CONSEIL NATIONAL DU NUMÉRIQUE (CNNUM)
M. Serge Abiteboul, membre du Conseil
M. Jean-Baptiste Soufron, secrétaire général
27 février 2014
M. Serge Abiteboul. - Je suis membre du Conseil national du numérique et directeur de recherche à l'INRIA et à l'École normale supérieure de Cachan (laboratoire LSV). Je suis un chercheur en informatique.
M. Serge Abiteboul. - La question de la sécurité a émergé une première fois à propos de la neutralité des réseaux qui a été le thème du premier avis du Conseil national du numérique, ensuite, lorsque le conseil a traité des plates-formes puis à l'occasion des questions d'éducation et, enfin, dans le rapport sur l'inclusion.
La sécurité numérique est également apparue dans les questions d'économie du numérique, à savoir dans les rapports de force entre les entreprises françaises et étrangères, également dans les questions d'éducation générale des gens au numérique et à propos du besoin de construire un rapport quotidien au numérique qui soit plus informé et mieux structuré .
Le Conseil national du numérique va maintenant s'intéresser davantage à la sécurité dans la mesure où il devait être saisi dans le cadre d'une concertation sur le futur projet de loi numérique pour recueillir l'avis de la société civile avant le dépôt du projet de loi. Le Conseil va monter en puissance sur ce thème.
À propos de la souveraineté numérique , sujet à la fois complexe et délicat, quasiment toutes les grandes plates-formes qui gèrent les données se situent à l'étranger, en particulier aux États-Unis d'Amérique . La question de la souveraineté nationale est donc posée à travers des aspects de renseignement et d'intelligence au sens large, au niveau économique également car beaucoup de valeur ajoutée passe maintenant par ces plates-formes puisque les clients des grandes entreprises transitent par elles ; les grandes entreprises européennes perdent le contact direct avec leurs clients et donc des parts de marché . Ce n'est pas une surprise si des pays comme la Chine ont décidé de développer leurs propres plates-formes.
M. Jean-Baptiste Soufron. - Le Conseil n'a pas encore rendu son rapport sur les plates-formes ; il travaille dessus depuis six mois et, déjà, il commence à apparaître que la situation européenne est pathologique ou, au moins, anormale.
Si l'on prend l'exemple de la Chine, on objectera que la Chine n'est pas une démocratie. Mais avec l'exemple du Japon, de la Corée du Sud ou de la Russie, et d'encore beaucoup de pays étrangers, il apparaît qu'ils ont su maintenir les entreprises et des moyens d'actions locaux qui permettent de conserver la majorité du marché local. Au Japon Google possède une part de marché d'environ 20 % à 30 %, de même en Corée du Sud ; c'est encore plus faible en Russie. Pour la vente en ligne et la fonction de service, c'est la même chose au Japon. En France, la part de marché de Google en activité de recherches est de 90 % .
En France, il y a des secteurs où les spécificités françaises demeurent en matière de services mais la situation est tout de même différente de celle du reste du monde. D'ailleurs, c'est d'Europe que les sociétés étrangères tirent la majorité de leurs revenus . Les grandes sociétés de services sur l'Internet sont nord-américaines mais ont des activités européennes et réalisent l'essentiel de leurs bénéfices dans l'Union européenne. Quand vous êtes une entreprise étrangère et que vous arrivez en Europe, vous développez naturellement vos bases d'ancrage dans plusieurs pays au lieu de partir d'un pays européen puis de vous implanter progressivement dans vingt-huit autres.
Autre exemple, celui de la barrière linguistique. Il est plus compliqué pour les entreprises de se développer dans les pays qui possèdent un système linguistique totalement différent. Au Brésil, ce n'est pas le cas mais il est à noter que cette complexité n'est que de démarrage et ne saurait justifier l'inaction.
Si l'on regarde la façon dont fonctionnent les services ou les sites web coréens, ils sont totalement différents des sites européens ou américains dans leur design , leur forme, leur structuration, leur compréhension du client, leur logique. Ce qui signifie que les Coréens ont su créer une valeur ajoutée locale, peut-être sous la pression de leurs consommateurs locaux alors que l'Europe n'a pas su faire de même.
M. Serge Abiteboul. - Tout le numérique s'est développé extrêmement rapidement et manque d'indicateurs pour analyser les situations.
