Jean-François Gayraud, commissaire divisionnaire de la police nationale. Il donne l'équation suivante : très grande vitesse multipliée par très grands volumes égale invisibilité. Dans le jargon populaire, on dirait : plus c'est gros, plus ça passe.

M. Bruno Sido . - Nous sommes ravis d'accueillir Mme la ministre en charge du numérique. Je précise que Mme Anne-Yvonne Le Dain et moi-même préparons un rapport sur la sécurité numérique, une question importante que nous découvrons audition après audition depuis presque un an. Nous nous limiterons à une analyse des données générales sur la sécurité numérique et à deux applications, l'une relative aux entreprises du secteur l'énergie, et l'autre à celles du secteur des télécommunications. Notre rapport devrait sortir à l'automne prochain.

Je ne doute pas que ces sujets intéresseront nos collègues tant il est vrai que l'OPECST est chargé de les éclairer sur un certain nombre de sujets scientifiques et technologiques qui vont de la biotechnologie à la sécurité numérique, en passant par le nucléaire et bien d'autres encore. À l'occasion des projets et propositions de lois qui peuvent venir en discussion, nos rapports constituent déjà une bonne base de réflexion. Même s'ils ne sont pas forcément à jour, parfois ils datent déjà de un an ou deux, c'est le rôle des commissions et des rapporteurs de les actualiser. Les dix-huit députés et dix-huit sénateurs qui composent l'Office travaillent d'une façon apolitique sur ces sujets très importants.

Mme Anne-Yvonne Le Dain . - Je souligne que, ce matin, le travail a été accompli avec une grande liberté de ton, dans des perspectives à la fois techniques, juridiques, intellectuelles, morales, philosophiques, sur la manière dont l'Union européenne se positionne sur ces questions-là. Non seulement nous voulons conduire une analyse de risques mais également envisager que cela puisse être une opportunité, un chemin sur lequel nous devons nous positionner de manière élégante et vive, y compris en termes de vocabulaire.

Le recours à la loi peut être une solution, une opportunité, dans la mesure où il s'agit de se ménager des possibilités d'ouvrir des portes, tout en précisant les conditions des retraits, des difficultés et des recours. C'est délicat, complexe, mais c'est important, parce que, en ce début du XXI ^e siècle, nous sentons bien que nous nous trouvons au coeur d'une révolution considérable, touchant à la fois à la démocratie mais aussi au modèle économique et social, avec la manifestation d'une grande inquiétude : la puissance des machines, la puissance du soft , la puissance du hard , et, derrière, le grand néant de l'oisiveté.

Mme Axelle Lemaire, secrétaire d'État chargée du numérique, auprès du ministre de l'économie, du redressement productif et du numérique . - Je remercie Mme la députée Le Dain et M. le sénateur Sido pour cette invitation. J'ai bousculé mon agenda ministériel pour être parmi vous pour deux raisons.

D'abord pour témoigner de l'importance que j'attache aux travaux de l'OPECST. Je trouve très important que le Parlement se penche sur les évolutions technologiques avec l'approche qui est la sienne, qui n'est pas forcément celle d'une expertise technique authentique, mais qui consiste à recontextualiser les débats qui traversent à l'heure actuelle notre société, avec l'oeil du législateur et l'oeil du politique, de façon à opérer cette traduction entre la technique, le monde scientifique d'une part, et le grand public d'autre part. C'est donc une mission très importante que vous conduisez.

La deuxième raison de ma présence est liée au sujet que vous avez choisi de traiter. J'attends avec impatience les conclusions qui paraîtront dans votre rapport à l'automne prochain. Il est vrai que, pour traiter de la sécurité des réseaux numériques, on aborde classiquement ce sujet technique par technique, secteur par secteur, en oubliant d'avoir une approche globale et une vision politique et stratégique sur ces thématiques.

Ma venue a été organisée en dernière minute. Vous me pardonnerez donc le caractère peu structuré mon propos - ce qui est contraire à la manière dont j'aime opérer d'habitude.

Je voudrais aborder ce sujet sous deux angles : le premier, c'est la sécurité en tant que telle et surtout la sécurité des systèmes d'information ; le second, c'est la question de la confiance numérique de manière plus globale.

La sécurité des systèmes d'information , notamment celle des réseaux des opérateurs d'importance vitale (OIV), est une obligation qui pèse désormais sur les infrastructures en France puisque le cadre réglementaire a été récemment rénové. Auparavant, les opérateurs télécoms devaient garantir la sécurité des systèmes d'information utilisés par les entreprises selon des normes définies par les autorités françaises à un niveau élevé de sécurité. Cette obligation a été étendue à tous types d'infrastructures relevant des OIV, à savoir dans les secteurs de l'énergie, des transports et de l'eau. On dépasse le champ de départ des télécoms pour couvrir un champ plus vaste d'infrastructures, le coeur de cible restant les grandes entreprises privées qui travaillent dans les réseaux, avec une idée : lorsque ce réseau tombe en panne ou s'il fait l'objet d'une attaque et qu'il est mis en danger, il est primordial que l'État, en lien avec l'acteur concerné, puisse réagir rapidement et protéger le système d'information pour des raisons économiques et de sécurité nationale.

Cette obligation a été l'objet, entre autres, de la loi de programmation militaire qui étend à un ensemble d'OIV les exigences de sécurité qui étaient initialement applicables aux télécoms . Ces OIV ont l'obligation de notifier toutes les attaques à l'ANSSI, et, si le cas se présente, l'ANSSI a alors la capacité de prendre la main sur les systèmes d'information . L'État devient en quelque sorte gestionnaire d'un système, ce qu'il ne faut surtout pas confondre avec un État qui utiliserait des données.

Sur ce point, on sent une certaine confusion dans les esprits par moment. Nous ne sommes pas dans l'hypothèse d'un État qui utiliserait des données transmises, par exemple par des opérateurs de téléphonie mobile, et qui peuvent concerner des citoyens, pour des raisons de sécurité nationale. Non, lorsqu'on parle de la sécurité des réseaux des OIV, on parle bien des systèmes d'information. En cas de problème avéré, l'État se substitue à l'opérateur pour garantir l'intégrité des systèmes d'information sans pour autant regarder le contenu de l'information détenue par l'opérateur.

Cette évolution est la plus récente au niveau national. Au niveau européen , une directive importante est en cours de négociation. Elle a d'ailleurs fait l'objet de discussions lors du dernier Conseil européen consacré aux télécoms qui réunissait l'ensemble de mes homologues à Bruxelles. Le Gouvernement français a une demande concernant cette directive européenne sur la sécurité des systèmes d'information. En effet, les Over-The-Top (OTT) , c'est-à-dire les grandes plates-formes numériques, ont aujourd'hui, de par leur couverture économique et le nombre d'utilisateurs concernés par les services offerts, un rôle stratégique tout aussi important pour l'économie et la sécurité de notre pays que celui des OIV dans leur définition plus classique.

Très concrètement, si les serveurs de Google venaient à être attaqués ou à tomber en panne, les conséquences seraient tout aussi dramatiques que pour des OIV plus historiquement classiques . Et donc, sur cette question, l'une des revendications du Gouvernement français est de passer d'une approche traditionnelle d'infrastructure à une approche étendue aux services .

Cette approche se décline aussi dans d'autres domaines. Plus largement, l'enjeu est celui d'une reterritorialisation des problématiques. À partir du moment où l'on veut imposer un niveau élevé de sécurité, de protection des données, imposer sur le territoire la valeur créée par les usages numériques, il y a toute une série de problématiques qui font que, de manière générale, dans les négociations au niveau européen, le Gouvernement français cherche à inclure de plus en plus les Over-The-Top dans les négociations.

Le Gouvernement agit aussi sur l'offre industrielle en la matière. Cela ne concerne peut-être pas directement la manière dont vous avez conçu le sujet mais vous serez sans doute intéressés, puisque j'ai récemment piloté le plan industriel qui, parmi les trente-quatre plans de la Nouvelle France industrielle , est consacré à la cybersécurité . Ce plan vise à la fois à développer une filière de l'offre industrielle française en matière de sécurité et à aider à articuler la demande sur ce marché. J'aimerais vous en présenter rapidement les contours.

Il s'appuie sur une réalité souvent méconnue, la présence sur notre territoire d'acteurs industriels d'envergure mondiale et des PME très performantes dans des secteurs très pointus de la sécurité des systèmes d'information . Ce plan réunissait ces acteurs qui ont travaillé en bonne concertation avec l'administration et les responsables politiques pour faire des propositions assez concrètes. De ce plan est né l'idée d' un label France , qui permettrait aux acteurs français de recevoir une reconnaissance et une visibilité, qui est demandée, et qui pourrait les aider à les accompagner y compris en dehors de nos frontières.

La piste d'une meilleure orientation de la recherche et du développement a également été évoquée, qu'elle soit privée ou publique, pour faciliter l'industrialisation et pour permettre aux acteurs du secteur de conserver une réelle avance technologique.

Enfin, à l'autre bout de la chaîne, nos entreprises comme nos administrations doivent aussi être sensibilisées aux enjeux de la cybersécurité . Et là, nous nous situons plutôt du côté de la demande. Or, ce que l'on constate, c'est que l'offre industrielle reste souvent très pointue, assez chère, et qu'elle répond à des demandes et des besoins spécifiques, quasiment à la commande. De ce fait, elle est accessible aux grandes entreprises. Certaines en font usage avec raison, comme Thales , Airbus , Capgemini par exemple. Et puis, à l'opposé du spectre, nos PME ont besoin d'être en capacité d'accéder aux services offerts par les entreprises spécialisées dans la cybersécurité . Mais ce n'est pas une priorité pour elles parce que souvent elles méconnaissent les risques liés à l'utilisation des outils numériques. Un gros effort de pédagogie est à faire sur ce sujet. Pour cela, il faut, à l'échelle de la demande industrielle, améliorer la qualité et la fiabilité des services qui peuvent être rendus aux petites entreprises.

