Allez au contenu, Allez à la navigation

Le devoir de souveraineté numérique

1 octobre 2019 : Le devoir de souveraineté numérique ( rapport de commission d'enquête )

AVANT-PROPOS

« Gouvernements du monde industriel, vous géants fatigués de chair et d'acier, je viens du Cyberespace, le nouveau domicile de l'esprit. Au nom du futur, je vous demande à vous du passé de nous laisser tranquilles. Vous n'êtes pas les bienvenus parmi nous. Vous n'avez pas de souveraineté où nous nous rassemblons. » (John P. Barlow, 1996)3(*)

« Je trouve enthousiasmant le potentiel du Libra, et je suis fier que ce soit Facebook qui en ait pris l'initiative ici, aux États-Unis. Je crois que si l'Amérique ne mène pas l'innovation dans le secteur de la monnaie numérique et des paiements, d'autres le feront. Si nous n'agissons pas, nous pourrions bientôt voir une monnaie numérique contrôlée par d'autres acteurs dont les valeurs sont radicalement différentes des nôtres. » (David Marcus, Facebook, chef du projet de monnaie virtuelle Libra, 2019)4(*)

Mesdames, Messieurs,

Développé initialement sur des bases théoriques libertaires et libertariennes, dont la célèbre déclaration d'indépendance du Cyberespace de John P. Barlow en 1996 résonne comme le manifeste le plus enthousiaste, bâti sur une architecture technique décentralisée permise par les progrès de la technologie, Internet a connu depuis le milieu des années 2000 des évolutions notables : recentralisation du web, autour de systèmes fermés et de technologies propriétaires, développement des applications, « plateformisation », et surtout émergence de grands acteurs privés bénéficiant de puissants effets de réseaux au soutien de leurs offres de nouveaux services et outils numériques.

Ces entreprises géantes du numérique, les « Gafam »5(*) américains, les « BATX »6(*) chinois, dépassent désormais celles des secteurs traditionnels en termes de valorisation financière et atteignent un nombre d'utilisateurs inédit dans l'histoire (Facebook revendique ainsi 2,4 milliards d'utilisateurs actifs chaque mois).

Loin de l'utopie égalitaire et individualiste des débuts, le cyberespace est bien aujourd'hui le lieu où s'exercent les conflits d'intérêts, les luttes d'influences et de logiques économiques et sociales antagonistes, bref le retour sous des formes nouvelles de la très classique compétition pour la prise de pouvoir. Les États, avec l'appui plus ou moins ambigu de ces géants numériques, développent ainsi des stratégies de domination, d'indépendance ou d'autonomie dans le cyberespace.

À l'échelle de nos concitoyens, le déploiement désormais généralisé des outils numériques pose aussi un véritable défi démocratique pour l'expression de la volonté générale. Ces outils peuvent troubler le jeu politique en facilitant de nouveaux modes d'actions pour des tentatives d'ingérence ou de manipulation spécifiques et ciblées : le vol de données d'un QG de campagne et leur dissémination publique lors de l'élection présidentielle de 2017 en témoigne chez nous, et, à l'échelle mondiale, l'affaire dite « Cambridge Analytica » montre le danger de méthodes peu scrupuleuses de recueil massif, d'analyse et de recoupement des données aux fins d'influence sur les choix politiques.

Plus généralement, l'absorption de l'attention par des techniques ciblant avec une redoutable précision chaque seconde de « temps de cerveau disponible » peut laisser craindre, à terme, une réduction du temps d'exercice des fonctions mêmes de citoyen - en 2018, en moyenne, un Français consacrait ainsi 18 heures par semaine à internet... Force est de reconnaître souvent le désarroi du pouvoir politique face à une société dont le numérique change profondément le comportement et les modes de participation démocratique, en particulier chez les jeunes générations.

Comment, dans ce contexte, et face à de redoutables concurrents, conserver une capacité autonome d'appréciation, de décision et d'action pour l'État dans le cyberespace ? Comment garantir une « autonomie informationnelle » suffisante à nos concitoyens de plus en plus dépendants d'intermédiaires techniques au fonctionnement souvent opaque ?

Créée par le Sénat le 9 avril 2019, à l'initiative du groupe Les Républicains, notre commission d'enquête a bénéficié dans ses réflexions de l'audition de 63 7(*)personnes entendues sous serment au cours de plus de 70 heures d'échanges. Elle s'inscrit dans la lignée des travaux engagés sur ces sujets depuis quelques années8(*) par plusieurs collègues appartenant à toutes les sensibilités politiques de notre assemblée.

Elle s'est attachée à identifier, d'une part, les champs fondamentaux de notre souveraineté numérique, qu'elle soit individuelle ou collective, pour esquisser, d'autre part, les moyens de la reconquérir, qu'ils relèvent de la règlementation ou de la mise en oeuvre de politiques publiques. Pour ce faire, votre rapporteur a procédé sans naïveté ni résignation.

Pas de résignation, d'abord. Car malgré le caractère immatériel du web et du « cyberespace », le réseau internet qui en permet le déploiement garde cependant toujours un ancrage territorial donnant prise à la puissance publique : le réseau dépend en effet d'actifs physiques stratégiques indispensables (centres de données, câbles,...) qui nécessitent des investissements considérables et relèvent, au moins pour partie, d'ordres juridiques nationaux ; les équipements actifs et les protocoles utilisés (pour la communication des données ou leur chiffrement) répondent à des normes techniques négociées au sein d'instances internationales ; les entreprises dominantes du numérique ont elles-mêmes des nationalités (Gafam aux États-Unis et BATX en Chine) et sont également soumises aux contraintes de législations locales, à portée souvent extraterritoriale, voire concurrentes (Cloud Act vs. RGPD) ; les technologies (intelligence artificielle) et les ressources humaines (ingénieurs, programmeurs...) se développent grâce à un écosystème de recherche et d'innovation dans lequel la puissance publique nationale a toute sa part (financements publics, lien avec les industries de défense ou les agences d'innovation, programmes de formations et universités).