M. Jean-Baptiste Soufron. - Le projet de loi sur le numérique est prévu pour le second semestre de cette année avec une concertation allant du mois de mars au mois de juillet 2014.
Le Conseil du numérique s'interroge sur les obligations en matière de notifications à l'Union européenne et aux autres pays européens quant aux aspects qui devraient être traités au niveau européen ou international. De toute manière, le Conseil a indiqué que la concertation devrait comprendre un volet international, un volet européen et un volet national.
M. Serge Abiteboul. - La question de la confiance à accorder au stockage de données dans les nuages numériques conduit à des réponses très nuancées. En effet, il y a plusieurs façons de placer ses données dans des nuages numériques, c'est-à-dire sur un serveur, éventuellement près de chez soi mais, ce qui est important, c'est qu'il soit accessible de partout sur Internet. Dès ce moment-là, il y a des risques d'accès de personnes non désirées.
Dans le cas d'une petite entreprise plaçant ses données dans un nuage, le contrat conclu avec l'hébergeur mentionne que personne d'autre qu'elle-même n'a le droit de voir les données confiées. Si cela advenait, l'entreprise pourrait poursuivre l'hébergeur en justice.
À l'autre bout du spectre, vous choisissez de mettre vos données chez Facebook ou Google mail et vous ne payez rien mais il faut être conscient que, si le service est gratuit, cela signifie que le profit est ailleurs . En réalité , c'est en monétisant les informations placées dans le nuage que des profits sont dégagés. Le prix à payer par l'utilisateur du nuage est la perte du contrôle sur ses données et le fait de les laisser à disposition. Certes, chacun est supposé propriétaire de ses données sur Facebook mais autorise l'utilisation de ses données par Facebook notamment pour des analyses de son profil. De plus, ces données sont tout de même utilisées pour effectuer des analyses de données, de résultats, de tendances.
Il faut toujours se demander : qui paie pour le stockage ? Qui paie pour les applications ? Peut-on contrôler la confidentialité de données dans le nuage ?
C'est un problème de sécurisation des communications et des données. Des techniques de type cryptographique peuvent protéger raisonnablement. Mais, pour limiter le coût, on choisit des niveaux de cryptographie relativement bas qui sont probablement cassables par des techniques assez simples. Selon les niveaux de cryptographies, le prix de la protection sera plus ou moins élevé.
Le plus souvent, les faiblesses du système ne sont pas dans la cryptographie, car des cryptages très sophistiqués existent, mais dans les protocoles autour de celle-ci. Par exemple, comment peut-on accéder à vos données partout dans le monde ? Comme l'application doit récupérer une clé, tout un paquet de messages passent à cette occasion et cela risque d'être récupéré. C'est là où va se situer la faiblesse.
M. Jean-Baptiste Soufron. - Ce qu'il faut bien voir, c'est la différence entre le payant et le gratuit. D'un côté, le modèle gratuit repose sur des systèmes multifaces où les données sont peu sécurisées et, de l'autre, avec le modèle payant, le prestataire engage sa responsabilité.
C'est une piste que le Conseil du numérique a vu se dessiner à travers ses études sur la neutralité des plates-formes ou des réseaux . En fait, un effet de seuil va jouer pour l'entreprise qui propose ses services. En effet, à partir d'un certain seuil, la plate-forme n'est plus seulement votre prestataire de services mais devient une infrastructure indispensable. À ce stade, une inversion totale se produit affectant la façon dont vos données vont être protégées ou utilisées et cela vous échappe de plus en plus.
M. Serge Abiteboul. - Pour revenir à la souveraineté, il faut aussi souligner que, à partir du moment où vous mettez vos données sur une plate-forme nord-américaine, vous êtes soumis à la loi américaine . Vos données peuvent alors être regardées sans qu'il y ait aucun contrôle des juges. On peut estimer que le gouvernement américain ne va pas regarder ce que font les entreprises françaises mais, depuis le Patriot Act , et tout ce qui a constitué l'affaire Prism , cela est possible.
M. Jean-Baptiste Soufron. - Tout le monde est d'accord pour que le Patriot Act protège du terrorisme mais la question sur laquelle il faut s'arrêter c'est de se demander si ces regards autorisés sont organisés par un juge pour lutter contre le terrorisme ou bien si cela est possible à un fonctionnaire aux visées inconnues.