J'en viens maintenant au sujet plus large de la confiance dans le numérique puisque, dans le cadre de mon intervention, on m'a demandé de parler du risque. Il est vrai que le numérique est souvent approché sous l'angle du risque de manière un peu anxiogène. C'est un lieu commun de dire que le numérique est partout, qu'il occupe une place croissante dans nos vies, dans le fonctionnement de nos économies, dans la société de manière générale, et que ce nouveau monde est une source d'inquiétudes bien réelles dans le ressenti des citoyens. Un sondage récent indique que 77 % des Français sont inquiets de l'usage qui pourrait être fait de leurs données personnelles .

Face à des technologies très réactives, en évolution constante et rapide, face à ce monde des données, des protocoles et des flux, qui peut être perçu comme une sorte de boîte noire qui avale nos données, quel niveau de confiance l'État peut-il garantir , notamment lorsque cela concerne des informations dites sensibles ou personnelles, sachant que les flux d'informations échangées sont de plus en plus importants ?

Il faut rappeler que, dans ce nouveau monde, nous ne sommes ni des victimes ni des témoins passifs de ces changements technologiques rapides. Il revient à l'État, aux pouvoirs publics, d'être vigilants, de sanctionner les abus mais aussi d'apporter tous les outils qui permettront d'instaurer la confiance dans le numérique. Elle est essentielle pour les citoyens, pour s'éloigner de ce sentiment de dépossession qui est réel. Elle est aussi nécessaire pour l'économie, et ce, pour deux raisons. Par exemple, pour acheter sur Internet, il faut avoir un niveau de confiance suffisant dans les outils. Le franchissement de l'achat sur Internet semble avoir été une étape réussie en France puisque 80 % des Français ont fait au moins une fois dans leur vie un achat sur Internet. Cela a pu se faire parce qu'il y a plus de dix ans, l'État a mis en place les outils nécessaires à la construction d'une confiance économique.

Aujourd'hui, la donne a de nouveau changé et, de nouveau, il faut se donner les outils pour créer cette confiance. Ces outils existent. Ils sont connus. Je suppose que les experts que vous avez auditionnés vous ont parlé de l'arsenal législatif et réglementaire qui existe en France, notamment pour protéger les données personnelles. Cet arsenal devra faire l'objet d'une actualisation du fait des technologies qui sont rapidement apparues. J'ai entendu quelqu'un citer les objets connectés. Effectivement, ils vont se multiplier. Dans quelques années, les objets pourront utiliser les flux de milliards de données. C'est également vrai avec l'industrie du big data , une industrie qui intéresse beaucoup de nos entreprises en France. Nous avons, dans certains secteurs du big data , une réelle avancée technologique.

Il faut à la fois construire la confiance pour que les citoyens se sentent protégés, mais aussi parce que la France et l'Union européenne ont une carte à jouer dans la compétition internationale actuelle au sein de l'industrie numérique . Je crois que c'est ce que sous-entendait Mme Le Dain. Il se trouve que nous avons des entreprises qui ont su développer des solutions technologiques qui offrent des outils protecteurs et des outils promoteurs de la confiance grâce à un cadre réglementaire sécurisé.

Tout l'enjeu du projet de loi numérique consistera à actualiser le régime juridique de la protection des données pour que l'innovation qui se fait en France autour de la donnée ne soit pas freinée, tout en conservant un haut niveau de protection des données de nos concitoyens, en réponse à une demande très forte de la population.

Dans ce domaine, l'Union européenne a un rôle très important à jouer. Certes, je parle de la France mais les flux de données sont internationaux. Internet, par définition, est universel et sans frontières. On sent bien que la France, si elle agissait seule en ce domaine, aurait du mal à s'imposer vis-à-vis d'acteurs géants qui ont une stratégie économique et politique et une force de frappe supérieure.

D'où l'importance des négociations, en particulier autour du partenariat transatlantique , où la question des données est diffuse mais omniprésente dans les chapitres de la négociation. D'où l'importance des négociations en cours sur le projet de règlement communautaire sur les données personnelles , par exemple. Là aussi, il y a une spécificité française qui consiste à offrir un cadre élevé de protection des données personnelles. Tout l'enjeu consiste à convaincre nos partenaires européens que ce cadre protecteur n'est pas un handicap dans la compétition internationale mais que, au contraire, il peut être un atout.

Voilà les enjeux qui sont les nôtres. J'ai essayé de poser dans des termes assez globaux la question qui m'avait été transmise.

Mme Anne-Yvonne Le Dain . - Mme la ministre a été particulièrement claire, précise et ouverte. Je crois que cela nous convient bien. Probablement que, dans le corps des textes que nous serons amenés à écrire, nous devrons affiner et préciser certains éléments. Émanant de l'Assemblée nationale ou du Sénat, ces textes ont une valeur bien plus que symbolique. Quelqu'un a-t-il une question à poser ?

M. Jean-Pierre Quémard . - Vous avez fait allusion, madame la ministre, au plan 33 et à l'Alliance pour la confiance numérique (ACN). Il s'avère que je préside l'ACN et que j'ai largement contribué au plan 33 de la Nouvelle France industrielle. Je voudrais simplement attirer votre attention sur un point que vous n'avez pas mentionné, mais dont on a parlé dans ce groupe. Il s'agit du recours à la normalisation et à la standardisation. C'est quelque chose de très important dont nous aurons probablement l'occasion de reparler.

Je voudrais également attirer votre attention sur l'évaluation de la certification et de l'utilisation des technologies. Comme j'ai déjà eu l'occasion de le dire, une technologie n'est pas bonne ou mauvaise, elle doit reposer sur un modèle à trois composantes : une réglementation, une normalisation et une évaluation . Ces principes-là s'adressent aussi bien au Security by design qu'au Privacy by design. Ce sont des choses extrêmement importantes pour pouvoir développer une activité française exportatrice.

Dernier point, il faut faire attention dans le domaine de l'usage des technologies. En ce moment, nous avons quelques doutes sur des projets de loi relatif à la biométrie , etc., qui auraient tendance à nous mettre dans un coin en imposant des réglementations françaises bien plus dures que ce qu'on peut trouver partout ailleurs dans le monde. Par exemple, interdire complètement la biométrie, pour nous, c'est extrêmement dangereux, cela bride toute la recherche et toute innovation . Il faut donc faire extrêmement attention. C'est le rôle des industriels de tirer la sonnette d'alarme sur ces sujets, mais je suis sûr que vous en êtes tout à fait consciente.

Mme Axelle Lemaire . - Vous avez raison de souligner l'enjeu de la normalisation . C'est effectivement une attente forte de la part de la filière de la cybersécurité en France. J'espère qu'elle pourra être entendue parce que là aussi, la bataille des normes se joue chez nous mais elle se joue surtout au niveau international . La reconnaissance par la normalisation et par le respect de normes est tout à fait importante. Elles sont négociées dans un cadre européen dans lequel la France peut être entendue.

Quant à la biométrie , là aussi, nous avons quelques champions français en ce domaine. Alors, oui, des initiatives parlementaires visent à préciser par la voie législative un cadre qui jusqu'à présent a été surtout élaboré par la CNIL. L'usage de la donnée biométrique est potentiellement contesté par le grand public, lequel n'est pas toujours au fait du niveau d'intrusion, existant ou non d'ailleurs. Souvent nous sommes dans une perception un peu irrationnelle. Mais le rôle du législateur est aussi d'identifier les réticences du grand public. Et j'ai noté certaines réticences, notamment lorsque l'usage des données concerne les enfants . Il y a eu un débat sur la possibilité qui devra être laissée, ou pas, aux enfants par exemple, de payer leur repas dans les cantines en utilisant la paume de la main comme lecteur de leurs données pour identification. C'est un exemple de déclinaison d'usage de données biométriques qui heurte une certaine partie de la population. À mon sens, le législateur a toute légitimité à l'entendre.

Là encore, un équilibre est à trouver. L'innovation est absolument essentielle en ce domaine, je pense notamment aux moyens de paiement, où, là aussi, la France a des atouts certains. Je pense à l'accès aux bâtiments. Les déclinaisons possibles de l'usage des données biométriques sont aujourd'hui nombreuses, elles le seront demain bien plus encore. Il est important de ne pas s'exclure de la course internationale du fait d'un régime législatif qui serait trop rigide.

Je crois que les parlementaires ont compris ces enjeux. Un groupe de travail a d'ailleurs été mis en place sous l'égide du ministère de l'économie, du redressement productif et du numérique, avec les parlementaires et avec la CNIL, pour voir comment les préoccupations citoyennes peuvent être entendues, comme celles des acteurs économiques.

M. Bruno Sido . - Je vous remercie, madame la ministre, d'avoir apporté votre éclairage sur nos travaux et sur la politique du Gouvernement en la matière. Nous revenons maintenant à la suite de l'intervention de M. Philippe Wolf.

M. Philippe Wolf . - Comment essayer de sécuriser l'exploitation des données massives ou big data ? Il y a deux écoles. L'une considère qu'il n'y a rien de neuf, qu'il s'agit de sécurité des systèmes d'information classique avec un effet volume. Je vais essayer de vous prouver qu'il existe une autre façon d'aborder ces choses qui réclament une toute nouvelle manière de sécuriser les systèmes d'information.

Je vais vous parler d'un certain nombre de technologies où tout un ensemble de très petites entreprises ou de très petites structures sont très dynamiques en France. Aujourd'hui, on a beaucoup d'inventivité, le seul problème étant de mettre toutes ces briques-là ensemble pour aboutir à des offres plus globales.

