[DOSSIER] Souveraineté numérique : aperçu des enjeux actuels

Qu'est-ce que la souveraineté numérique ? Dans l'espace physique, on associe souvent souveraineté et frontières : le souveraineté dans le cyberespace serait donc impossible ? Pourtant le concept fait son chemin et devient à la fois un slogan et un enjeu stratégique très sérieux. Pour tenter de percer le mystère de la souveraineté numérique, que l'on pourrait très sommairement définir comme la maîtrise nationale des données (celles des ressortissants et des organes d'un Etat, dans le respect des règles régissant cet Etat) et infrastructures informatiques nationales.

I) La couche physique, point de départ de la souveraineté numérique ?

On a souvent tendance à oublier que le cyberespace est aussi une affaire matérielle : c'est la couche physique, constituée par les smartphones, ordinateurs, datacenters... Et c'est à ce niveau que l'on découvre les premières relations de dépendance.

Notons d'emblée que le cyberespace est une co-production d'acteurs publics et privés, dans laquelle les entreprises privées (ce qui ne vise pas que les géants américains des GAFAM) pèsent davantage. Pour autant, ces entreprises privées ne sont pas toujours dénuées de liens avec les autorités publiques de certains Etats. Aussi, les Etats disposent de leurs propres moyens pour se rendre présents, et parfois intrusifs, dans le cyberespace.

Souvenez-vous de notre infographie sur la question des métaux rares : pour la production de ces matériaux indispensables à la fabrication de nos smartphones, de nos ordinateurs et même de certaines technologies d'armement, la Chine détient actuellement un quasi-monopole. Pour la production des équipements technologiques les plus courants, le monde est donc actuellement dépendant de ce quasi-monopole de la Chine.

Mais les métaux rares ne font pas tout. Ils ne sont qu'une des bases de la fabrication du hardware et des terminaux, notamment de nos téléphones portables, ou plutôt de ces ordinateurs de poche dont le fonctionnement interne s'avère assez peu maîtrisable par les utilisateurs. Or le cyberespace n'étant pas, à l'inverse d'un territoire encerclé par des frontières, l'objet exclusif des Etats mais un espace emprunté, modifié et co-produit par tous, on devrait sans doute considérer que la souveraineté numérique passe aussi par une réelle appropriation du cyberespace par ses utilisateurs que ne permettent pas les logiciels et matériels dits « propriétaires », par opposition aux logiciels et matériels « libres ».

Rappelons par exemple les suspicions autour du baseband des smartphones Samsung : pour permettre certaines fonctionnalités comme la localisation du téléphone, le terminal embarque un petit équipement dont l'utilisateur n'a pas la maîtrise et qui offre à la firme constructrice un accès qui lui permettrait d'accéder aux données personnelles de l'utilisateur. Là encore, difficile pour une nation étrangère à ces constructeurs, voire en compétition avec elle, de prétendre maîtriser ce qui se joue dans le cyberespace sur son territoire et pour ses ressortissants utilisant ces produits. Même si des solutions alternatives sont envisageables, le fait est que le marché est actuellement dominé par cette configuration : des constructeurs presque exclusivement étrangers capables de collecter de très nombreuses données, et donc potentiellement de les utiliser ou des les transmettre.

Plus ancien, mais incontournable, est le sujet des cartes à puces. L'affaire Gemplus compte aujourd'hui encore parmi les cas les plus spectaculaires en matière d'intelligence stratégique. Cette invention française qu'est la carte à puce, dont la fabrication fut industrialisée par la start-up provençale Gemplus, est utilisée dans nos téléphones (cartes SIM), ce sont également nos cartes bancaires, nos cartes vitales ou de transport... Dans certains pays, les usages de la carte à puce sont encore plus étendus et permettent aux citoyens de voter, de s'authentifier auprès de certains services, etc. Une technologie remarquable qui a très vite gagné le monde entier, notamment via la carte bancaire, à l'exception notables des USA restés attachés à la carte à bande magnétique pour les paiements. Ce sont pourtant les investisseurs américains du fond In-Q-Tel, lié à la CIA, qui prirent progressivement le contrôle de Gemplus pour aboutir à la création en 2006 de Gemalto (fusion avec Axalto). Le marché de la carte à puce a donc été dominé par un fond américain proche de la communauté du renseignement, qui a acquis en même temps que Gemplus la technologie par laquelle d'innombrables données sont traitées partout dans le monde. Les révélations d'Edward Snowden montrent que les services américains (NSA) et britanniques (GCHQ) volé des clefs de chiffrement de cartes SIM, permettant l'interception de communications. Aujourd'hui, Gemalto fait l'objet d'une OPA de la part de la société française Thales.