Il faut distinguer trois choses. D'abord la situation actuelle de mise en place des écoutes aux États-Unis parce que les données y sont présentes et où personne ne se pose la question de la légalité des écoutes faites . Si l'on regarde dans le détail, les pistes légales sont limitées.
Deuxièmement, le rapport demandé par le président Obama à un groupe d'experts a été décrié par la presse française mais, en réalité, ce rapport est assez remarquable. Parmi ses auteurs, figure notamment un grand constitutionnaliste américain. Le rapport propose une régulation des écoutes au niveau international et territorial. Ces pistes vont dans la bonne direction car elles sont à la fois favorables au monde des affaires, aux citoyens et elles permettent à l'administration de fonctionner. Ce rapport est très intéressant, très lourd. De plus, le président Obama semble avoir repris ce rapport à son compte même si, à l'heure actuelle, les personnes qui ont analysé ce rapport sont déçues de l'usage qui en a été fait. Mais le dialogue est en cours et la prise de conscience s'accélère .
L'avis du Conseil national du numérique sur la loi de programmation militaire a recommandé des concertations plus larges au niveau de la société civile puisqu'à la fois l'industrie, la recherche et la démocratie étaient concernées.
Deuxièmement, les règles internationales sur ce sujet sont relativement faibles, peu claires et, sans même aller jusqu'aux règles qui régissent l'espionnage entre États, les règles relatives au droit applicable et au tribunal compétent en cas de litige relatif à la vie privée ne sont pas d'une grande clarté . Ces sujets n'ont pas été vraiment abordés au niveau international sauf la question de la gouvernance internationale, par exemple celle des noms de domaine.
Le Conseil national du numérique a appelé à la mise en place d'un traité international .
M. Serge Abiteboul. - À titre privé, j'estime que la loi de programmation militaire est pour le moins ambiguë et dangereuse pour les libertés .
Ce qui peut être inquiétant, c'est que, sans passer par un juge, il soit possible de commander à des fournisseurs de services Internet de se livrer à des écoutes - ce qui est prévu par la loi de programmation militaire.
Il faut se méfier des réponses simplistes. Il ne faut pas qu'un texte de loi puisse être compris de plusieurs manières.
M. Jean-Baptiste Soufron. - Le Conseil national du numérique invite toujours l'ANSSI et la CNIL à venir participer à ses travaux mais, pour l'instant, le Conseil n'a pas vraiment travaillé sur la sécurité numérique .
La CNIL travaille plutôt dans un esprit européen de protection des données qui a des avantages par rapport ce qui se pratique dans les pays anglo-saxons. En revanche, il semblerait que la CNIL n'ait pas du tout réfléchi à la neutralité des réseaux ou des plates-formes .
M. Serge Abiteboul. - Sur l' open data , le Conseil ne s'est pas exprimé mais a été auditionné par le sénateur Gaëtan Gorce, il y a quelques semaines, et, du point de vue du Conseil , il n'y a pas d'opposition entre protection de la vie privée et protection de l'information publique , au contraire.
Depuis longtemps, la CNIL est très axée sur la problématique des libertés fondamentales et il serait souhaitable que soient développées quelque part des expertises sur le modèle économique des données , que ce soit à la CNIL ou ailleurs.
Nous connaissons bien la CNIL mais nous avons une mauvaise connaissance des modèles alternatifs qui existent ailleurs, par exemple en Californie, en Allemagne - où les valeurs sur la protection des données sont très similaires à celles de la France mais où le système d'organisation est très différent. En effet, chaque länder dispose d'une sorte de CNIL locale.
À noter que cela fait un moment qu'il est question de renforcer le dispositif de la CNIL, aussi bien en termes de moyens que de champ de compétence.
M. Jean-Baptiste Soufron. - L' open data peut se réaliser en conservant les données privées. La protection des données ne saurait être une excuse pour ne pas publier des données publiques. Ayant été auditionnés, il y a peu de temps, par le Sénat, nous avions émis des propositions quant aux données qui ne doivent pas être diffusées et, plutôt que de faire de la CADA une structure qui répond au citoyen, il faudrait voir pourquoi l'administration refuse de communiquer ses données et, alors, la CADA pourrait être saisie. Dans ce sens, cela changerait complètement la perception et le rôle de de la CADA qui est aujourd'hui une sorte de filtre entre les citoyens et l'administration.