Les problèmes de sécurité liés au big data sont multiformes. Ils dépendent de l'origine des données (on a parlé de l' open data , de données privées, mixtes), de la loyauté de leur recueil (c'est souvent un problème), de la présence ou non, directe ou indirecte, de données personnelles (c'est plus facile quand il n'y en a pas), de l'objectif poursuivi (dans le cas du bien commun scientifique, on met tout en ligne, dans le cas de l'avantage concurrentiel, il faut tout protéger), de la transparence ou de l'opacité des buts poursuivis (dans le high-frequency trading , on est plutôt dans l'opacité), des infrastructures publiques, privées, mixtes, de stockage et de calcul, et du caractère, ouvert ou fermé, des traitements algorithmiques.

Les attaques contre le big data sont multiples. Ce sont toutes les attaques classiques, les atteintes contre les infrastructures, mais aussi, et c'est nouveau, les usages détournés de calculs, des clonages de masse frauduleux, des falsifications, parfois partielles, des données, de la manipulation de l'information ou désinformation.

Dans le big data se joue une nouvelle algorithmique , les modèles no-SQL . On appelle cela le modèle du sujet - verbe - complément. Ils sont plus souples que les modèles figés d'une base de données et cela va être très intéressant pour les moteurs de recherche sémantique . On est très fort en France sur ce type de moteurs. Par exemple, la société Pertimm fait le logiciel e-Dating du site Meetic , qui marche bien.

Derrière ces données, derrière cette algorithmique, on met souvent quatre V : Volume - Variété - Vélocité - Véracité. Ils obéissent aux limitations de deux théorèmes qui ont été démontrés en 2002. On peut les rapprocher d'un vieux théorème que j'enseigne souvent, le « théorème du virus » de 1986, selon lequel la malveillance d'un code informatique est indécidable , et donc on va traîner ce problème jusqu'à la fin des temps.

Ces théorèmes sont intéressants parce qu'ils rendent nécessaires la présence de l'homme dans les algorithmes utilisés par le big data . On aurait pu penser qu'il n'y a plus d'homme dans la boucle, mais il va falloir régler certains paramètres.

Derrière ce big data , on a de nouveaux dangers . Les protections périmétriques et la surveillance interne des traces ou des comportements sont nécessaires mais ne suffisent plus. J'appelle cela le mythe des lignes Maginot . La virtualisation et l'ubiquité sont constitutives des architectures massives. Cela va augmenter les surfaces d'attaques, les délocaliser. Le big data s'attaquera partout dans le monde. Les efforts et les budgets de sécurisation devront se concentrer sur les données les plus sensibles . Le nomadisme, ou le fait que les salariés ont tout sur leur smartphone dans les entreprises, va obliger toutes les autres données à une transparence forcée. Les vieux modèles de sécurité statique ont quarante ans. Ils sont obsolètes aujourd'hui.

Alors que faire ? Innover. Et il faut innover dans les trois fonctions classiques de la sécurité des systèmes informatiques (SSI) que sont la disponibilité, l'intégrité et la confidentialité . Je vais les prendre un peu systématiquement.

La condition de base, c'est de sécuriser les infrastructures qui traitent le big data . En majorité, le big data va se faire dans le nuage numérique ou cloud . On a déjà beaucoup parlé du cloud maîtrisé - je n'ose plus parler du cloud souverain. Cette sécurité obéit à quatre conditions : faire appel à des prestataires de confiance ; être capable d' auditer réellement la solution dans un temps court ; avoir la garantie de réversibilité (en pouvant changer de prestataire sans perte et en récupérant ses données) ; et surtout rédiger les contrats sous la protection du droit national . C'est la chose importante et la seule à retenir sinon on ne pourra jamais gérer le risque juridique.

La deuxième condition, c'est de marquer les données. Je vous donne l'exemple d' Accumulo , un système de gestion de base de données qui a été créé par la NSA et qui a été légué à la fondation libre Apache en 2011. Ce logiciel utilise le système de fichier Hadoop qui définit des mécanismes de sécurité au niveau des cellules. Si vous ne marquez pas les données, vous ne pourrez jamais sécuriser le big data . Autrefois, on appelait cela la labellisation des données. J'ai déjà trouvé des sociétés américaines, pas encore des sociétés européennes, qui offrent des solutions intégrées de cryptographie du big data autour de ce système de marquage des données.

La troisième condition, c'est de protéger les données dites sensibles . Dans le cas du big data non ouvert, privé, la confidentialité des données stockées ne pose pas de problème particulier, c'est-à-dire qu'on peut aller les stocker n'importe où dans le monde et il n'y a pas de problème par rapport au fait de devoir les localiser en Europe . Il faut cependant garder la capacité de gérer ses propres clés de chiffrement ou de signature , de préférence dans un coffre-fort numérique labellisé, ou en confier la gestion à des tiers réellement de confiance.

En revanche, pour rendre confidentiels les calculs, il manque aujourd'hui un ingrédient essentiel qui serait une implémentation pratique du chiffrement dit « homomorphe » , qui donnerait le moyen de réaliser diverses opérations sur le chiffré sans recourir à l'opération de déchiffrement complète. En 2009, il y a eu une avancée considérable dans le domaine de la cryptographie malléable, après vingt-cinq ans de recherche. De temps en temps, un verrou saute. On a une rupture. Depuis, les choses vont très vite et des solutions apparaissent déjà. J'ai vu par exemple au CEA fonctionner les premiers logiciels homomorphes. Cela va nécessiter de reconcevoir toute une algorithmique adaptée, comme pour les hypothétiques calculateurs quantiques ou ADN.

Le seul problème du chiffrement homomorphe, c'est qu'il est tellement compliqué que le public ne comprendra jamais rien. Il y a un problème de compréhension des usages. Je ne peux plaider que pour la formation au numérique depuis la maternelle . C'est essentiel et je le répéterai toujours. Si on ne le fait pas, on est perdu. L'Académie des sciences s'en est ému, tout le monde s'en est ému. L'Angleterre et les États-Unis bougent, il faut que ça bouge en France aussi.

Ces nouvelles techniques cryptographiques vont permettre de réinventer la notion d'intégrité . L'intégrité stricte n'est plus nécessaire quand il s'agit de manipuler des données non structurées, parfois faussées ou incomplètes, ou de travailler principalement par échantillonnage. J'appelle cela une tolérance au flou, au calcul approché et aux mutations, qui va rompre le clonage binaire parfait. Ils sont les ingrédients porteurs d'une meilleure adéquation du big data au monde réel. Le monde réel n'est pas un clonage parfait. Et le big data est censé nous aider à mieux comprendre le monde.

Cette nouvelle intégrité devrait nous aider à vérifier les divers paramètres d'une donnée : attributs, granularité fixée initialement, accessibilité, authenticité, contrôle des finalités, dont la dissémination.

Parmi les applications, on a parlé de la biométrie . Le stockage sûr et centralisé des données biométriques est déjà proposé au Japon. On sait aujourd'hui constituer une base biométrique centralisée, protégée, dont la perte n'a pas de conséquences. C'est une grande nouveauté qui va changer la donne.

À partir de ces briques de base, on va pouvoir construire de nouvelles fonctions de sécurité. Un pan croissant du big data touche aux données personnelles qui sont souvent son carburant premier. Les progrès des moteurs de recherche intelligents permettent d'identifier facilement une personne à partir d'un nombre très réduit de caractères, cela d'autant plus que notre intimité est mise à nu dans les réseaux sociaux. Les croisements de données permettent des attaques sémantiques qui ne visent pas que les protections théoriques mais leur implantation pratique.

Pour répondre à ce risque, les critères communs dont on a parlé tout à l'heure ont introduit, dès 1999, quatre fonctions de sécurité pour la protection des données personnelles : l'anonymat, le pseudonymat, l'impossibilité d'établir un lien et la non-observabilité. Le pseudonymat par exemple est impératif dans tous les traitements massifs concernant la santé humaine.

Ces fonctions font l'objet de travaux algorithmiques novateurs principalement en Europe mais elles tardent à s'implanter dans les traitements big data . Je réfute les faux débats sur des fonctions de sécurité comme l'anonymat qui servent à la fois l'honnête homme et le criminel. Il y a plus d'honnêtes hommes que de criminels. Ce sont donc des fonctions impératives.

Il y a une autre piste avec la renaissance d'une nouvelle forme de signature dite anonyme . La signature non anonyme n'a jamais marché et ne marchera jamais. La signature anonyme ne révèle que les attributs nécessaires. En plus, la possibilité de lever l'anonymat existe, ce qui va rassurer la cyberpolice.

La protection des informations nécessite une résistance au mirage du big data simpliste. On ne peut pas totalement éliminer le rôle du sujet dans la production de l'information ou de la connaissance par le big data . Vous savez que la signification d'une information est toujours relative. Il s'agit donc de mesurer l'intelligibilité, la vérifiabilité, la traçabilité, d'estimer la responsabilité contractuelle, de gérer les conflits d'influence, de repérer les fausses nouvelles . Des amendes record touchent aujourd'hui des institutions financières. Elles sanctionnent des infractions à répétition ( subprimes , Libor , Euribor , taux de change, marché pétrolier) qui n'auraient pas été possibles sans l'obscurcissement numérique.

De plus, la capacité de l'absorption humaine est limitée. Un écart de plus en plus grand va se créer entre les capacités des robots-programmes et l'homme. Quand les résultats espérés ne seront pas là, on aura une tendance naturelle à complexifier les traitements, par une massification encore plus grande des données et par l'ajout de paramètres automates, alors qu'il faudrait au contraire modéliser, analyser, expliquer et mieux cibler les données. Cette tendance à l'entropie porte en elle le germe de ce que l'essayiste Paul Virilio appelle « l'accident des connaissances ».

Le big data offre également des possibilités pour la défense des systèmes d'information, mais je crois que j'ai dépassé le temps qui m'est attribué.