Aucune porte n'est dès lors fermée pour la préservation de la souveraineté numérique française : la technologie et les logiciels, algorithmes compris, ne nous marginalisent pas, même si nous sommes - comme souvent en haute-technologie et en sciences - sur le fil du rasoir. Les infrastructures nous sont accessibles - c'est même un paradoxe : l'argent public français, national et local, public et privé, finance des réseaux universels et accessibles à tous, assurant ainsi le développement des Gafam, premiers utilisateurs des autoroutes de l'information ! Enfin, si le marché des services numériques est dominé par les grands acteurs Nord-Américains, ils ne sont pas tous, loin s'en faut, en position durablement dominante, en théorie du moins.

Pas de naïveté non plus, cependant : les équilibres entre puissances placent aujourd'hui l'Europe, et la France, dans une position bien particulière. Pour les Etats-Unis, il s'agit d'affirmer une souveraineté mondiale, forts de la création du net à l'origine libertarien - mais financé par la Défense, au prix de l'acceptation des monopoles - pourtant si contraires à la pratique historique des Etats-Unis -, et d'une chasse permanente et mondiale aux talents et aux pépites - puisque « le gagnant prend tout ». Pour la Chine et la Russie, l'affirmation de souveraineté se décline de façon différente, plus défensive et parfois plus subtile.

Cette situation géopolitique laisse peu de place pour une stratégie européenne encore mal définie : entre le duopole Chine-USA des géants numériques, nos capacités d'investissements restent marginales, l'accent est donc mis sur la défense de valeurs (une conception exigeante de la vie privée), et le principal levier reste, par défaut, de négocier l'accès des entreprises à un marché intérieur convoité de près de 500 millions de consommateurs. De même, la défense que promeut la France face aux menaces cyber et à la cybercriminalité est la reconnaissance de l'application des principes du droit international dans le domaine cyber et du multilatéralisme - dont l'Appel de Paris résume l'ambition. Elle tente de gagner ses partenaires européens à ces lignes d'action et promeut, sans angélisme, la coopération entre pays amis, avec la réserve adaptée aux secteurs vitaux et stratégiques.

Dans ce contexte de compétition intense entre États dans le cyberespace, votre commission a abordé les scénarii permettant de répondre aux menaces pesant sur notre souveraineté et se traduisant par la remise en cause de l'ordre économique, de l'ordre juridique, et du système fiscal et monétaire.

Elle envisage enfin la façon dont peut s'exercer la souveraineté numérique - capacité de l'État à agir dans le cyberespace - dans ses deux dimensions :

- la faculté d'exercer une souveraineté dans l'espace numérique, qui repose sur une capacité autonome d'appréciation, de décision et d'action dans le cyberespace - et qui correspond de fait à la cyberdéfense ;

- et la capacité de garder ou restaurer la souveraineté de la France sur les outils numériques afin de pouvoir maîtriser nos données, nos réseaux et nos communications électroniques.

Enfin, votre commission d'enquête propose un principe et une méthode d'action : un rendez-vous triennal, des mesures précises et urgentes dans le domaine de la protection données, une réforme de la réglementation visant le renforcement de notre souveraineté numérique et une action sur les leviers de l'innovation et du multilatéralisme pour garantir la souveraineté numérique nationale dont le Sénat se veut être le gardien.

I. QUELS SCÉNARII FACE AUX MENACES PESANT SUR NOTRE SOUVERAINETÉ ?

A. LA COMPÉTITION INTENSE ENTRE ÉTATS DANS LE CYBERESPACE

La maîtrise des données a de profondes répercussions économiques et a permis l'émergence d'acteurs économiques capables de rivaliser avec les États. Elle est également un enjeu géopolitique et les stratégies nationales déployées par les États eux-mêmes entrent en concurrence. Selon le rapport intitulé « L'Europe : sujet ou objet de la géopolitique des données »9(*) : «  Les données ne doivent plus seulement être comprises comme un sujet juridique et commercial, mais comme un enjeu de politique internationale à part entière ».

Le cyberespace a ceci de particulier qu'il est le seul espace stratégique créé de la main de l'homme. Ce monde immatériel apparaît comme un monde à conquérir ou, a minima, dans lequel exercer sa puissance, au même titre que le monde matériel, d'abord terrestre, puis maritime, et enfin aérien, a été pendant des siècles le lieu d'affrontements pour la suprématie. Le lieu de ces confrontations est désormais en grande partie immatériel et situé hors des frontières physiques des États, dans un espace sans territoire, mais non sans matérialité.

Le cyberespace se compose en effet d'une couche matérielle qui correspond à l'ensemble des appareils, serveurs, routeurs, ordinateurs qui permettent l'interconnexion des machines ; d'une couche logique ou logicielle qui couvre les éléments de communication entre les machines elles-mêmes, autrement dit les protocoles, ou bien entre les humains et les machines, c'est-à-dire les logiciels. Ces deux premières couches forment l'organisation technique du cyberespace et définissent la manière dont les réseaux fonctionnent. La troisième couche, dite sémantique ou informationnelle, correspond à l'ensemble des informations qui transitent au travers des deux premières. Cette segmentation en trois couches justifie une différence d'approches nationales selon la culture du cyberespace que l'on choisit de privilégier10(*).

Les États-Unis ont pensé le développement du cyberespace concomitamment à leur positionnement comme leader de ce nouvel espace stratégique. Le modèle américain ultra-libéral, porté et portant ses acteurs privés, nouvelles compagnies coloniales du monde numérique pour filer la métaphore utilisée en son temps par notre collègue Catherine Morin-Desailly, est souverain, dominant les secteurs clés, imposant ses normes, favorisant ses acteurs économiques au détriment des usagers.

S'y opposent des modèles chinois et russe, autoritaires, segmentant l'espace numérique pour en avoir un parfait contrôle à l'intérieur des frontières physiques du pays. Ce modèle est-il réellement souverain ?

Enfin, face à ces stratégies, celles de la France et de l'Europe apparaissent parfois idéalistes et peu pragmatiques. L'Europe et la France sont souvent présentées comme l'enjeu du cyberespace, avec un marché de 500 millions de consommateurs. Sont-elles encore des acteurs ?