Mais cette proposition mériterait d'être travaillée car il n'y a pas encore assez de propositions à mettre en balance les unes par rapport aux autres pour prendre une décision.
M. Serge Abiteboul. - Il serait intéressant que le Conseil national puisse travailler sur l' open data et les données personnelles.
Quoique pressé par des saisines, le Conseil national du numérique n'a pas été saisi sur ces sujets-là. Cependant, depuis l'origine, le Conseil est doté d'un pouvoir d'autosaisine qu'il n'a pas encore beaucoup utilisé, notamment pas sur les données personnelles.
Le Conseil a travaillé sur la neutralité des réseaux, la fiscalité de l'Internet, la concurrence et la neutralité des plates-formes, la loi de programmation militaire (autosaisine), le projet de loi égalité femmes-hommes, la proposition de loi de lutte contre le proxénétisme, le rapport inclusion, le rapport éducation, la santé.
M. Jean-Baptiste Soufron. - Le Conseil national est composé de trente membres bénévoles (un tiers de chercheurs, un tiers de représentants de la société civile, un tiers de représentants d'entreprises). Il s'appuie sur une micro administration de quatre personnes au secrétariat général et quelques stagiaires ; le Conseil n'a pas encore fêté sa première année d'existence.
Le Conseil réagit beaucoup à l'actualité. D'ailleurs, le Conseil avait réclamé une grande loi sur le numérique parce que, jusqu'alors, ce sujet était abordé de manière extrêmement éparse. Finalement cette grande loi arrive et, dans cette mesure, cela peut-il encore se justifier de s'autosaisir sur le sujet essentiel des données personnelles ?
Au-delà de l'axe des données personnelles, l'axe des données économiques n'a pas encore été vraiment abordé . Des expérimentations ont lieu, en France et dans le monde, mais il n'y a pas encore suffisamment de recul pour pouvoir traiter ce thème.
Quant à l'axe relatif aux données personnelles et à la protection de la vie privée , il a fallu plusieurs années pour que le public s'y intéresse. Cela a commencé par un scandale à Bercy, en 1974, avec le projet Safari relatif à la prévention anti-fraude quand quatre fonctionnaires du ministère des finances ont écrit un article dans Le Monde , sous pseudonyme, pour dénoncer ce mécanisme de croisement de données en l'absence de toute règle.
À l'époque, il est à souligner que la réponse française à ce scandale n'a pas été de lancer un mandat d'arrêt international contre ces quatre lanceurs d'alerte, à l'inverse de ce qui est advenu pour Snowden. La réaction a consisté à lancer une mission d'enquête parlementaire suivie d'un projet de loi qui a entraîné la création de la CNIL et le vote de la loi de 1978 imposant l'autorisation préalable, l'accès aux données, la rectification de données, la suppression de données, etc.
Ces logiques sont devenues automatiques dans l'esprit des citoyens et des dirigeants mais quarante ans plus tard.
Aujourd'hui, quand une entreprise utilise des données commerciales, numériques, ce ne sont pas forcément des données personnelles mais des profils types. À partir de là, on connaît les goûts des personnes qui permettent de leur adresser des publicités en rapport avec ceux-ci mais sans que l'identification ait eu lieu.
En parallèle, les entreprises et les citoyens qui travaillent sur ces sujets ont commencé à élaborer des modes de régulation et de responsabilisation assez surprenants. Par exemple, quand les publicités s'affichent sur Internet, souvent un tout petit bouton situé en haut à gauche permet d'ouvrir un lien qui explique pourquoi cette publicité vous a été adressée. Un avis sur la publicité et son utilité est alors demandé... ce qui est encore une façon d'obtenir une information supplémentaire.
Si vous auditionnez M. Daniel Kaplan, membre du Conseil national du numérique, il vous expliquera la façon dont on met en place des mécanismes de gestion fine de données pour le citoyen appelé à préciser le type de données qu'il accepte de partager.
M. Serge Abiteboul. - De manière générale, les gens ne sont pas informés de la protection des données et de ce qu'ils devraient ou pourraient faire.
Quant aux moyens d'y remédier, c'est particulièrement critique dans les petites entreprises , les PME. Les grands groupes, eux, peuvent se payer une entreprise spécialisée qui peut les sécuriser très bien mais pour un coût important alors qu'une PME ne peut se payer un spécialiste de la sécurité. D'une certaine façon, une PME constitue une cible facile pour des cyberattaques . Quand une cyberattaque se produit, la PME ne sait pas forcément comment réagir ; cela peut donc être difficile et traumatisant pour elle.