Je voudrais dire un mot sur la cyberdiversité . La défense des systèmes d'information ne se réduit pas aux architectures des systèmes. L'assemblage de composants sécurisés ne garantit pas la solidité du tout. La complexité va faciliter le travail de l'attaquant parce qu'il va chercher un chemin d'attaque et il trouvera une porte d'entrée. A contrario , la monoculture technologique à la fois favorise et fragilise le contrôle centralisé. Il faut donc protéger la cyberdiversité qui est malmenée par beaucoup d'écosystèmes numériques fermés, dont aucun n'est européen. Par analogie avec la diversité des espèces, qui est le plus grand rempart immunitaire contre la perte d'un écosystème, la cyberdiversité reste le constituant principal d'une véritable défense en profondeur .

En conclusion, il s'agit de faire du big data un outil de progrès sociétal, par exemple pour les smart cities . Il faut donc en maîtriser les dérives. Mais la France ou l'Union européenne voudront-elles revenir dans le champ technologique ? C'est une condition préalable. Je propose une opportunité, c'est le remplacement du silicium par du graphène. C'est du carbone. Ce remplacement va survenir dans les dix années qui viennent. Va-t-on monter un grand programme européen pour être en tête dans l'électronique graphène ?

Quoi qu'il en soit, il faudra faire du big data avec un certain nombre de règles d'éthique qui sont celles de la vieille Europe : dignité, réserve, droiture . Je souhaite que la maîtrise et la domestication des robots logiciels du big data s'engagent sur une régulation qui va s'inspirer de ces principes d'Epictète.

Finalement, deux approches économiques s'opposent. L'économie responsable - en France, on dit souvent sociale et solidaire - versus l'économie du chaos. Derrière le numérique de masse se joue un choix de société .

M. Pierre Lasbordes . - Je vais maintenant me tourner vers Me Éric Caprioli. Pour vous, la sécurité numérique, c'est d'abord une culture, cela nécessite une sensibilisation de chaque instant mais aussi l'élaboration d'instruments tels que des chartes et la nécessité d'avoir des normes européennes, voire internationales. Pouvez-vous nous en dire un peu plus ?

Me Éric Caprioli, docteur en droit, avocat à la Cour d'appel de Paris, vice-président du Club des experts de la sécurité de l'information et du numérique (CESIN) . - Je vais aborder cette question du risque et de la sécurité numérique du point de vue du praticien, en tant qu'avocat qui travaille sur le sujet avec des responsables de la sécurité des systèmes d'information (RSSI) et des directeurs des systèmes d'information.

Je partage beaucoup des analyses évoquées, comme la sensibilisation et l'éducation au numérique à la maternelle . Les risques créés par le numérique bouleversent nos sociétés, c'est une porte ouverte que j'enfonce volontiers. Les données constituent aujourd'hui le principal gisement de valeurs de nos sociétés, que ces données soient personnelles, techniques ou économiques, puisque cela permet de faire le lien avec l'intelligence économique et la sécurité. Quand on parle de patrimoine informationnel, c'est très lié à cette valorisation de la donnée, M. Bernard Stiegler nous l'a rappelé. Il faut souligner que le plan Al Gore-Clinton , en 1993, relatif aux autoroutes de l'information, n'avait pas pour objectif de développer la planète et les pays en voie de développement mais visait à conquérir le monde nouveau. Le génie américain avait créé une nouvelle frontière. Et nous, Français et Européens, ne l'avons pas perçue comme tel.

Alors, aujourd'hui on a des risques, on a de la sécurité, une révolution est en marche et on n'en est qu'au commencement. Quand j'écrivais sur ces sujets il y a plus de vingt ans, notamment dans ma thèse de doctorat, je disais que le bouleversement serait fondamental et sociétal puisque, à l'époque, on parlait de bribes de bouleversement. Or, aujourd'hui, on voit des menaces nouvelles. Que ce soient les forces de police, de gendarmerie ou les entreprises, les institutions et les opérateurs économiques doivent tous y faire face. Avec l'Internet, les multiplications des attaques sont sérieusement et considérablement développées avec de l'ingénierie sociale , de l'informatique. Si vous avez lu l'oeuvre de M. Kevin Mitnick, vous vous rappellerez que dès les années 1980, il s'agissait d'ingénierie sociale via le téléphone et on récupérait des données. Par ce biais-là, on pénétrait des systèmes qui n'étaient pas connectés. Le numérique n'a donc pas commencé avec l'interconnexion puisque dès cette époque, on pouvait déjà pénétrer des systèmes. On volait des heures de téléphones et toutes autres choses mais ce n'est pas très différent. Le « mal » s'adapte et se déplace.

Aujourd'hui, les dommages sont plus dévastateurs, tant pour les organisations que pour les individus. Pour les entreprises mais aussi les collectivités publiques, les enjeux sont majeurs et elles doivent protéger leur patrimoine informationnel. Les individus doivent protéger leurs données qui sont majoritairement liées à leurs données personnelles.

En termes de sécurité, de manière très binaire, les risques et les menaces sont de deux ordres : des risques internes à l'organisation et des risques externes. On peut dresser un inventaire desdits risques en participant à des travaux sur le Security Information and Event Management (SIEM) , de l'analyse quantitative des incidents. Par exemple, au club R2GS (Club de réflexion et de recherche en gestion opérationnelle de la sécurité) ou autres, on a identifié 74 indicateurs de risque sur lesquels la menace porte. Et l'on fait des travaux de normalisation à l' ETSI , auxquels les Américains participent. En pratique, on se rend compte que les grands comptes bancaires nationaux, les opérateurs nationaux, prennent en considération les 74 et ils disent : maintenant je vais regarder d'un point de vue quantitatif, en termes de récurrence, d'occurrence et de dommage, sur quoi je vais porter mes efforts. En règle générale, ils ne retiennent pas tous les indicateurs, ils n'en gardent qu'entre 18 et 24, parce qu'on concentre la ressource sur ceux-là. Et ça suffit puisque les autres sont epsiloniques ou très réduits. Il n'empêche que si on voulait couvrir tout le spectre, on devrait tendre vers les 74 indicateurs.

Ces travaux nous montrent que les risques sont internes et externes. Le premier des risques, c'est l'homme. Dans un État démocratique, l'homme a des droits et des libertés.

Je n'aborderai pas la question des données personnelles, même si la grande révolution, avec la proposition de règlement communautaire, c'est que la sécurité porte également sur la donnée à caractère personnel puisque les deux s'interpénètrent. Le RSSI doit travailler avec le délégué à la protection des données. Abandonnons ce terme de correspondant informatique et libertés (CIL), qui n'est qu'un terme commercial utilisé par la CNIL et qui ne figure ni dans la loi ni dans les propositions de règlement. En tout cas, le RSSI et le délégué à la protection des données doivent travailler plus que jamais ensemble car la donnée est essentielle. Qu'elle soit personnelle ou pas, on doit la protéger. De toutes manières, en protégeant le système, on protège aussi le contenu puisque c'est lui qui va être affecté.

Ce risque humain se traduit par des menaces concrètes. Je commente régulièrement la jurisprudence de droit pénal en matière de cybersécurité, d'attaques informatiques, à savoir celles concernant les articles 323-1 et suivants du code pénal, pour aller vite. Quand on regarde cette jurisprudence, on est terriblement déçu. Je ne parle même pas des articles 226-16 et suivants en matière de protection des données à caractère personnel. Les textes existent, les sanctions sont là : deux ans, cinq ans d'emprisonnement, 30 000 €, 75 000 €, 300 000 € d'amende...

Examinons la jurisprudence . De modestes sanctions, voire quelques amendes à peine et quelques sursis. Rappelez-vous cette affaire Valeo , un industriel qu'il fallait peut-être protéger ou Mlle Li li Whuang qui a fait un mois de détention préventive et qui a été condamnée à un an avec sursis.

Elle avait pénétré dans une entreprise comme stagiaire, détourné des quantités de données, peut-être stratégiques, qui ne concernaient pas son sujet de travail et de recherche : plan d'assurance qualité, organisation marketing, alors qu'elle faisait de l'analyse sur les tensioactifs en matière de résistance des matériaux. Rien à voir avec le marketing et la qualité. Il existe donc un arsenal en droit pénal, la police fait son travail, on poursuit et, en fin de compte, quelle déception !

Le citoyen que je suis, l'avocat que je suis, défenseur des « cibles », puisque je ne défends pas les attaquants - je suis en défense pour les entreprises ou les administrations qui se font attaquer -, est profondément choqué. L'arsenal répressif existe, appliquons-le. C'est un point d'attention très important, la prise de conscience. Malheureusement, tous les procureurs de la République ne sont pas comme Mme Myriam Quéméner. J'en vois un et il me dit à propos du numérique : « Mon cher ami, n'a-t-on pas suffisamment à faire dans nos rues ? Il n'y a pas de sang qui coule. » Mais le critère est bien curieux. Faut-il que le sang coule pour que justice soit faite ? Le numérique, c'est très volatil. Pour autant, compte tenu des enjeux pour chacun d'entre nous, les tribunaux devraient appliquer le quantum des peines avec des délits qui existent.

Un autre élément est important : certains délits ne sont pas encore qualifiés. L'affaire Bluetouff (5 février 2014 - Cour d'appel de Paris) avait pour objet une attaque contre l'Agence nationale de sécurité sanitaire de l'alimentation, de l'environnement et du travail (ANSES), une agence OIV, mais non assujettie à des règles et donc vulnérable en termes de sécurité. Mais ce n'est pas le problème. En revanche, ce qu'on a lu dans la presse et sur le Net est choquant. On nous a dit : « Qui sont nos juges et de quel droit nous jugent-ils ? Ils n'emploient même pas le bon jargon. Ils disent des âneries, ne comprennent rien, parlent de «glogue, de bogue»... On s'est moqué d'eux ! De quel droit jugent-ils ? » Ils jugent au nom de la Nation. Il y a des textes à appliquer, les juges assurent leurs fonctions de juge et ils punissent modestement par une petite amende. Et maintenant cette affaire va aller devant la Cour de cassation.