1. La politique américaine : la recherche d'un leadership incontesté

Les États-Unis ont structuré leur vision stratégique et géopolitique du cyberespace sur son architecture technique, définie par ses deux premières couches, avec 90 % des communications dans le cyberespace circulant de manière sous-marine via des câbles, et un recours aux serveurs racines pour faire fonctionner Internet. C'est une vision libérale, avec des segments fixes détenus par le Department of Defense sur les serveurs racines, comme le serveur qui appartient au laboratoire de recherche de l'armée américaine, ou le serveur propriété de la NASA. L'État américain exerce ainsi un contrôle matériel très fort, l'action privée s'exerçant surtout sur les couches logicielle et sémantique.

Le contrôle des données est l'axe prioritaire tant du « redéveloppement » économique américain, structuré autour des géants économiques, que sont les Gafam, que de la stratégie américaine de sécurité, appuyé par les pouvoirs très importants confiés à la National Security Agency (NSA)11(*). Cette priorité prend appui sur la longue tradition d'open door policy ou liberté de circulation des données défendue par Washington visant à l'ouverture des marchés au profit du maintien de la prééminence américaine, à la fois militaire et économique12(*). Pour autant cette stratégie ne paraît plus aussi simple à mener qu'elle a pu l'être par le passé.

a) Des relations complexes entre les Gafam et l'État américain

Aucun autre pays que les États-Unis n'a aussi étroitement intégré l'utilisation, voire la captation des données au sein de sa stratégie économique et de sa politique de sécurité. Cette politique a été très favorable au développement d'un écosystème d'innovation et de développement économique dans le secteur numérique, qui a abouti à l'émergence des géants américains numériques. Les aides de l'Agence pour les projets de recherche avancée de défense (Defense Advanced Research Projects Agency -DARPA) au secteur numérique ont été déterminantes dans l'émergence de cet écosystème. Les effets combinés de la crise de 2008, entraînant la disparition des entreprises les plus fragiles et laissant les autres sans concurrents, et d'un modèle économique basé sur l'effet de réseau ont favorisé la constitution de monopoles, voire de conglomérats.

Les États-Unis sont attachés au principe de libre-concurrence et ont su à plusieurs reprises au cours de leur histoire démembrer les monopoles économiques qui s'étaient formés dans le domaine de l'exploitation pétrolière puis plus tard dans celui des télécommunications. Dans le cas du numérique, pourtant, ce n'est que récemment que des critiques ont émergé sur la concentration des acteurs du cyberespace et encore ne sont-elles pas unanimement partagées par la classe politique américaine. Des actions ont toutefois été engagées en justice en septembre 2019 à l'encontre de Facebook et de Google. De fait, les relations du pouvoir américain avec les Gafam et les autres entreprises numériques est ambigu.

Les autorités s'attribuent sous Obama la propriété d'Internet, dans un nationalisme numérique assumé et quasi messianique lorsque la secrétaire d'Etat, Hillary Clinton promettait en 2010 d'abattre le rideau de fer numérique en référence au vaste système de censure en ligne chinois qui était déployé. Prompt à les soutenir à l'international, en agitant des menaces de représailles après l'adoption de la taxation des géants du numérique ou en présentant le RGPD comme anticoncurrentiel13(*), l'actuel président américain ne présume pas du soutien de ces entreprises. Les Gafam sont en effet traditionnellement identifiés comme des soutiens du parti démocrate, au sein duquel se tient pourtant le débat sur leur démantèlement.

Mais, en fait, la frontière entre les Gafam et l'État américain est « particulièrement poreuse, les liens interorganisationnels et interpersonnels qui unissent ces deux mondes concourent à la structuration d'un «?complexe techno-étatique?», technocratique, même, au sens quasi étymologique du terme »14(*). Selon Charles Thibout, chercheur associé à l'IRIS : « Pour prendre l'exemple de Google, entre 2005 et 2016, l'entreprise a embauché près de 200 membres du gouvernement américain, dont une majorité à des postes de lobbyistes, et, concomitamment, une soixantaine de ses employés ont rejoint la Maison Blanche, les agences gouvernementales ou le Congrès. Entre 2015 et 2018, Alphabet a déboursé près de 70 millions de dollars en lobbying à Washington : 82 % de ses lobbyistes enregistrés sur la période 2017-2018 travaillaient auparavant soit à la Maison Blanche, soit dans des agences gouvernementales, soit au Congrès. ».

Selon Félix Tréguer, chercheur, membre fondateur de La Quadrature du Net, ce phénomène tient finalement plus de la fusion que de la concurrence entre l'État et les Gafam15(*).

b) Une politique de la donnée basée sur une extraterritorialité juridique agressive

Au-delà du lien supposé ou réel entre les autorités politiques et ces entreprises, le conflit qui a opposé Apple au gouvernement américain est symptomatique d'une bataille pour la souveraineté entre l'État américain et les entreprises américaines du numérique : Apple, en 2015, a refusé de livrer au FBI les clés du chiffrement de l'iPhone de l'auteur de la fusillade de San Bernardino16(*). En 2016, c'est Microsoft qui a refusé de livrer au FBI les courriels d'un trafiquant de drogue, hébergés sur des serveurs situés en Irlande. La réquisition directe, sans coopération judicaire internationale, semblait illégale à Microsoft et susceptible de nuire encore à la confiance de ses clients, déjà entamée par le Patriot Act et les révélations de Snowden.

