Retrouvez en intégralité et avec accord du Nouvel Economiste, la tribune d Alexis Roussel, membre de notre conseil d’orientation stratégique et directeur des opérations Nym Technologie SA
«À celles et ceux qui pensent qu’il n’y a pas d’alternative à l’accaparation des données, nous répondons : l’alternative existe. Il faut cesser la collecte massive de données, mais il faut aussi du courage politique pour mettre en œuvre une nouvelle politique de gestion du numérique. Ce qui implique donc le courage de revoir l’orientation de nos dépenses publiques. »
La cyberattaque dont a été victime France Travail en février dernier a mis en danger les données personnelles de 43 millions de personnes. Deux tiers des personnes en France auraient été touchées. C’est un cas grave mais malheureusement pas isolé. La situation n’est nouvelle ni par son ampleur, ni par ses causes.L’analyse de l’attaque et ses conséquences amènent toujours la même conclusion de la part des administrations et de la classe politique, et les explications sont tellement floues qu’elles ne rassurent personne.
Cet évènement systémique est avant tout et surtout représentatif des choix profonds que les institutions ont faits dans leur approche de la transformation numérique. Ce qui est plus préoccupant est de n’observer aucune réaction susceptible de changer la donne, sauf celle de rendre tout un pays encore plus dépendant de forces numériques qu’il ne maîtrise pas. “Il a fallu attendre 2021 pour que l’offre cloud de Microsoft soit bannie des ministères, afin que des données sensibles ne puissent pas être à portée des services de renseignement américain” Cette affaire est d’une banalité déconcertante lorsque l’on
décortique ses origines. Premièrement, la création d’entrepôts de données hébergés sur le cloud de géants américains est le fruit d’une démarche aveuglée par les promesses d’une solution technologique “clés en main” utilisable immédiatement, mais dont les conséquences et les effets collatéraux n’ont jamais été évalués. Microsoft vient dernièrement d’être adoubé pour héberger les données de l’Assurance Maladie, et là encore la CNIL reconnaît le risque d’application des lois américaines mais justifie son accord au fait de “l’absence de prestataires européens”… Et il a fallu attendre 2021 pour que l’offre cloud de Microsoft soit bannie des ministères, afin que des données sensibles ne puissent pas être à portée des services de renseignement américain.
Appels d’offres dévoyés
Deuxièmement, de tels monstres voient le jour parce qu’ils savent tirer profit des procédures d’appels d’offres qui valorisent la centralisation des données et se concentrent uniquement sur un système qui répond aux besoins des administrations, et non à ceux des administrés.
Troisièmement, l’efficacité et la maîtrise des coûts sont mises en avant au détriment de la sécurité des citoyens et du respect de leur autonomie individuelle. Les institutions fédérales suisses en sont l’exemple très récent : elles ont construit un appel d’offres pour leur infrastructure numérique d’où ont été expressément exclues des entreprises locales, au motif qu’aucune d’entre elles ne pouvait satisfaire des exigences techniques de disponibilité et de sécurité notamment. En conséquence, IBM, AWS, Oracle, Azure et Alibaba ont pu répondre à l’appel d’offres de 110 millions de francs suisses, et évidemment le remporter. Ce phénomène n’est pas un cas isolé et des situations similaires se retrouvent dans l’ensemble de l’Europe. “Les procédures d’appels d’offres valorisent la centralisation des données et se concentrent uniquement sur un système qui répond aux besoins des administrations, et non à ceux des administrés” Ne nous trompons pas, mettre entre les mains d’entreprises essentiellement américaines profitant largement de leur position ultradominante pour s’imposer sur le marché numérique, et surtout sur celui des organisations publiques, est un pari extrêmement dangereux pour l’avenir et nous en payons déjà le prix fort. Les Big tech ont étendu ainsi, au fil des années, leur influence indéniable sur la captation de nos données. Les règles concernant les appels d’offres en Europe ont été écrites généralement pour éviter cette corruption, mais elles ont dans la pratique été rapidement contournées par les géants du numérique et sont aujourd’hui le principal vecteur de cette corruption. Pour comprendre comment les procédures d’appels d’offres ont été dévoyées, il suffit explorer les modèles d’affaires des entreprises qui y répondent.
Les données du capitalisme de surveillance
Le “capitalisme de surveillance” que Shoshana Zuboff décrit dans son livre référence procède d’une collusion entre des États, qui absorbent des quantités astronomiques de données, et des entreprises qui, en échange d’un service, se nourrissent de ces données pour les développer dans leur modèle d’affaires. Les données personnelles pénètrent alors le marché mondial. Elles deviennent un enjeu financier. Considérées comme de simples objets ou des biens publics, elles sont traitées sans égard aux personnes dont elles émanent, elles deviennent une matière première.