Je plaide pour que le vol soit reconnu, non pas le vol soustraction, mais ce qu'on appelle en droit le « vol reproduction » . C'est une vieille distinction que j'ai commentée en doctrine. Elle fait suite à la loi Godfrain de 1988 relative à la fraude informatique. Dans le numérique, on reproduit de la donnée. Évidemment, on ne l'a pas soustraite. On peut l'altérer, la détruire, on peut bloquer le système. Mais, la plupart du temps, on va la télécharger, la dupliquer. De petites notions, de petites évolutions permettent aussi de contribuer à prévenir le risque numérique, comme le vol reproduction par voie de téléchargement ou de reproduction.

En matière de sécurité, il faut aussi faire une grande distinction entre, d'une part, les grandes entreprises et les administrations et, d'autre part, les TPE, les PME, les PMI et les petites collectivités locales qui sont la majorité de nos communes. Dans mon village de 1 000 habitants, la secrétaire de mairie doit tout faire. La commune n'a pas les moyens d'avoir un directeur informatique.

En ce qui concerne les premiers, les grandes entreprises et les administrations, ils ont des moyens à peu près corrects en termes humains et financiers pour lutter contre ces risques. Les seconds n'en ont pas.

Ne parlons pas des individus ou des entreprises quand ils font surtout confiance à des entreprises américaines. On ne reviendra pas sur certaines affaires récentes, notamment devant la Cour fédérale de New York qui a condamné Microsoft à transférer des données hébergées en Irlande - c'est en Europe, me semble-t-il - aux services new-yorkais qui les lui demandaient. C'est une manifestation non pas du Patriot Act mais de nombreuses législations qui permettent d'avoir accès à ces données.

Alors quelle est la parade ? Au niveau des OIV et des administrations, Mme la ministre a évoqué la loi de programmation militaire . On attend le décret d'application avec impatience. L'article 22 m'intéresse, en rapport avec l'ANSSI. À quelle sauce seront-ils mangés ?

Mais il existe aussi des avancées, notamment par rapport à la prise de conscience par les dirigeants d'entreprises et par les dirigeants de PME. Dans les grandes entreprises, on va avoir la notification des failles et bientôt d'autres notifications en matière de prestataires de services de confiance électroniques. Le règlement eIDAS devrait être publié au cours de l'été ^{1 ( * )} . Tous ceux qui émettent des certificats de signature, des certificats de serveur, des jetons d'horodatage et tous ces éléments liés à des moyens cryptographiques, seront assujettis. Il y aura des notifications de violation de données personnelles pour les opérateurs. Il y aura des notifications bientôt, dans le futur règlement, en tout cas si l'on arrive au bout, grâce aux Américains. On oublie souvent l'action des groupes de pression à Bruxelles qui est le fait de groupes d'influences hautement partisans qui ne nous veulent que du bien ! Souvent ils contrecarrent toutes les avancées de nos gouvernements et autres.

Alors, nous disposons de la mise en place de normes ISO 27001 et suivantes, de la prise de conscience des directions générales, de la détection et du contrôle par l'ANSSI avec la loi de programmation militaire, des chartes informatiques, de la sensibilisation des personnels. Mais les entreprises n'ont pas tout cela. Éventuellement, elles ont la charte. Il faut leur proposer des chartes types et peu coûteuses parce qu'elles n'ont pas les moyens de payer pour avoir un vrai service. De plus, une entreprise entre vingt et cent cinquante salariés n'a pas la complexité d'une grande entreprise. En tout cas, il faut sensibiliser les entreprises à la sécurité numérique et les inciter fortement à notifier les violations de données à caractère personnel.

Quelles évolutions doit-on attendre ? D'abord on peut faire évoluer quelques notions comme le vol, j'en ai parlé. La directive sur les attaques informatiques , adoptée récemment, comportait une notion très intéressante à l'origine qui revenait à dire la chose suivante : « Vous pouvez dire, vous législateur qui transposez, que l'entreprise n'est pas protégée si elle n'a pas mis en place de la sécurité. » En d'autres termes, si elle agit sur le plan pénal, il n'y aura pas de sanction. Allons encore plus loin, autant lui dire : « Vous n'êtes pas protégée parce que vous ne vous êtes pas protégée. Alors l'État ne vous protègera pas. » C'est ce que dit le juge : « Si vous ne vous êtes pas protégé, vous avez dit open bar , et tant pis pour vous. Relaxe » (affaire Tati versus Kitetoa ). Et c'est ce qu'on voudrait nous faire croire sur l'affaire Bluetouff . Or, dans Bluetouff, il ne s'agit pas seulement de l'introduction dans un système informatique. Il y a eu relaxe sur l'introduction. Open bar . On rentre, mais on n'est pas poursuivi en raison de ce chef. En revanche, il y a eu maintien dans le système et vol. Donc il faut bien regarder la qualification. Les juristes savent que la qualification est essentielle.

Derrière cela, il y a peut-être la nécessité pour les services de police ou Europol de renforcer la coopération internationale , compte tenu de l'internationalisation.

Il faut sans doute aussi renforcer la protection des données à caractère personnel mais sans aller trop loin. Le but n'est pas d'handicaper nos entreprises pour qu'elles ne soient plus compétitives. Avec trois boulets, elles ne vendront plus les produits où l'on est leader mondial. En biométrie , les Français sont en tête dans le monde. Nous équipons la Maison Blanche, le Pentagone, l'aéroport de Tel Aviv, l'Afrique du Sud... On équipe toute la planète et en France, ses détracteurs assènent : « la biométrie, quel crime attentatoire aux droits de l'homme ! » Les droits de l'homme ont bon dos. Et puis s'il y a des avancées, comme M. Philippe Wolf nous l'a dit, qui permettent de garantir des bases de données en empêchant l'extraction, alors peut-être que, grâce à la technologie, nous avancerons vers des points sur lesquels notre pays est fort.

Enfin, il faut veiller à la formation des magistrats , à leur sensibilisation, qu'ils aillent au fond des choses et qu'ils punissent à leur juste mesure les crimes, les délits et les actes qui sont répréhensibles. De fait, à côté des actes les plus répréhensibles, il faut aussi réprimer les atteintes aux biens, les atteintes aux personnes, qui peuvent résulter de la e-réputation, des données, des vols de numéros de cartes, ou autres, en tout cas qui causent de graves préjudices aux individus, aux entreprises et aux collectivités publiques.

M. Pierre Lasbordes. - Maître Pierre Desmarais, je crois que vous êtes acteur dans l' open data et vous allez nous parler de quelques vulnérabilités du numérique dans ce domaine.

Me Pierre Desmarais, avocat à la Cour d'appel de Paris, correspondant informatique et libertés, spécialisé dans les questions de sécurité numérique. - Je vais vous parler de la sécurité dans l' open data , principalement dans le domaine de la santé. Mon confrère disait qu'il n'y a pas de sang dans le numérique, mais en santé, il peut y avoir du sang, un vrai risque vital. On l'a vu dans des hôpitaux publics pour des problématiques de dossier médical et d'aide à la prescription, où le mauvais interfaçage d'un logiciel a abouti au décès d'une patiente.

On pourrait le voir demain avec l'absence totale de sécurité logique au niveau des dispositifs médicaux communicants qui peuvent être piratés à 90 mètres . Avec de tels dispositifs, on peut envoyer une décharge électrique de 830 volts dans un pacemaker . Donc le risque numérique peut sans difficulté se transposer dans la vie réelle, notamment dans le domaine de la santé .

Particulièrement avec le big data , on va devoir veiller à la sécurité des données à caractère personnel en respectant la confidentialité des données et en s'assurant que tout ce qui va être dit dans le traitement d' open data ne va pas permettre de réidentifier une personne physique, nommément ou non. Et, derrière, il va falloir s'assurer qu'on ne va pas pouvoir discriminer cette personne physique pour accéder à l'assurance ou à un autre droit.

Il faut également s'assurer que l'ensemble des droits de la personne soit respecté. Depuis une semaine, la presse parle du moteur de recherche shodanhq.com qui a vocation à référencer tous les objets connectés à Internet et de permettre l'accès à ces dispositifs en utilisant les logins et mots de passe de la configuration. À l'issue, vous accédez aux caméras qui sont installées dans le domicile de monsieur tout le monde ou éventuellement dans des entreprises ou des administrations publiques .

Quelles sont les conséquences de ces failles ? La première est civile, à travers la responsabilité civile ou la responsabilité administrative si c'est une personne publique. Une personne qui subirait un préjudice, une atteinte à sa vie privée , pourrait ainsi déposer plainte au pénal mais aussi au civil où elle pourrait obtenir des dommages et intérêts, sur le fondement de l'article 9 du code civil - « Chacun a droit au respect de sa vie privée. » -, et ce serait relativement simple, étant donné qu'en la matière on n'a pas besoin de préjudice. Il suffit de prouver une faute et un lien de causalité. La faute serait facile à démontrer étant donné que l'opérateur, le responsable de traitement, a une obligation de sécurité et de moyens renforcés. C'est à lui de prouver qu'il a tout mis en oeuvre pour qu'il n'y ait pas de divulgation des données.

Une autre hypothèse permettrait d'envisager une action en responsabilité civile délictuelle ou contractuelle. Le contractuel pourrait très bien être retenu dans le cadre du règlement SEPA . En effet, si une personne est victime d'une fraude, alors qu'elle n'a pas été mise à même de pouvoir s'opposer à des listes noires ou blanches de prélèvements, elle subit un préjudice et elle peut demander effectivement cette réparation.

Le premier problème avec l' open data , c'est qu'il touche les données personnelles mais également tout ce qui est information stratégique pour l'entreprise. Madame le bâtonnier, vous en parliez ce matin, notamment avec les appels d'offres qui constituent des mines d'or. On y recueille un tas de données qui permettent ensuite d'attaquer une entreprise publique ou une administration. Si l'on ajoute le fait qu'à la fin de la procédure d'appel d'offres, on sait très précisément quel système a été acheté , alors c'est la voie royale pour un attaquant qui sait, en plus, les mesures de sécurité qui ont été mises en oeuvre. En effet, tout figure dans les avis de marché.