Le Cloud Act (Clarifying Lawful Overseas Use of Data Act) a été la réponse légale des pouvoirs publics américains aux réticences des entreprises du numérique. Cette loi facilite l'obtention par l'administration américaine de données stockées ou transitant à l'étranger, via notamment les opérateurs et fournisseurs de services en ligne américains. Cet acte législatif contraint les entreprises numériques américaines à accepter la pleine souveraineté numérique des États-Unis. Lors de leurs auditions par votre commission en juillet et septembre 2019, les représentants des Gafam ont fait preuve d'une grande prudence et ont fait valoir leur volonté de protéger les données de leurs utilisateurs et clients. Ainsi, entendu par votre commission le 18 juillet 2019, M. Marc Mossé, directeur juridique et affaires publiques de Microsoft Europe a déclaré : « La position de Microsoft devant la Cour suprême - visant à protéger les données stockées en Europe - demeure, même si le cadre a évolué. Nous protégeons les données de nos clients : premièrement en répondant aux autorités qui nous sollicitent qu'il faut demander ces données directement aux clients, deuxièmement en avertissant nos clients si nous sommes saisis d'une telle demande, et troisièmement en envisageant fortement de nous opposer à une telle demande en cas de conflit de loi précis et clair. »

2. La Chine : une politique numérique globale aux résultats encore incomplets

La Chine comme la Russie ont développé des politiques visant à garantir leur souveraineté numérique et à s'émanciper de l'hégémonie américaine. Ces politiques, éloignées des valeurs occidentales démocratiques, connaissent un succès mitigé mais ne doivent en rien être négligées.

Au modèle américain s'oppose le modèle chinois, autoritaire, segmentant l'espace numérique pour en avoir un parfait contrôle sur son sol, interdisant aux entreprises étrangères de transférer leurs données électroniques vers leurs sièges nationaux, utilisant les données personnelles de ses citoyens pour asseoir la domination du parti communiste chinois. Ce modèle est-il réellement souverain ?

a) Le basculement de la Chine vers le cyberespace

La puissance numérique chinoise a cru très fortement. En matière de capacités de de cloud computing, la Chine arrive en seconde position, derrière les États-Unis et connaît une croissance d'activité extrêmement forte, de sorte qu'elle tend à remettre en cause la toute-puissance américaine dans ce champ. Le nombre d'utilisateurs d'Internet entre 2000 et 2016 s'est nettement rééquilibré en faveur de la Chine17(*). Ainsi, en 2000 sur 412,8 millions d'utilisateurs d'Internet : 122 millions étaient situés aux États-Unis, 77 millions dans l'Union européenne, 38 millions au Japon, 22 millions en Chine, 21 millions en Corée du Sud, 16 millions au Canada et 9 millions en Australie. Le Brésil, le Mexique et la Malaisie comptaient chacun 5 millions d'utilisateurs et l'Inde 6 millions. En 2016, Internet comptait 3,4 milliards d'utilisateurs dont 733 millions localisés en Chine, 414 millions dans l'Union européenne, 391 millions en Inde et 246 millions aux États-Unis. Le Brésil recensait 126 millions d'utilisateurs et le Japon 118 millions. La Russie qui comptait moins de 5 millions d'utilisateurs d'Internet en 2000 en totalisait 106 millions en 2016. Viennent ensuite le Mexique avec 76 millions, l'Indonésie avec 66 millions, la Corée du Sud et le Nigéria avec chacun 48 millions puis la Turquie avec 46 millions et l'Iran avec 43 millions.

Nicolas Mazzuchi, entendu par votre commission d'enquête18(*) a rappelé que cette évolution ne devait rien au hasard : les Chinois ont su mesurer l'importance de mener une politique de puissance dans le cyberespace. Il a ainsi rappelé que « la Chine est venue au cyberespace dans la seconde moitié des années 90, à ses propres conditions. Elle a d'emblée adopté la segmentation du cyberespace en trois couches et a décidé de devenir souveraine sur ces trois couches, tout au moins dans son propre espace national. La Grande Muraille dorée opère un contrôle des données sur la première couche, sous la forme d'un gigantesque pare-feu permettant à l'État chinois de contrôler, avec une efficacité importante, tout ce qui entre et sort de l'espace informationnel chinois.

Au niveau de la deuxième couche, la population chinoise peut bénéficier des services d'opérateurs nationaux qui offrent en version locale et facilement contrôlable, avec une législation obligeant à stocker les données sur le territoire national, l'équivalent de ce que proposent les opérateurs internationaux. On retrouve ainsi répliqués les grands Gafam (Google, Apple, Facebook, Amazon, Microsoft), avec, par exemple, Baidu pour Google, Alibaba pour Amazon, ou Sina Weibo comme Twitter local.

Pour ce qui est de la couche sémantique, une armée d'opérateurs sont payés pour effectuer des contrôles destinés à empêcher l'émergence de critiques sur le système politique et social chinois. L'État chinois affiche ainsi sa volonté de garder la mainmise sur toute l'architecture de son cyberespace, permettant à la Chine de s'insérer dans le cyberespace à ses propres conditions. ».

b) Une souveraineté numérique chinoise encore relative

Les BATX19(*) rivalisent avec les Gafam, et cette politique a permis à la Chine de garder les deux tiers de son trafic national numérique sur son sol20(*). De plus, le contrôle de la population par les technologies numériques se met en place avec un système de notation sociale dont l'acceptabilité par les sociétés occidentales démocratiques paraît à l'heure actuelle inenvisageable21(*).

Pour autant de nombreux analystes mettent en doute la capacité de la Chine de tenir à long terme sa « muraille de Chine numérique ». Deux éléments viennent corroborer ceci :

- si la Chine parvient bien à garder son trafic numérique sur son sol, seuls 24 % des visites sur les sites Web aboutissant aux États-Unis, les composants publicitaires contenus par les pages Web, appelés « trackers »22(*) aboutissent pour 87 % d'entre eux aux États-Unis,

- la chaîne de valeur numérique chinoise n'est pas à l'abri des décisions américaines. La décision de bannir le géant chinois Huawei du sol américain et, autant que faire se peut, du sol des pays alliés des États-Unis, a montré l'importance des liens d'interdépendance tissés entre la Chine et les États-Unis. Cette interdépendance est complexe et handicape à la fois la Chine et les États-Unis comme l'ont montré les récents soubresauts de l'industrie des semi-conducteurs.

c) Politique économique dirigiste et arsenal juridique au service de la souveraineté numérique de la Chine

La Chine a pris modèle sur l'ancien schéma occidental de l'administration technicienne? qui fit, jadis, le ?succès? de l'Europe et des États-Unis23(*). Elle a ainsi défini les grandes lignes de sa politique de puissance dans le plan quinquennal 2015-2025 « Made in China » et le 13e plan quinquennal 2016-2020. Pékin vise l'autonomie et la souveraineté dans de nombreux domaines, notamment : les nouvelles technologies de l'information, la robotique, le secteur aérospatial, les biotechnologies, les véhicules électriques et de basse consommation. L'intelligence artificielle est également un secteur prioritaire aux termes du 13e plan.