Autre exemple, et sans prétendre à l'exhaustivité, on peut aborder la question des « serveurs racines », qui sont au centre du fonctionnement d'internet comme l'actualité récente nous a donné l'occasion de nous en souvenir. Et là encore, on note un certain déséquilibre : sur les 13 « serveurs racines », 9 appartiennent à des sociétés américaines.

Ce dernier exemple, comme les précédents, ne suffit pas en lui-même à affirmer que les données des Français par exemple, sont forcément compromises parce qu'elles transitent via des téléphones de fabrication asiatique et de conception américaine, etc. Cela signifie simplement que différentes puissances, notamment parce qu'elles entretiennent des relations particulières et privilégiées avec les entreprises privées qui « produisent » le cyberespace, disposent de certains atouts stratégiques qui pourraient leur permettre de capter plus aisément les données étrangères qui y transitent ou, parce qu'elles ont la main sur une partie de l'infrastructure, d'en affecter le fonctionnement.

C'est ainsi que s'explique l'expérimentation envisagée par la Russie de se déconnecter temporairement de l'internet mondial pour tester sa capacité à utiliser le réseau au moyen des seules infrastructures de confiance présentes sur son territoire national, donc maîtrisables. Une initiative parfois comparée à l'internet chinois, entièrement sous contrôle du Parti.

II) Les données menacées par l'extraterritorialité du droit américain

Les données qui transitent et sont conservées dans le cyberespace sont l'enjeu central de la souveraineté numérique. En effet, toute informatique a pour raison d'être... l'information. C'est donc précisément celle-ci qui intéresse tous les utilisateurs des nouveaux moyens de communication. Or en la matière, les USA ont développé un redoutable arsenal juridique qui, conjugué avec les moyens considérables du renseignement technique (on pense principalement à la NSA dont l'ampleur des écoutes a été révélée par Edward Snowden) et la domination (relative) du marché des nouvelles technologies (Silicon Valley), permet à la super-puissance de s'accaparer un très grand nombre de données.

Nous avions déjà évoqué ici les mesures extraterritoriales les plus fameuses, qui jouent principalement en matière de lutte contre la corruption : il suffit d'un « nexus » comme par exemple l'emploi d'une technologie américaine ou le stockage de données sur un serveur basé aux Etats-Unis, pour que l'administration s'autorise à investiguer sur l'entreprise utilisatrice au nom de la lutte contre certaines formes de fraude. Dans les faits, il s'agit également d'une véritable arme de guerre économique qui utilise l'état de dépendance des entreprises à l'économie numérique américaine comme un moyen pour atteindre leurs finances en prononçant des sanctions financières drastiques, comme dans le cas d'Alstom, qui n'est qu'un exemple parmi d'autres. 

Plus pertinent encore pour ce dossier consacré à la souveraineté numérique est le cas du CLOUD act. Une norme adoptée il y a moins d'un an, juste avant l'entrée en application du RGPD, et qui permet à la justice américaine de demander, pour les besoins d'une enquête pénale, la transmission des données stockées par des sociétés américaines, où qu'elles soient physiquement conservées. Autrement dit, cette possibilité d'application extraterritoriale du droit américain tient en échec la protection des données personnelles (mais pas uniquement) accordée par le RGPD. Une arme d'intrusion redoutable lorsque l'on sait que les firmes américaines dominent le marché du stockage de données, y compris en Europe, car les USA se réservent ainsi la possibilité d'accéder à des données stockées physiquement dans l'Union européenne, concernant des personnes physiques ou morales européennes, et même certaines données gérées par l'administration française (donc potentiellement sensibles !) qui utilise ces services de stockage.

Le CLOUD act a fait réagir le gouvernement, qui commence à revendiquer une souveraineté numérique. Il est nécessaire pour cela que des entreprises privées françaises et désireuses de le rester s'engage dans cette bataille, à l'image notamment de Jaguar Network qui revendique également la possibilité d'un cloud souverain, à l'abri des ingérences potentiellement menaçantes pour nombre d'intérêts stratégiques.