Le deuxième problème en matière d' open data , c'est la divulgation de données stratégiques . Actuellement, l' open data concerne exclusivement les entités du secteur public, État, collectivités, établissements publics et personnes privées qui assurent une mission de service public. Mais toutes ces personnes collectent également des données qui concernent des entreprises et qui ont une valeur stratégique. Comment les protéger ? Face à, éventuellement, une concurrence déloyale, du parasitisme à l'encontre de l'entreprise qui perd ses données stratégiques du fait d'un concurrent qui récupère les données et les réutilise, on peut envisager une action en responsabilité contre la personne qui a divulgué les données. Celle-ci va se retrouver dans une situation délicate parce qu'elle était obligée de les publier, et donc, en fin de compte, ce sera probablement l'État qui sera désigné comme le responsable au niveau civil.

Quelles sont les solutions ? Elles sont de deux ordres. Elles se situent au niveau des données à caractère personnel et du contrat.

Concernant les données à caractère personnel, le correspondant informatique et libertés (CIL), même si ce titre est un peu décrié, va s'assurer, en amont du traitement et de l'ouverture des données, qu'aucune atteinte ne sera faite à la confidentialité de la donnée. On ne pourra pas remonter à une personne physique à partir des données ouvertes.

La deuxième solution est le privacy by design . Quand on lance de l' open data , dès le début, il doit s'agir de systèmes producteurs de données respectueux des droits de chaque personne. De sorte, on sera sûr de ne pas trouver des données très sensibles sur la santé ou le numéro de sécurité sociale qui tout d'un coup se retrouveraient sur Internet par le biais de l' open data .

L'adoption d'une charte informatique et d'une politique de sécurité du système d'information sont un impératif.

Enfin, au niveau des données stratégiques, pour ce qui concerne les personnes publiques, notamment pour les opérateurs d'importance vitale , il existe une solution : ce sont des marchés sans publicité et sans mise en concurrence préalable quand il s'agit d'acquérir le système d'information et les mesures de sécurité . Le respect du droit de la commande publique est une chose, mais si l'on respecte la publicité, c'est la sécurité du système d'information lui-même qui est remis en cause.

Dès lors que des données sensibles sont mises à disposition, l' open data doit être systématiquement encadré par un contrat. Ce contrat doit notamment écarter l'application du droit américain , déjà en déclarant que c'est une législation de l'Union européenne qui va s'appliquer, et, ensuite, en faisant application de la Convention de La Haye, qui permet de rejeter tout le système probatoire américain . Cela évite toutes les procédures de Discovery qui permettent aux Etats-Unis de rapatrier chez eux toutes les données françaises.

Enfin, il faut changer de vision, en passant d'une vision de risque juridique à une vision de compliance , dans laquelle les opérateurs se chargent de respecter la législation , de vérifier qu'ils y sont conformes, plutôt que d'apprécier un risque juridique et de se dire : « Ici je suis dans une zone grise, je peux tenter d'y aller mais je n'irai pas dans la zone noire. » Avec la compliance , on est censé rester dans la zone blanche et donc être respectueux des droits des personnes.

M. Pierre Lasbordes . - Madame Valérie Maldonado, vous êtes commissaire divisionnaire et vous êtes à la tête d'un service très important que les entreprises sont amenées à venir consulter lorsqu'elles ont connu un incident grave. Vous êtes donc sans doute l'organisme d'État qui est le plus à même de parler des risques rencontrés par les entreprises. Vous avez une quinzaine de minutes pour illustrer ces propos et nous donner quelques exemples concrets dus au risque numérique.

Mme Valérie Maldonado, chef de service, Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC) . - Je vais d'abord vous brosser le contexte général dans lequel cet Office central, qui est rattaché à la direction centrale de la police judiciaire, a évolué très récemment. L'OCLCTIC est consacré à la problématique liée à la cybercriminalité avec un champ d'application d'infraction pris au sens large : les infractions purement cyber, principalement les atteintes au Système de traitement automatisé des données (STAD) et l'utilisation des nouvelles technologies qui vont faciliter la commission d'infractions plus larges qui existaient déjà, je pense en particulier aux escroqueries sur Internet, à la fraude aux cartes bancaires et autres.

En mai 2009, a été mise en place la plate-forme PHAROS de traitement des contenus illicites du Net . Ce site gouvernemental permet à l'internaute de signaler un contenu manifestement illicite (raciste, violent, homophobe, apologie du terrorisme, etc.).

Dernièrement, le 29 avril 2014, cet office central a été intégré au sein d'une sous-direction à part entière, la sous-direction de la lutte contre la cybercriminalité, ce qui donne une idée de l'importance donnée à l'augmentation des moyens pour lutter contre ce phénomène extrêmement important.

En France, cette sous-direction doit être un acteur fort, à la fois en matière préventive et répressive, dans l'application de la loi pénale, puisque c'est notre métier. Nous devons pouvoir répondre de manière efficace aux commandes de deux structures : Europol, avec le Centre européen de lutte contre la cybercriminalité ( EC3 ) qui est le complexe européen en matière de lutte contre la cybercriminalité, et Interpol qui va inaugurer, en septembre prochain, son complexe mondial en matière de lutte contre la cybercriminalité.

Les deux objectifs qui ont conduit à la création de cette sous-direction rejoignent le propos d'aujourd'hui. D'une part, il s'agit de prendre en compte l'importance de l'utilisation de l'Internet et des réseaux sociaux dans la commission d'un certain nombre d'infractions. D'autre part, au sein de la division d'anticipation et de l'analyse, nous prenons en compte la problématique des risques qui sont subis dans les atteintes des systèmes numériques liés aux PME. Nous intervenons donc plutôt sur le spectre des PME, et de temps en temps, en fonction de la décision du magistrat et des cas de figure, sur certains opérateurs d'importance vitale. Mais nous ne sommes pas compétents en matière de traitement judiciaire des attaques qui sont portées contre les opérateurs d'importance vitale. Celui-ci revient à l'ANSSI ainsi qu'à la DGSI à travers le traitement des dossiers au pénal.

Je vais faire un focus sur notre champ de compétences et ce que l'on fait précisément. Concernant les entreprises, les risques qu'elles encourent sont liés à la fois à des considérations internes liées à l'entreprise et à des attaques externes.

Schématiquement, en pratique, nous voyons des atteintes au STAD purement informatiques, liées à des exploitations de failles de sécurité, avec une pénétration dans les systèmes informatiques et des finalités qui peuvent être différentes et qui revêtent des qualifications pénales.

Cette finalité de l'attaque peut être : d'obtenir une défiguration du site, de pirater (par exemple, les fichiers clients d'une entreprise), d'opérer des chantages (ce qui se voit beaucoup en ce moment), des attaques DDoS en déni de service distribué (c'est-à-dire une saturation du serveur ciblé qui cesse de fonctionner sous un trop grand nombre de demandes et de requêtes). Plus récemment, on a vu l'utilisation de rançons logicielles. Ces attaques informatiques prennent en otage les données qui sont dans les ordinateurs, en particulier les documents.

On baptise souvent ces malwares. CryptoLocker par exemple, lorsqu'il s'est introduit dans le système visé, va crypter les données et dans un délai de 72 heures, il va exercer un chantage sur l'entreprise ou sur le particulier qui aurait été ciblé et infecté, ce qui l'obligera à payer une somme d'argent (en monnaie virtuelle la plupart du temps), en échange de quoi il va récupérer une clé de décryptage qui devrait lui permettre de récupérer ses données. Pour les entreprises, ces données sont définitivement perdues parce que les puissances de calcul utilisées ne nous permettent pas, à nous, d'obtenir des solutions de décryptage en temps et en heure. Vous voyez que les menaces sont extrêmement importantes.

Il ne faut pas oublier les menaces qui viennent de l'intérieur même de l'entreprise . Nous voyons certains employés qui n'appliquent pas les chartes de sécurité informatique mais aussi des salariés ou des cadres malveillants, détenteurs d'un certain nombre d'informations, et qui vont pouvoir opérer des chantages de manière assez élaborée parce que la plupart du temps, ils maîtrisent l'élément informatique.

Pour le coup, particulièrement dans les affaires de chantage, les enquêtes nécessitent une coopération de tous les instants avec la société, son dirigeant et son avocat . Nous allons voir sur place comment nous allons construire ce lien avec le pirate, comment engager les négociations et faire en sorte d'acquérir assez rapidement tous les moyens d'acquisition de la preuve qui sont nos fondamentaux. Sans ces éléments probatoires-là, le travail sera complètement inefficace et sans résultat en termes d'identification ou de coopération internationale pour articuler les investigations qui peuvent être nécessaires. Parfois, on se rend compte que le pirate est à l'étranger ou qu'il opère avec des complices qui sont eux-mêmes basés à l'étranger.

En matière de cybercriminalité, les enquêtes pénales sont donc assez complexes, dans la mesure où l'on a une problématique technique pure mais aussi une problématique de mise en oeuvre de la coopération internationale qui n'est pas évidente, d'autant que nos délais sont extrêmement contraints. Nous pouvons encore faire des progrès dans ce domaine.

Nous avons également affaire à des données liées au cryptage ou à toutes les techniques d'anonymisation. Ces outils de sécurisation de la sauvegarde peuvent présenter des difficultés supplémentaires pour les enquêteurs en charge d'aller rechercher les preuves qui vont permettre l'identification des auteurs.

Nous avons une problématique de lieu et de temps. Nous ne restons jamais en France puisque dès le début de l'enquête, nous nous dirigeons vers l'international et la coopération. Il faut aller vite. La conservation des données est pour nous, enquêteurs, un élément fondamental. À partir du moment où vous ne disposez pas des logs de connexions ou des données conservées, c'est autant de constatations qui deviennent à un moment donné impossibles à faire. C'est une difficulté à laquelle on peut être confronté dans le cas d'un pays à qui on demande la coopération mais qui ne pratique pas la conservation des données.