Pékin n'est pas encore parvenu au degré d'autonomie et de souveraineté défini par ses documents de programmation mais poursuit ses efforts : en finançant par exemple la recherche et l'innovation dans les domaines stratégiques du numérique tels que l'intelligence artificielle ou la politique spatiale24(*).

De même, la Chine vise à s'émanciper de l'hégémonie américaine dans le domaine des câbles sous-marins. En 2021, dans le cadre du projet « PEACE » (pour Pakistan and East Africa Connecting Europe) participant de la stratégie des nouvelles routes chinoises de la soie, la France devrait accueillir à Marseille le premier câble chinois. Long de 12 000 km, il relira le Pakistan, Djibouti, le Kenya, l'Égypte et la France.

Les autorités chinoises rationnalisent leurs acteurs dans le domaine des câbles sous-marins avec le rachat par le groupe Hengtong, plus gros fabricant mondial de câbles optiques terrestres et sous-marins, de 51 % du capital de Huawei Marine Networks, filiale de câbles sous-marins de Huawei, co-détenue avec Global Marine25(*), et quatrième producteur mondial de câbles derrière l'Américain TE Subcom, le Japonais NEC et le Français Alcatel Submarine Networks. Ce rachat va permettre l'émergence d'un acteur économique puissant.

Autre corde à l'arc chinois : la mise en place d'un arsenal juridique propre à garantir la relocalisation des données chinoises en Chine.

En 2016, la Chine a ainsi adopté une loi sur la cybersécurité qui, au nom de la protection de la sécurité nationale et de la vie privée, offre une très large marge de manoeuvre aux responsables de la sécurité et aux organismes de réglementation pour surveiller internet. Des politiques dites de cryptosécurité ont également prévu l'interdiction d'utiliser des équipements terminaux de fabrication américaine à certaines occasions et à certains endroits.

Le 1er janvier 2017, le Gouvernement chinois a annoncé un plan visant à reconquérir la souveraineté chinoise sur internet exigeant notamment des entreprises de télécommunications qu'elles ferment tout accès aux VPN26(*), moyen de contourner les mesures numériques isolationnistes chinoises. Le 1er juin 2017, est entrée en vigueur la loi sur la cybersécurité imposant aux entreprises actives dans la collecte de données personnelles et dans les infrastructures de réseau de stocker physiquement lesdites données sur des serveurs localisés en Chine. Un délai de grâce de 19 mois était prévu pour permettre aux entreprises de se mettre en conformité avec cette législation. Les Gafam ont signé des accords de partenariats avec des sociétés chinoises, à l'exception d'Apple qui a ouvert un centre de données en Chine.

La Cyberspace Administration of China (CAC) a rédigé un nouveau règlement en mai, qui stipule que si l'acquisition de produits et de services perturbe l'infrastructure de l'information clé, ou entraîne des pertes importantes de renseignements personnels et de données importantes, ou pose d'autres risques de sécurité, elle doit être signalée au bureau de révision de la cybersécurité de la CAC.

Si la Chine n'exerce pas une souveraineté numérique complète, elle met en oeuvre des moyens dirigistes voire autoritaires pour y remédier.

3. La Russie : une stratégie numérique autoritaire adaptée à ses moyens et ses ambitions
a) La Russie investit les couches du cyberespace à sa portée

Selon Nicolas Mazzuchi, l'espace euro-Atlantique a négligé l'importance de la couche sémantique d'internet, qui a fait un retour fracassant, avec l'invasion de la Crimée par la Russie, puis le scandale Cambridge Analytica27(*). Il estime que « la Russie au contraire a investi sur la couche sémantique du web au point de parler d'« espace informationnel » pour désigner le cyberespace. (...) [le modèle russe] se concentre sur la capacité d'avoir des opérateurs informationnels qui émettent en langue russe, au-delà des frontières russes, dans un espace post-soviétique relativement étendu. Ce modèle fait force de sa faiblesse en se concentrant sur la couche internationale au détriment des deux couches techniques. ».

L'action des pouvoirs russes se concentre sur cette couche informationnelle d'internet. Cette stratégie pourrait s'expliquer par un certain pragmatisme, la Russie ne disposant pas de champions mondiaux dans le domaine numérique au même titre que les Gafam ou les BATX. Pour autant, les récentes avancées russes en informatique devraient leur permettre de ne plus dépendre ni de Microsoft ni d'Intel pour leurs systèmes sensibles28(*). Si ses acteurs industriels ne sont pas de premier rang international, ils parviennent apparemment à développer des outils autonomes.

Sur la couche sémantique, la Russie a également des acteurs nationaux : Mail.ru - propriétaire du « Facebook russe » VKontakte - et Yandex, moteur de recherche dominant le marché russe, qui a lancé son Yandex.phone en 2018, produit de moyenne gamme d'un coût modéré. Mail.ru a récemment annoncé une alliance avec le géant chinois de l'e-commerce Alibaba, tandis que Yandex s'est associé avec la première banque du pays, Sberbank, pour la création d'une société commune dans le commerce en ligne, valorisée à un milliard de dollars.

b) Elle déploie un arsenal juridique visant à garantir sa souveraineté

La Russie a, de fait, mis en oeuvre une politique très autoritaire pour protéger sa souveraineté numérique dans le cyberespace. À partir de 201229(*), et en réaction aux mouvements de contestation citoyens, la censure d'Internet a été centralisée et organisée. Des règles de localisation des données des ressortissants russes ont été définies : le stockage doit s'effectuer exclusivement sur des serveurs situés physiquement en Russie. De même, les activités de surveillance du web sont facilitées par l'accroissement des pouvoir du Service Fédéral de Surveillance des Télécommunications, des Technologies de l'Information et des Moyens de Communication, le Roskomnadzor. Le blocage des adresses internet et l'inspection des paquets de données deviennent monnaies courantes.