Une conclusion provisoire s'impose à ce stade de notre réflexion : le cyberespace impose, par sa nature et son mode de production, une convergence des intérêts publics et privés pour permettre qu'une certaine souveraineté y règne. Les autorités publiques ont trop peu investi le cyberespace pour le maîtriser tout à fait, et une telle maîtrise complète de la part du politique semble aujourd'hui incompatible avec nos représentations des internets, essentiellement perçus comme des espaces de liberté. Mais la préservation de certains intérêts stratégiques, la souveraineté numérique, exige des solutions privées nationales pour assurer un rempart contre les ingérences ou les fuites de données permises par les nouvelles technologies. C'était notamment le sens du propos des représentants d'Hexatrust au FIC 2019.

III) La couche sémantique : l'influence étrangère à travers le cyberespace

Ne négligeons pas la couche sémantique du cyberespace : celle qui vous saute aux yeux en ce moment-même, composée de toutes les informations portées à votre connaissance sur les écrans. Elle aussi fait l'objet de tensions, de rivalités entre les nations. Mais en la matière, le procédé à l'œuvre est plus traditionnel : il s'agit tout simplement de « guerre de l'information » (pour emprunter l'expression de Christian Harbulot, qui est incontestablement l'un des observateurs les plus en pointe sur le sujet). Cependant l'informatique en a renouvelé les pratiques et les modalités.

Peut-on réellement considérer qu'il y a une atteinte à la « souveraineté numérique » via des opérations d'influence menées à travers le cyberespace ? C'est une question sensible, car si l'on y répond par la positive, c'est un modèle de contrôle et de restriction de la liberté d'expression et de circulation de l'information qu'il faudrait revendiquer en conséquence. Sans forcément tomber dans ce travers, il faut néanmoins être lucide sur l'existence et la nature de telles opérations. Surtout, un peu comme en matière d'équipement (choix des logiciels, choix du matériel), la « souveraineté numérique » passe là encore par la maîtrise de l'individu sur son environnement : c'est d'abord aux individus de s'armer contre la désinformation, la manipulation de l'information à des fins contraires à leurs intérêts, etc. Cette lucidité implique bien évidemment d'adopter une attitude sceptique à l'égard de toutes les sources et de toutes les informations, car il est tout à fait possible de pratiquer la censure ou la désinformation au nom de la lutte contre la désinformation, ce qui rend les opérations d'influence particulièrement difficiles à appréhender, surtout dans un temps court.

Pour illustrer ce problème, il est difficile de contourner la question russe et son implication dans des opérations d'influence en amont de certaines échéances électorales (Brexit et élections présidentielles américaines en 2016, françaises en 2017...). La principale accusation des Occidentaux concernant le rôle de la Russie dans ces évènements vise une armée de « trolls » et de bots, levée pour influencer l'opinion via des publications massives sur les réseaux sociaux, ou plus insidieusement par l'achat de publicités.

Si la manipulation de l'information ou l'existence d'un réseau d'influence particulièrement actif peut être démontrée avec le temps et un travail d'investigation, surtout en matière de communication écrite, un autre enjeu pour l'avenir est celui d'une manipulation beaucoup plus spectaculaire et discrète : les deepfakes. Nous renvoyons à l'excellent article de Christophe Deschamps sur cette question des nouvelles manipulations de l'information.

A l'évidence, la question de la « souveraineté numérique » se complexifie considérablement quant à son appréhension et aux moyens à mettre en œuvre pour la conquérir et la conserver lorsque l'on s'intéresse à la couche sémantique du cyberespace.

IV) Conclusion

Commençons par résumer notre propos en une image, qui tout comme notre dossier ne prétend aucunement à l'exhaustivité, mais simplement à mettre en évidence la notion de souveraineté numérique et les enjeux actuels la concernant.


               
 
Retenons enfin que la souveraineté numérique ne saurait être appréhendée sans considérer l'ambivalence qui entoure le cyberespace : à la fois « monde parallèle» et continuation de l'espace physique, produit du public et du privé, intérêt stratégique pour les nations et espace de vie quotidienne pour les individus... Tout cela concourt à flouter nos représentations de cet enjeu.

Ajoutons que si nous n'avons abordé les cas que de quelques grandes puissances, il faudrait pour être plus complet citer beaucoup d'autres acteurs, étatiques ou privés, pour cerner plus parfaitement la question de la souveraineté numérique.



Commentaires

Posts les plus consultés de ce blog

[RECENSION] Le renseignement humain à l'ère numérique de Terry Zimmer

[REPORTAGE] Journée « Temporalités des crises » à Lyon

[FLASH] La France a désormais une doctrine militaire de « lutte informatique offensive »