Pour arriver à des interpellations et à des résultats probants, il faut avant tout disposer de policiers. Ceux-ci doivent être formés aux techniques informatiques mais ils restent des policiers rompus aux techniques de l'enquête judiciaire. C'est extrêmement important.

Il nous faut également des moyens spécifiques d'actions qui sont davantage liés, à mon sens, aux moyens de la procédure pénale qu'aux infractions pénales elles-mêmes qui existent déjà. On peut considérer que les infractions pénales cyber, telles qu'elles sont prévues, sont assez importantes. En revanche, au niveau des moyens procéduraux, nous serions très satisfaits d'obtenir deux éléments. Le premier, c'est l'élargissement des infractions nécessitant l'utilisation d'enquêtes sous pseudonyme. N'importe quelle personne peut ouvrir un compte mail sous un pseudo, ce qui est plutôt la règle et l'usage. Pour un service de police d'investigation, on peut imaginer l'importance qu'il y a à pouvoir enquêter en ligne sous pseudonyme . Cela doit se faire de manière encadrée, tel que c'est déjà prévu pour un certain nombre d'infractions. Mais ce droit n'existe pas actuellement pour les atteintes au STAD et c'est dommageable car ce sont les infractions les plus graves, et c'est le coeur de métier de la cybercriminalité. Les enquêtes sous pseudo nous permettent d'obtenir, la plupart du temps, à la fois des moyens probatoires par les échanges qu'on arrive à mettre en place et des identifications d'auteurs qui ne sont pas possibles par d'autres moyens.

Vous pouvez imaginer les précautions que prennent les pirates en matière d'anonymisation, d'utilisation des réseaux Tor . Il est beaucoup question du darknet . C'est là où les plus gros trafics se font. Pour discuter sur ces forums, il faut être coopté. Les services de police d'investigation ont besoin d'être outillés a minima pour pouvoir aller sur ces forums et discuter sans se faire identifier et être mis de côté.

Le deuxième moyen que nous souhaitons obtenir, c'est la captation des données à distance . Ce moyen est déjà prévu par la loi mais il doit être encore mis en application. C'est un sujet important puisque c'est la capacité d'utiliser des logiciels espions dans des conditions juridiques évidemment extrêmement encadrées mais qui restent des fondamentaux pour nous. En matière de lutte contre le terrorisme et autres, les services sont très attentifs aux progrès et à la mise en oeuvre de ces processus déjà mis en place par de nombreux pays européens. La France devrait y arriver, c'est en bonne voie. Souvent, c'est le seul moyen efficace pour contourner les moyens de cryptographie utilisés dans le cadre d'échanges de données à travers des logiciels de communication parfaitement cryptés et anonymisés. Les enjeux se situent aussi à ce niveau-là.

M. Pierre Lasbordes . - Monsieur Benoît Virole, vous qui avez observé et analysé la psychologie des enfants et des jeunes face au numérique et au jeu vidéo, vous pouvez apprécier l'impact du numérique sur eux. Peut-être allez-vous nous apporter quelques remèdes et quelques solutions ?

M. Benoît Virole, docteur en psychopathologie, docteur en sciences du langage, membre de l'Observatoire des mondes numériques en sciences humaines (OMNSH) . -Je vais prendre la parole en tant que psychologue d'enfants et d'adolescents, ayant une pratique et un lieu d'observation de l'impact du numérique sur le développement psychologique des enfants et des adolescents.

Oui, le numérique est un espace de risque important. Il y a une mise en insécurité chez nos jeunes quand ils sont confrontés aux espaces numériques. Cela ne veut pas dire que tout le monde numérique est négatif. Le numérique est une chance incroyable, il offre à la jeunesse des possibilités de connaissance, de prise d'action sur le monde et de développement de la créativité qui sont remarquables. Mais il est aussi associé à un risque majeur. Pour le comprendre, il faut avoir à l'idée un concept clé de la cyberpsychologie : le concept d'immersion .

Quand on s'immerge dans un monde virtuel, dans un monde numérique, se produisent dans l'esprit d'un sujet des mécanismes tout à fait orignaux et spécifiques, qui ne sont pas réductibles à ce qui se passe quand on joue à un jeu avec des petites figurines, quand on lit un livre ou quand on regarde un film. Avec le numérique, on est acteur d'une action virtuelle. Cela pose le sujet dans une position de responsabilité tout à fait particulière puisqu'il accomplit à la fois une action réelle et une action qui se situe dans un monde virtuel. Il y a donc une sorte d'irresponsabilisation de l'acte qui fait qu'il est dans un entre-deux, un espace transitionnel particulier.

Cet espace transitionnel peut avoir des effets intéressants. Les mondes virtuels sont, par exemple, utilisés pour soigner un certain nombre de jeunes qui ont des difficultés. Mais cet espace présente aussi des difficultés et des risques. J'ai identifié cinq risques.

Le premier risque est celui de la séduction traumatique . Aujourd'hui, tout enfant ou tout jeune qui utilise une plate-forme numérique est à un ou deux clics d'une image pornographique ou d'une extrême violence . Si on laisse un enfant utiliser librement des interfaces numériques, il y a un risque fort d'exposition à des scènes séductrices, des scènes sexuelles ou de violence qui vont générer un désir de voir, et ce désir est particulièrement pervers quand il y a une séduction traumatique, c'est la « compulsion de répétition », bien connu en psychologie de l'enfance, c'est-à-dire le désir d'aller rechercher à nouveau une image de ce type-là.

Je lance un appel à la régulation du marché. Il est assez anormal que lorsqu'un enfant utilise une tablette numérique du marché, Android ou Apple , et qu'il va chercher des applications de jeu, il se trouve immédiatement confronté à des applications de jeu à caractère sexuel ou de violence.

Une régulation a été mise en place, à travers une signalétique qui a d'ailleurs été discutée dernièrement au Parlement. Malheureusement, cette signalétique est le fruit d'une concertation entre les éditeurs du marché qui se sont mis d'accord entre eux pour promouvoir une signalétique d'avertissement par classe d'âge. Elle est plus ou moins bien respectée. Les parents jettent un coup d'oeil de temps en temps sans vraiment regarder. Les vendeurs de ces jeux vidéo ne prennent pas garde à qui les achète. Cette signalétique est donc purement symbolique, elle n'a pas vraiment d'efficacité. Son efficacité est d'ailleurs perverse, dans la mesure où les enfants ont envie de jouer à des jeux qui sont justement déconseillés pour leur classe d'âge. Je me demande s'il n'y a pas une mise en retrait de la part de la puissance publique par rapport à ces jeux.

Par exemple, le jeu GTA est remarquable sur les plans graphique et de sa construction mais il est parfaitement pervers sur le plan des valeurs. Le héros de ce jeu est un malfrat et son but est de tuer l'officier de police qui tente de l'arrêter. Ce jeu est intrinsèquement pervers. Certes, il est déconseillé aux moins de dix-huit ans mais beaucoup d'enfants y jouent.

Le deuxième risque est celui des conduites addictives . Il y a un grand débat entre les psychologues et les psychiatres sur le fait de savoir si c'est vraiment une addiction. Si c'est une addiction, il faut identifier un toxique. Or, c'est un produit du marché et l'on ne sait pas si on peut le classer sous le terme d'addiction. On utilise des mots plus faibles comme « pratiques intensives » : 5 % de la classe d'âge des quinze à dix-sept ans jouent de façon pathologique à des jeux vidéo qui sont construits pour entraîner une forme de toxique, puisqu'ils fonctionnent dans des mondes persistants qui, par définition, ne s'arrêtent pas. Quand on se déconnecte, les autres joueurs continuent à jouer et donc on est poussé à continuer à jouer. Aujourd'hui, de jeunes adolescents, déscolarisés, plutôt des garçons, restent des nuits entières à jouer dans ces mondes persistants. Cela pose des problèmes de santé publique qui commencent à être vraiment émergents et qui inquiètent, à juste titre, les familles et les professionnels.

Le troisième risque est celui de la subversion des institutions cadres . La famille d'abord, dans la mesure où l'utilisation des jeux vidéo, des réseaux sociaux, des communications numériques, créent des néo-groupes entre jeunes, dans lesquels la notion de régulation par la famille n'existe plus . Il y a une forme de mise en retrait de l'institution familiale avec souvent la complicité implicite des familles qui confient à des systèmes automatiques la régulation de l'utilisation d'Internet. En confiant à des systèmes automatiques la régulation des affichages de contenu, il y aura un affaiblissement de la responsabilisation parentale. Être parent ne s'arrête pas au seuil du numérique. Un parent contemporain doit être parent y compris à l'intérieur des mondes numériques. Du fait des problèmes générationnels mais aussi des problèmes de société, beaucoup de parents n'exercent pas leur fonction parentale à l'intérieur du numérique.

La deuxième subversion est celle de l'école. C'est une subversion des institutions qui ont le monopole du savoir. Un jeune va penser que ce qu'il apprend à l'école ne pèse pas très lourd par rapport à ce qu'il peut apprendre sur le web . Avec un moteur de recherche, il peut avoir accès à l'ensemble des connaissances, disponibles sur son s martphone à tout moment. « À quoi ça sert d'apprendre les dates de l'histoire ou les contenus de connaissance qu'on m'apprend à l'école, au collège, au lycée, à l'université, en me forçant à rester assis alors que je les ai constamment présents sur mon smartphone ? » Il y a une sorte de délégitimisation des institutions qui ont le monopole de la délivrance du savoir . Ces institutions sont remises en question par le développement du numérique. Une forme d'insécurité se crée. Beaucoup de jeunes sont déscolarisés aujourd'hui parce qu'ils n'accordent plus de crédit à l'école. Ils attribuent du crédit au web comme étant le vecteur premier de la connaissance.