En 2015, le Roskomnadzor a pu exiger de Reddit30(*), puis de Google, Facebook et Twitter qu'ils censurent des centaines de pages de leurs utilisateurs, en s'appuyant sur la « loi des blogueurs », adoptée en 2014, qui interdit l'anonymat des blogueurs et autres internautes ayant une influence sur la population par leurs écrits. La sanction encourue par les entreprises visées est la suspension d'accès à leurs services par les utilisateurs russes31(*).

En 2016, les lois Yarovaya32(*) visant à renforcer la lutte antiterroriste comportaient également un volet numérique prévoyant de très lourdes obligations pour les entreprises assurant la diffusion de contenu sur internet. Elles doivent désormais conserver pendant un an, sur le territoire russe, les données relatives à la réception et à la transmission d'appels, de messages textuels, de photos, de contenus audio et vidéo. À la demande des organes de sécurité, les messageries des réseaux sociaux utilisant des systèmes complémentaires de chiffrement des messages, tels que WhatsApp et Telegram, doivent fournir les clés permettant le déchiffrage des contenus.

Ce dispositif a encore été complété par deux lois votées à l'été 2017 interdisant l'utilisation des VPN, contrôlant les applications de messagerie instantanée (les opérateurs doivent désormais coopérer dans l'identification de leurs utilisateurs et bloquer les messages à la demande des autorités) et censurant les moteurs de recherche, obligés de retirer toute référence aux sites bloqués en Russie.

Enfin, au début de l'année 2019, pour se prémunir des cyberattaques les plus destructrices, la Russie a entamé l'examen d'une loi destinée à créer dans le pays un « Internet souverain ». Ce texte était présenté comme une réponse au « caractère belliqueux de la nouvelle stratégie américaine en matière de cybersécurité adoptée en septembre 2018 »33(*). Les autorités cherchent un moyen de couper Internet sur leur territoire afin, disent-elles, de mettre à l'abri leurs infrastructures stratégiques qui pourraient continuer de fonctionner en cas d'interruption des grands serveurs mondiaux. Dans cette perspective, les fournisseurs russes d'accès Internet devront également s'assurer de la mise en place, sur le réseau, de « moyens techniques » fournis par le Roskomnadzor, permettant un contrôle centralisé du trafic pour contrer les menaces éventuelles. Ce contrôle centralisé, perçu comme un moyen d'intervenir directement, à la place des opérateurs, dans la gestion du réseau pour bloquer du contenu interdit en Russie, a fait l'objet de nombreuses critiques.

Disposer d'un Internet souverain rend plus crédible d'éventuelles actions nuisant au réseau mondial, dans la mesure où les dispositions nationales permettent de se prémunir des conséquences désastreuses d'une cyberattaque de grande ampleur.

c) La Russie affiche une capacité de déstabilisation profonde du web

Comme le précisait Julien Nocetti lors de son audtion : « certains pays, tels que la Russie, ne se privent pas d'exploiter la dimension physique d'Internet sous un angle stratégique. C'est un enjeu de souveraineté majeur pour l'Union européenne. ».

Le 16 avril 2018, les experts américains et britanniques ont fait état d'une « cyberactivité malveillante d'acteurs soutenus par l'État russe » dont « les cibles sont principalement les gouvernements et les organisations du secteur privé, les fournisseurs d'infrastructures cruciales et les fournisseurs d'accès à Internet »34(*). Depuis de nombreuses années, en effet, les pouvoirs russes sont accusés d'espionner les infrastructures critiques des pays occidentaux en vue d'élargir l'arsenal des outils utilisés en cas d'attaque hybride35(*). En janvier 2019, le ministre britannique de la défense alors en poste a accusé Moscou d'espionner les infrastructures britanniques afin de trouver comment dégrader son économie, détruire ses infrastructures et d'identifier un élément permettant de provoquer un chaos total au sein du pays. En mars 2019 encore, un rapport de l'US Computer Emergency Readiness Team (US CERT) affirmait que des pirates informatiques agissant pour le compte du gouvernement russe avaient : « procédé à une reconnaissance en réseau du système contrôlant des éléments clés de l'économie américaine et tenté de couvrir leurs traces en supprimant les preuves de leur infiltration »36(*).

Le Kremlin a donc refaçonné l'internet russe selon sa propre vision autoritaire, centralisée voire agressive. Sa souveraineté numérique s'exprime par la volonté d'afficher, d'une part, une capacité de résilience pour son propre territoire et, d'autre part, une capacité de nuisance sérieuse pour le réseau mondial.

Dans ce contexte, les réponses européenne et française à cette compétition dans l'expression d'une souveraineté numérique agressive, qui n'est pas que le fait de la Russie, en témoignent par exemple les cyberattaques menées par la Corée du Nord, dont certains experts estiment qu'elles lui permettent de financer le développement de son arsenal nucléaire37(*), peuvent sembler limitées. La souveraineté de nos États est pourtant déjà l'objet de nombreuses menaces qui tiennent plus à l'organisation du web et de ses acteurs qu'à la compétition internationale évoquée ci-dessus38(*).


* 3 Déclaration d'indépendance du Cyberespace, John P. Barlow, février 1996 (traduction Hache).

* 4 Hearing before the United States Senate committee on banking, housing, and urban affairs, July 16, 2019, Testimony of David Marcus, Head of Calibra, Facebook.

* 5 Google, Apple, Facebook, Amazon et Microsoft.

* 6 Baidu, Alibaba, Tencent et Xiaomi.

* 7 Devant votre commission d'enquête, 39 personnes ont prêté serment. Les Président et Rapporteur ont procédé à l'audition de 24 personnes supplémentaires, dont 8 d'entre elles ont été entendues lors du déplacement à Bruxelles de votre commission d'enquête.