De plus, comme la PME ne sait pas à qui s'adresser, l'État pourrait l'aider . Car c'est difficile de trouver un expert en sécurité qui vienne juste analyser le problème, voir ce qui s'est passé. La plupart du temps, les personnes ne sont pas du tout capables de comprendre ce qui est advenu. Il est probable qu'elles ne disposaient pas de la protection souhaitée et n'ont pas compris vraiment ce qui s'est passé pendant l'attaque. Les PME n'ont pas encore ce genre de culture alors que les grandes entreprises savent mieux se protéger.
M. Jean-Baptiste Soufron. - Quant au cadre juridique international, il faut évoquer le Traité transatlantique de libre-échange . Ce traité comprend une partie numérique qui est aujourd'hui complètement sous-estimée par ceux qui négocient ce traité. Plus on creuse, plus on se rend compte que ce point est essentiel dans ce texte qui contient de nombreux nouveaux concepts qui sont poussés dans la négociation et, parmi ceux-ci, il en est qui visent à anéantir la possibilité pour les Européens de réguler les données .
Le principe phare pour les Américains c'est le free flow information , le libre échange des données entre pays. À leurs yeux, tout ce qui le ralentit ou l'empêche doit être écarté. Devraient donc être écartées beaucoup de lois nationales et les clauses de compétence car seul le contrat qui vous lie à l'entreprise détermine l'autorité arbitrale ou le tribunal compétent dans le pays de l'entreprise.
De même, en matière de marchés, si un État, des entreprises françaises ou européennes choisissent un prestataire pour localiser et stocker leurs informations, un tel marché pourrait être contesté au titre du traité.
Pour la politique de données des entreprises , le problème réside en partie dans un manque de préconisations. Un des risques numériques, très sous-estimé aujourd'hui, est la négociation sans précaution du traité de libre-échange transatlantique , même si ce n'est probablement pas le risque principal pour les entreprises.
Peut-on abandonner toute souveraineté ? Dans la négociation sur la partie numérique du traité, il existe une différence d'énergie entre les États-Unis et l'Europe. Il serait sans doute nécessaire d'intégrer ce point dans les travaux de l'Office, d'autant que les négociations vont durer quelques années.
C'est un des paradoxes du règlement sur les données au niveau européen car, dans le cadre de la négociation du programme transatlantique de libre-échange, c'est peut-être plus intéressant de les conduire en s'appuyant sur ce règlement que de se présenter sans.
M. Serge Abiteboul. - Je suis déjà venu au Sénat pour une autre réunion sur les risques du numérique. L'Office considère-t-il aussi les opportunités offertes par le numérique ?
Il faut se demander ce que pourrait être une loi protégeant mieux les entreprises et aussi aborder la question par une approche des opportunités . Que faut-il faire pour aider les entreprises, pour les aider à développer de nouveaux modèles d'affaires ?
On travaille beaucoup sur les systèmes d'information personnels . Plutôt que de céder vos informations à de grandes entreprises qui sont plutôt américaines et perdre un peu le contrôle de vos données, ne serait-il pas possible d'avoir un modèle dans lequel il soit possible de contrôler son information chez un prestataire européen qui va protéger vos données, s'occuper des relations que vous avez avec toutes les personnes qui vous vendent des choses ? Cette approche ne serait plus seulement défensive mais bien plutôt constructive.
M. Jean-Baptiste Soufron. - Deux entreprises françaises, Lima et Cosy Cloud , se sont montées pour proposer des solutions dans le nuage numérique . Lima c ommercialise un boîtier à placer au dos de votre Freebox et incluant un disque dur ; avec ce dispositif, vous avez votre petit nuage de stockages de données personnelles. Quant à Cosy Cloud , ce site permet d'accéder à des services documentaires et de les stocker directement chez vous. Cela change complètement le rapport à la propriété des données pour l'entreprise, au contrôle des données etc. C'est peut-être aussi là que se situent les opportunités de marché.
Ces entreprises font partie de la filière sécurité fait partie des trente-quatre plans du ministère du redressement productif .
Il faut accepter de se protéger mais ne pas rester bloqué sur cette protection.