Le quatrième risque est celui de la manipulation idéologique . Les jeunes qui regardent des vidéos sur YouTube sont confrontés en permanence à des discours qui peuvent être des discours de manipulation sur le plan politique et idéologique, ce qui amène à une mise en questionnement des savoirs institués. Un enseignant, ou un parent, peut dire que ceci est la vérité mais le jeune dira que c'est faux parce qu'il a vu le contraire dans une vidéo sur YouTube . Il y a un risque fort que le message républicain, par exemple, qui peut être délivré par l'école, le collège ou le lycée, se voit confronté à d'autres types de discours véhiculés par le web , YouTube ou les réseaux sociaux. Nos jeunes sont mis en danger parce qu'ils sont exposés à des discours clairement manipulateurs.

Le cinquième risque est celui de la confusion des valeurs . On peut se demander si les psychologues peuvent se mêler de ces valeurs. La réponse est oui. Les psychologues doivent se questionner sur les valeurs car c'est ce qui permet à un sujet de choisir une route lorsqu'il est à un carrefour de son existence. Dans nos vies, nous sommes constamment confrontés à des choix d'existence. À un moment donné, il faut choisir une route et ce choix est fait au nom de valeurs. C'est pourquoi la transmission de valeurs est fondamentale. Des jeunes qui seraient exposés à une confusion ou à une dégradation permanente des valeurs seraient des jeunes mis en danger et en insécurité.

Je prendrais l'exemple de la dégradation de la valeur de l'amitié dans les réseaux sociaux. Non, les contacts ne sont pas des « amis ». La comptabilisation du nombre d'amis sur Facebook ne donne pas une idée réelle d'une vie sociale réussie. Il y a dans l'utilisation des réseaux sociaux une dégradation complète des valeurs qui va jusqu'à la réification. Tout contact humain est ramené à une quantification mesurable et à un objet marchand. Selon la réification, au stade ultime du capitalisme, la relation humaine va devenir un objet de marché . D'une certaine façon, on y a est arrivé, avec le déploiement des réseaux sociaux.

Certes, c'est une vision apocalyptique qui ne circonscrit pas ma vision du numérique. Je pense aussi que c'est une grande chance. Et je partage l'opinion de M. Bernard Stiegler sur le fait que nous avons les moyens d'accomplir de grandes choses grâce au numérique, y compris dans l'éducation de nos enfants.

En conclusion, je lancerais d'abord plutôt un appel à la présence de la République dans le numérique. En utilisant cette métaphore qui a fait un peu de bruit, on pourrait presque dire que le numérique est un territoire perdu de la République française aujourd'hui . Quand les jeunes passent du temps dans les jeux vidéo et dans les mondes virtuels, la République n'est pas présente. Le marché américain et les éditeurs américains sont présents mais la République française ne l'est pas.

Par ailleurs, se pose une question d'éducation. L'éducation au numérique est une nécessité. Il faut éduquer à la critique du numérique. Pour savoir utiliser les informations, il faut avoir une vision critique sur les informations qui sont données par le web .

Je pense aussi qu'il y aurait quelque chose à faire en direction des parents pour les aider à être parents, y compris à l'intérieur de la culture numérique .

Conclusion

Mme Anne-Yvonne Le Dain . - Depuis ce matin, j'ai mesuré pleinement l'ampleur des inquiétudes et des opportunités liées au numérique. Chacun, en vos grades et qualités, vous avez abordé des éléments très concrets qui pourraient être des facteurs d'évolution du droit ou des pratiques. Le sénateur Bruno Sido et moi-même avons bien entendu vos analyses et propositions. Nous en tiendrons compte.

Ce qui m'étonne, c'est ce mélange d'une sorte d'inquiétude qui est latente, face à notre monde compliqué et sur laquelle on a le sentiment qu'on pourrait tout de même agir. On ne sait pas très bien dans quel but ni vraiment comment et l'on n'est pas très sûr d'avoir quand même envie d'y aller.

Ce décalage me perturbe. Il n'est pas spécialement propre à la dernière intervention même si je vous remercie d'avoir également replacé les enfants dans ce système. En effet, les enfants sont une cible formidable que les grandes entreprises commerciales, américaines ou pas, ont visée très tôt et avec lesquels on est effectivement dans une réification du monde.

Mais au bout du compte, le monde numérique est là. On ne pourra pas l'empêcher d'être. Vouloir y agir d'une manière plus ferme, plus forte, uniquement sur le mode de la contre-attaque, avec des solutions juridiques, pour gérer les débordements, les difficultés, les attaques, les crimes, l'immoralité, le risque de recul de l'éducation, c'est une approche par le refus. Est-il envisageable de trouver une voie permettant une approche par l'action ?

Je manifeste un grand désarroi. Vous avez chacun votre angle de vue face aux risques et aux possibilités, sur ce qu'il faudrait faire pour un certain nombre de choses concrètes, la loi, la police, les autorisations, les interdictions. Mais là, on joue en défense. Ce qui serait déjà bien, si je vous entends. Mais on n'est pas dans un jeu offensif. Une société qui se borne à défendre peut-elle survivre ?

Quant au renvoi à l'Union européenne avec laquelle il faut toujours se caler... On est toujours en avance ou en retard par rapport à l'Europe. L'Europe est difficile à construire. Dix années compliquées viennent de s'écouler. On ne sait pas très bien où l'on en est mais il faut que l'Europe soit un avenir, on n'a pas d'autres solutions.

Quant à la logique de défense, elle doit laisser place plutôt à une logique d'attaque et de construction d'une économie autour du numérique. Or, on est dans le siècle du numérique, c'est un fait. J'ai appris à écrire avec un crayon en bois et au porte-plume Sergent-Major , en ce sens je suis déjà une antiquité. Je n'ai eu une boîte de feutres qu'à mon entrée en seconde. Je n'avais pas de calculette, mais j'avais une table de logarithme jaune, magnifique, quand je suis entrée en classe préparatoire. Et une table de nombres au hasard aussi. Ça, c'est magique. Où peut-on en acheter une aujourd'hui ? Ce sont des objets tangibles, aux noms poétiques, et qui vous construisent. Aujourd'hui, tout est immatériel, tout est dématérialisé, tout est accessible, tout est possible. Les jeunes d'aujourd'hui sont loin d'être tous désespérés ou suicidaires. Où les jeunes construisent-ils leur avenir mental ? Et que leur donne-t-on à lire et à voir pour qu'ils cessent d'être utilisés par des gens sans état d'âme qui sont des marchands, qui le disent et l'assument pour construire une économie nord-américaine de puissance. Ont-ils tort ? Ou est-ce nous qui avons tort de ne pas être en capacité de construire quelque chose en regard ?

M. Bruno Sido . - Je voudrais maintenant remercier particulièrement M. Pierre Lasbordes de sa venue cet après-midi. Bien entendu, les conclusions de ces auditions ne vous seront pas proposées ce soir puisqu'elles constitueront une partie de notre rapport. Avec Mme Anne-Yvonne Le Dain, nous allons retravailler tout ce que vous avez dit.

Cette journée a été particulièrement riche. Au fond, nous avons fait du numérique pratique et concret. Nous avons parlé du droit, de la difficulté d'appliquer le droit national alors même que tout se passe à la vitesse de la lumière à travers le monde. Un professeur du Collège de France est venu nous l'expliquer.

Nous avons discuté du positionnement des données ou data , qu'elles soient open ou big .

De même, nous avons bien vu les origines du web . Créé pour les chercheurs, et pour le Pentagone, effectivement, aux États-Unis d'Amérique. Et l'on sait ce que c'est devenu. L'utilisation que l'on en fait et les risques constatés sont peut-être dus à cette origine. Le web n'était pas fait pour cela. Peut-être qu'il sera bon de revenir, dans une troisième phase, à ce à quoi il était destiné.

Nous avons vu également, et c'est une grande leçon à retenir, que les États-Unis nous ont complètement débordés en application d'une véritable volonté politique. Après l'échec, ou la fin de l'industrie américaine, les Américains ont trouvé une autre stratégie de développement. Ils ont réussi, peut-être au-delà de ce qu'ils avaient imaginé à l'époque. Aujourd'hui, ce sont les seuls à produire des puces dont on ignore les capacités exactes et à développer des nouveautés, avec les Google et autres, qui sont chez eux et chez personne d'autre.

Nous avons entendu des usagers et je remercie l' UFC-Que Choisir . Les usagers sont un peu perdus. Évidemment, ils ne ressentent pas la nécessité de se protéger et veulent souvent aller plus vite que ceux qui cherchent à leur prendre leurs données. Nous devrons y revenir.

Je vous remercie, monsieur Benoît Virole, d'avoir parlé des enfants. Tous ceux qui ont des enfants en âge d'utiliser Internet ne peuvent qu'être totalement d'accord avec ce que vous avez dit. Il y a des réalités que je ne savais pas formuler et que, désormais, je formulerai mieux. D'ailleurs, j'ai pris un tas de notes pour les partager avec mon épouse.

Au fond, nous avons parlé des risques d'Internet, en particulier pour les entreprises, ils sont multiples, avec, bien entendu, les avantages, l'intérêt qu'on peut aussi y trouver.

Nous avons également abordé un sujet passionnant qui est celui de l'utilisation anonyme, un sujet qui conduit à évoquer celui de la liberté d'anonymat, que la police n'approuve pas forcément. À cet égard, je voudrais rappeler que la plus grande conquête de l'humanité, c'est probablement la liberté, en tout cas dans nos sociétés occidentales. Il importe d'être très sourcilleux sur la protection de la liberté des uns et des autres, même si, comme chacun le sait, la liberté a des limites.

Je remercie tous les intervenants d'avoir participé à cette journée passionnante. Merci également à son instigatrice, Mme Anne-Yvonne Le Dain. C'était une journée très riche dont nous nous efforcerons de tirer le plus grand profit pour notre rapport.

---

* ¹ Il l'a été le 28 août 2014.