À l’image des machines à café vendues à perte en échange d’une dépendance à un achat constant de capsules, les géants du numérique abreuvent les États de solutions pratiquement gratuites en échange de la captation des données de nos citoyens. Les entreprises locales n’ont simplement aucune chance, les citoyens sont dépouillés d’un contrôle effectif sur leurs données, et cela affaiblit au final le règlement européen de la protection des données (RGPD), dont l’un des objectifs n’était pas d’interdire ou d’empêcher les entreprises de mettre en œuvre leurs évolutions technologiques, mais de les responsabiliser en leur imposant de démontrer leur conformité aux exigences européennes sur l’utilisation des données personnelles. Conséquences concrètes des fuites de données Dans ce contexte, si la donnée n’est plus qu’une matière première,
une fuite n’est qu’un incident et un manque à gagner. Lorsqu’une fuite massive de données apparaît, la réponse est systématiquement la même : la faute en revient aux ingénieurs qui ont mis en œuvre la base de données et n’ont su sécuriser correctement l’infrastructure, ou aux cybercriminels. Hélas souvent, la protection était dérisoire et “la clé encore dans la serrure”, et il a suffi à un professionnel averti et malintentionné de tromper un simple opérateur pour accéder aux données. En revanche, ceux qui sont à l’initiative du projet ne sont jamais inquiétés sur leur responsabilité dans le mauvais choix de l’éditeur.
“Après le piratage des données de France-Travail, on a vu fleurir toutes sortes d’envois de mails frauduleux, d’arnaques par SMS ou par téléphone proposant de fausses offres d’emploi afin d’obtenir des informations confidentielles et soutirer des fonds”
Après le piratage des données de France-Travail, il suffisait de regarder avec encore un peu plus d’attention les réseaux sociaux pour constater les effets collatéraux de ce détournement des données dont des groupes criminels ont extrait des informations d’identification des demandeurs d’emploi. Dans les jours qui ont suivi, on a vu alors fleurir toutes sortes d’envois de mails frauduleux, d’arnaques par SMS ou par téléphone proposant de fausses offres d’emploi, et invitant les destinataires à se connecter via des liens très douteux afin d’obtenir des informations confidentielles et leur soutirer des fonds, alors qu’il s’agit souvent déjà de personnes en situation précaire. Si l’on considère que beaucoup y auront rapidement vu un traquenard, il est tout à fait possible que d’autres, moins au fait de ces questions, se seront fait piéger… On ne connaîtra jamais les conséquences véritables ni l’étendue de l’hameçonnage mais des situations comme celle-là, il en existe énormément, et nos données volées, vendues, traitées par des groupuscules mafieux sont en fait une violation de nos vies personnelles qui affecte notre confiance en ligne, nos relations professionnelles.
L’Europe prisonnière des Big tech
Face à cette réalité, personne ne répond de façon transparente. On se contente la plupart du temps de minimiser l’origine de l’attaque avec la promesse de retrouver les coupables et de renforcer la sécurité informatique. Mais cela n’a jamais empêché d’autres actes similaires de se produire. Inévitablement, les prestataires informatiques proposent alors une version mise à jour, intégrant de nouvelles exigences. Impossible de casser le cercle vicieux. Il n’est plus possible dans ces conditions de continuer à appeler nos entreprises à plus de souveraineté numérique si les systèmes qu’on
leur impose de développer étendent l’emprise des Big tech et leur
capacité à extraire les données. Une grande partie des décideurs français, mais aussi européens, sont prisonniers de cette politique, et les rares institutions qui tentent de s’y opposer doivent redoubler d’efforts. Cette logique est d’ailleurs renforcée par la croyance qu’une véritable industrie européenne ne pourrait émerger tant elle a pris du retard… Mais soyons lucides, l’Europe n’est malheureusement aujourd’hui qu’un consommateur pour ces multinationales américaines. Elle paie avec des données personnelles de l’ensemble de ses citoyens les services rendus par des sociétés américaines et chinoises.
L’industrie européenne de la donnée en manque de fonds
De multiples tentatives qui ont été faites pour développer une industrie de la donnée européenne, souveraine et sécurisée, mais elle se heurte à des difficultés financières souvent insurmontables. Les levées de fonds ont chuté de moitié en 2023 par rapport à 2022 et la France n’est pas la seule à subir cette baisse : dans d’autres pays européens,on sent très nettement un resserrement des investissements. On relève que les États membres où la situation est meilleure sont ceux qui ont une culture entrepreneuriale plus soutenue et des incitations fiscales qui incitent à la prise de risques. Nos start-up sont pourtant porteuses de vrais projets innovants et
prometteurs. “L’essor spectaculaire de Mistral IA, jeune licorne française, n’est dû qu’à l’apport de financements venus d’investisseurs de la Silicon Valley, ce qui de toute évidence met fin à l’indépendance technologique européenne”
Le 24 janvier 2024, la Commission européenne a lancé une initiative visant à connecter les start-up de haute technologie, les investisseurs et les réseaux d’entreprises dans une stratégie de soutien aux petites et moyennes entreprises. Cependant, le contexte économique est préoccupant. En France, l’essor spectaculaire de Mistral IA, jeune licorne française, n’est dû qu’à l’apport de financements venus d’investisseurs de la Silicon Valley, ce qui de toute évidence met fin à l’indépendance technologique européenne. On fait aussi le triste constat que ces jeunes pousses sont très souvent récupérées par des investisseurs issus de la Silicon Valley.