* 8 Outre les rapports de la mission d'information « L'Union européenne, colonie du monde numérique ? » (en 2013) et de la mission commune d'information « L'Europe au secours de l'Internet : démocratiser la gouvernance de l'Internet en s'appuyant sur une ambition politique et industrielle européenne » (en 2014), dont notre collègue Catherine Morin-Desailly était rapporteure, près d'une dizaine de rapports de l'Office parlementaire d'évaluation des choix scientifiques et technologiques s'inscrivent dans ces thématiques (un résumé synthétique de ces rapports figure en annexe).

* 9 De Thomas Gomart, Julien Nocetti et Clément Tonon, IFRI, juillet 2018.

* 10 Cf. audition de Nicolas Mazzuchi, chargé de recherche à la Fondation pour la recherche stratégique, devant votre commission le 23 mai 2019. Votre rapporteur n'a pas souhaité segmenter ses analyses et propositions en fonction de chacune de ces couches, préférant une approche transversale.

* 11 Dont les pratiques ont été dénoncées par Edward Snowden en 2013.

* 12 Cf. audition par votre commission de Julien Nocetti, chercheur à l'Institut français des relations internationales.

* 13 La protection des données personnelles étant présentée comme un frein à l'accès des petites et moyennes entreprises au marché numérique.

* 14 Selon la tribune de l'IA en Amérique : les Gafam mènent la danse stratégique de Charles Thibout, publiée le 30 janvier 2019 sur le site de l'IRIS https://www.iris-france.org/129644-de-lia-en-amerique-les-gafam-menent-la-danse-strategique/ : Les raisons de cette coalescence sont nombreuses : elles reposent sur des cercles de sociabilité communs (réseaux d'anciens étudiants de grandes universités, fondations, clubs), des communautés idéologiques homologues (néolibéraux, libertariens, objectivistes, transhumanistes) et des pratiques de lobbying et de revolving doors finement organisées par les multinationales.

* 15 Selon un texte adapté d'une intervention au colloque Réglementer la liberté d'expression au nom du débat public, qui se tenait à l'Institut de Recherche Philosophiques de Lyon (IRPhiL) les 29 et 30 novembre 2018, publié le 25/02/2019 sur le site des blogs de Médiapart https://blogs.mediapart.fr/felix-treguer/blog/250219/vers-l-automatisation-de-la-censure-politique : « Si l'on pense l'État non pas comme un bloc aux contours clairement identifiés (à la manière des juristes) mais davantage comme un ensemble de pratiques et une rationalité que Michel Foucault désignait comme la « gouvernementalité », alors il est clair que ce que ces évolutions donnent à voir, c'est l'incorporation de ces acteurs privés à l'État ; c'est la cooptation de leurs infrastructures et la diffusion de leurs savoir-faire dans le traitement et l'analyse de masses de données désormais cruciales dans les formes contemporaines de gouvernement. C'est donc une fusion qui s'opère sous nos yeux, bien plus qu'une concurrence entre les États et les Gafam qui chercheraient à se substituer aux gouvernements. »

* 16 Un couple de tireurs a ouvert le feu, le 2 décembre 2015, dans un centre social du comté de San Bernardino en Californie, tuant 14 personnes. Le FBI a eu recours à des hackers pour briser le chiffrement.

* 17 Source : Dossier « une bascule vers l'Asie » de Martin Untersinger, réalisé avec l'aide d'Alix Desforges, Frédérick Douzet, Jérémy Robine, Loqman Salamatian, chercheurs de l'Institut français de géopolitique (Université Paris-VIII) et de la Chaire Castex de cyberstratégie (IHEDN), à l'issue du colloque international Cartographie du cyberespace, organisé en mars 2018, et avec l'aide de Kavé Salamatian associé au laboratoire LISTIC de l'Université de Savoie, à Datasphère de l'INRIA et à l'Académie des Sciences de Chine, publié à l'adresse suivante sur le site du Monde :

https://www.lemonde.fr/mmpub/edt/zip/2018/07/23/113436857-58150bec479c4da6fa4f66fec35e46554ceb122f/index.html

* 18 Cf. Audition par votre commission de Nicolas Mazzuchi, chargé de recherche à la Fondation pour la recherche stratégique le 23 mai 2019.

* 19 Pour Baidu, Alibaba, Tencent et Xiaomi, les géants du Web chinois.

* 20 À titre de comparaison, en France, moins de 25 % du trafic Internet reste dans le pays soit environ 200 millions des sites Web visités par mois. Le reste du trafic se dirige vers des sites américains soit environ 650 millions de visites par mois.

* 21 Voir notamment les articles : Comment le Xinjiang est devenu le laboratoire high-tech du contrôle social, de The Wall Street Journal - New York, de Josh Chi et Clément Bürge publié le 19/12/2017 -

https://www.wsj.com/articles/twelve-days-in-xinjiang-how-chinas-surveillance-state-overwhelms-daily-life-1513700355?mg=prod/accounts-wsj et En Chine, les personnes avec une faible "note sociale" ne pourront plus prendre l'avion ou le train de Claire Tervé, publié sur le huffingtonpost.fr le 19/03/2018.

https://www.huffingtonpost.fr/2018/03/19/en-chine-les-personnes-avec-une-faible-note-sociale-ne-pourront-plus-prendre-lavion-ou-le-train_a_23389304/

* 22 Ces trackers transmettent des informations concernant les internautes avec l'objectif de leur adresser des publicités ciblées.

* 23 Voir la tribune De l'IA en Amérique : les Gafam mènent la danse stratégique de Charles Thibout, précitée.

* 24 La politique chinoise des nouvelles routes de la soie s'étend au numérique et au domaine spatial : le déploiement accéléré d'une couverture satellitaire globale chinoise, semblable au GPS américain, à l'horizon 2020, étendrait les services, chinois, de navigation, de communication et d'e-commerce le long des nouvelles routes de la soie. La Chine incite ainsi les pays adhérant à sa politique à recourir à ses services pour lancer leurs satellites, soutenant financièrement ces projets et proposant des services « tout-en-un » comprenant la fourniture du satellite et le lancement par la fusée chinoise Longue Marche-5. En 2017, un satellite algérien a ainsi été mis en orbite par une fusée chinoise. Des contrats ont été conclus avec le Cambodge et l'Indonésie. Le premier alunissage chinois sur la face cachée de la Lune en janvier 2019 crédibilise la politique chinoise spatiale. Rapport n° 520 (2017-2018) du 30 mai 2018 de Pascal Allizard et Gisèle Jourda, au nom de la commission des affaires étrangères, de la défense et des forces armées, intitulé « Pour la France, les nouvelles routes de la soie, simple label économique ou nouvel ordre mondial ? ».