Conférer des droits inaliénables aux données personnelles
Si nous devons chercher une solution, celle-ci ne peut être que contre-intuitive. Elle se doit de poser un cadre pour une véritable industrie numérique qui crée une valeur unique que d’autres États ne sont pas capables d’envisager. Elle se doit de permettre de s’extirper de ce fameux “capitalisme de surveillance” américain et chinois. La Commission, avec le règlement sur les marchés numériques (DMA pour Digital Markets Act), en application depuis le 6 mars 2024, veut mettre fin à la domination de ces géants en leur imposant de nouvelles règles destinées à lutter contre leurs pratiques anticoncurrentielles et corriger ainsi leur domination sur les marchés européens. L’intention est là, louable, mais nous sommes encore loin d’une compréhension profonde des mécanismes de dépendance dans lesquels nous nous trouvons. Pour parvenir à sortir de cette dépendance, nous devons entamer une réflexion sur ce qui au cœur du marché : les données personnelles.
Nous devons promouvoir la valeur que ces données au-delà de ce que ces marchés confèrent aux données personnelles. Elles ne sont ni des biens publics ni des objets, elles sont constitutives de nos personnes. Nous devons donc les traiter comme telles avec les droits inaliénables qui y sont associés. “Nous devons nous mobiliser pour parvenir à l’interdiction par les institutions publiques de l’utilisation des données des citoyens pour alimenter le marché des données”
Devant l’accaparation grandissante des données personnelles, nous pouvons construire un environnement sécurisé pour nos administrations dans le respect de la protection des données. Nous devons simplement cesser de collecter massivement des données sans l’autorisation des citoyens et nous mobiliser pour parvenir à l’interdiction par les institutions publiques de l’utilisation des données des citoyens pour alimenter le marché des données. Il faudrait regarder aussi vers les industries émergentes, comme celle de la cryptographie. L’Europe n’a pas à rougir de ses compétences dans ce domaine et elle a tout à gagner à les valoriser. Les avancées en cryptographie nous permettent désormais de concevoir des services publics numériques sans que des données puissent être exposées, comme ce fut le cas dans le scandale de France Travail. Cela nécessite un courage politique, celui de refuser la surveillance de masse et celui d’investir dans le développement de solutions informatiques locales, libres et sobres en données. Nous serons étonnés de la qualité des retours sur investissement, qui auront le mérite de sécuriser des échanges numériques avec nos concitoyens et de nous préserver du chantage des grands groupes informatiques ou des cybercriminels.
Une nouvelle vision de la politique industrielle numérique
L’utilisation de logiciels libres et de protocoles ouverts permettrait sans doute aussi d’offrir, sous certaines garanties, aux PME locales la possibilité de participer au développement de notre société numérique.
C’est bien l’émergence d’une nouvelle vision de politique industrielle numérique qu’il faut encourager. Celle-ci serait bâtie sur le respect de l’intégrité numérique des citoyens et la garantie de leur anonymat grâce à la création d’une charte des droits fondamentaux du numérique que l’Institut des droits fondamentaux du numérique (iDFrights) appelle de ses vœux, et sur laquelle il travaille depuis quelques années. Pour commencer, c’est très simple : il faut juste s’engager à tous les niveaux, dans les communes, les établissements publics ou encore les administrations d’État. Et à chaque niveau, il suffit de respecter l’esprit des appels d’offres et y imposer le respect de l’intégrité numérique par l’absence de collectes et par l’utilisation de logiciels libres.
“Une nouvelle vision de politique industrielle numérique serait bâtie sur le respect de l’intégrité numérique des citoyens et la garantie de leur anonymat grâce à la création d’une charte des droits fondamentaux du numérique que iDFrights appelle de ses vœux”
Cette nouvelle politique devra valoriser l’absence de l’utilisation de nos données personnelles et permettre ainsi de démultiplier la créativité d’une population libérée de certains de ses mécanismes de manipulation. Ce n’est qu’à ce prix que nous pourrons mettre un coup d’arrêt à ces industries qui absorbent nos données. Cette nouvelle politique de gestion du numérique serait le moteur de notre souveraineté. L’enjeu de la souveraineté n’est pas de sécuriser encore plus des infrastructures qui collectent massivement des données. La souveraineté, c’est d’assurer la protection de l’intégrité numérique de la population. La souveraineté, c’est de cesser de collecter des données des citoyens et les livrer en pâture au monde entier. Elle ne peut être efficace que si nous développons notre propre vision de l’avenir du numérique ; nous pourrons alors nous battre à armes égales, en créant des richesses qui nous seront propres.
À celles et ceux qui pensent qu’il n’y a pas d’alternative à l’accaparation des données, nous répondons : l’alternative existe. Il faut cesser la collecte massive de données, mais il faut aussi du courage politique pour mettre en œuvre une nouvelle politique de gestion du numérique. Ce qui implique donc le courage de revoir l’orientation de nos dépenses publiques.
Alexis Roussel,
Directeur des opérations Nym Technologie SA et
membre du conseil d’orientation stratégique d’iDFRights