* 25 Cet homologue britannique d'Orange marine, héritier de la flotte câblière de Cable & Wireless (C&W) et de British Telecom (BT), est actionnaire à 49 % de Huawei Marine. À terme, Hengtong pourrait logiquement se porter acquéreur des parts détenues par Global Marine. Fin 2018, l'actionnaire principal de Global Marine, le fonds d'investissement HC2, a annoncé qu'il réfléchissait à se retirer en partie ou en totalité de son capital. Selon l'article Pourquoi l'essor du chinois Hengtong va obliger Paris à accélérer la fusion d'Orange marine et d'ASN ? d'Emmanuelle Serrano publié sur le site La lettre A le 04/07/2019.

https://www.lalettrea.fr/entreprises_tech-et-telecoms/2019/07/04/pourquoi-l-essor-du-chinois-hengtong-va-obliger-paris-a-accelerer-la-fusion-d-orange-marine-et-d-asn,108364096-evl

* 26 Pour Virtual Private Network. Un VPN est un logiciel de sécurité qui construit un réseau privé au sein d'internet, également appelé tunnel, qui permet de se connecter en toute sécurité et confidentialité à un serveur à distance, partout dans le monde, pour envoyer et recevoir des données. La confidentialité des données est garantie par l'encryptage (effectué par le logiciel VPN) entre l'utilisateur et le serveur. Le VPN permet de fait de contourner la censure mise en place par les pouvoirs chinois. Il était, avant cette loi, fréquent de lire dans les conseils aux voyageurs des recommandations visant à télécharger un VPN sur ses terminaux avant de se rendre en Chine, afin de pouvoir continuer à accéder au web sans restrictions. Les opposants au régime chinois étaient réputés faire également usage des VPN.

* 27 Cette société est au centre d'une affaire de vol de données révélée par le Guardian, le New York Times et The Observer, qui a éclaboussé autant la Maison Blanche que Facebook. Cette filiale de SCL Group, entreprise britannique spécialisée dans le conseil en communication et l'analyse de données, a été accusée d'avoir utilisé des données de 30 millions à 70 millions d'utilisateurs de Facebook, recueillies sans leur consentement, en vue de manipuler les élections présidentielles américaines de 2016.

* 28 Ainsi, la holding Électronique « Rosselektronika », partie de Rostec, champion russe des technologies militaires, est un acteur majeur des hautes technologies en Russie dans le domaine militaire comme civil (créant notamment des circuits intégrés, d'électronique quantique). Un microprocesseur appelé Baïkal, devrait être produit en Russie pour les structures gouvernementales, évitant d'éventuelles “backdoors” de la NSA dans les microprocesseurs américains. Il serait mis en oeuvre par l'alliance de Rosnano (fond d'investissement visant à développer, en partenariat avec des entreprises privées, la production d'équipements de haute technologie en Russie, en particulier dans les domaines de l'énergie, des nano-matériaux, des biotechnologies, de l'ingénierie mécanique, de l'optoélectronique etc.), Rostec et T-platforms (son dernier superordinateur est le 22e plus puissant du monde, il produit également des caisses enregistreuses).

* 29 Les débats parlementaires ont été particulièrement longs, et la loi qui devait initialement entrer en vigueur le 1er septembre 2014 a soulevé de fortes protestations au sein de l'industrie qui ne pouvait immédiatement appliquer les nouvelles dispositions prévues. La Douma a repoussé au 1er septembre 2015 l'application de la loi, avec quelques aménagements.

* 30 Reddit est un réseau social « viral » c'est-à-dire que les contenus sont déterminés par les utilisateurs et non des éditeurs. Si Google est l'endroit où sont effectuées les recherches; Reddit est l'endroit où l'on peut voir ce que les utilisateurs ont trouvé et aimé.

* 31 Le Roskomnadzor a le pouvoir d'exiger des opérateurs russes de bloquer l'ensemble du site Wikipédia.

* 32 Du nom de la députée qui l'a portée : Irina Yarovaya. LinkedIn a été bloqué en novembre 2016 sur décision des tribunaux russes pour non-respect de la loi russe sur les données personnelles.

* 33 Voir l'article La Russie cherche à créer un internet indépendant, Le Figaro.fr avec AFP publié le 12/02/2019 à l'adresse suivante :

http://www.lefigaro.fr/flash-actu/2019/02/12/97001-20190212FILWWW00051-la-russie-cherche-a-creer-un-internet-independant.php

* 34 Voir l'article Les États-Unis et la Grande-Bretagne accusent la Russie de se livrer à une « cyberactivité malveillante » de Laurent Lagneau, publié le 17 avril 2018 sur le site opex360.com à l'adresse suivante :

http://www.opex360.com/2018/04/17/etats-unis-grande-bretagne-accusent-russie-de-se-livrer-a-cyberactivite-malveillante/

* 35 Une attaque hybride ou guerre hybride comporte d'autres volets que les volets militaires traditionnels, notamment des cyberattaques, des sabotages, d'infrastructures numériques ou autres, la propagation de fausses informations, etc.

* 36 Article précité du site opex360.com.

* 37 Voir à ce sujet l'article Le programme nucléaire nord-coréen carbure aux cyberattaques publié le 07/08/2019 sur le site France 24 à l'adresse suivante : https://www.france24.com/fr/20190807-cyberattaque-coree-nord-gain-financement-missile-nucleaire-onu faisant état d'un rapport confidentiel de l'ONU sur ce thème.

* 38 À laquelle la réponse tient notamment en une cyberdéfense efficace présentée ultérieurement dans le présent rapport.