Quelle(s) orientation(s) pour la souveraineté numérique française?

En janvier de cette année sortait le livre réalisé sous la direction de Pauline Türk et Christian Vallar intitulé La souveraineté numérique. Le concept, les enjeux. Issu des travaux réalisés sous l’égide de l’Association Française de droit constitutionnel, l’ouvrage interroge dans un premier temps la définition de ce concept émergent et parfois controversé puis s’attache à en étudier les enjeux, les objectifs et les méthodes. Ce dossier lui doit beaucoup.


flag

Définir précisément la « souveraineté numérique » apparaît ardu, comme l’explique Pauline Türk à Hugo Bonnaffé :

Le concept reçoit, il est vrai, plusieurs acceptions, selon que la souveraineté numérique est revendiquée par les États, les multinationales ou les utilisateurs. Elle a été entendue diversement, selon les publics, selon les pays. C’est pourquoi il est si difficile d’avancer une définition qui puisse faire consensus.

Aussi, il a semblé pertinent de circonscrire notre observation au territoire Français et d’étudier son acception au prisme des publications officielles. 

La souveraineté nationale : une histoire ancienne, une redéfinition récente

Dans ses Essais, Montaigne définit la souveraineté comme l’emprise, le « pouvoir de domination ou de décision sur quelque chose ou quelqu’un ». Ce pouvoir, en droit public, est celui de l’État. Comme l’écrit le juriste Louis LeFur :

La souveraineté est la qualité de l’État de n’être obligé ou déterminé que par sa propre volonté dans les limites du principe supérieur du droit et conformément au but collectif qu’il est appelé à réaliser.

Mais il s’agit également, en droit constitutionnel, de la source légitime de ce pouvoir suprême : le peuple. Cette souveraineté nationale lui garantit la maîtrise de son destin, sa capacité à s’autodéterminer. Elle s’incarne dans les institutions de gouvernement de l’État d’une part et encadre leur exercice d’autre part.

La souveraineté est aujourd’hui questionnée (menacée pour certains), par le haut (organisations internationales et institutions supranationales) et par le bas (décentralisation). En conséquence, il semble que les compétences des États, redéfinies, transférées, mutualisées, soient in fine renforcées par la puissance de la règle commune ou, selon le point de vue, affaiblies et contournées.

Les technologies numériques de l’information et de la communication sont, au choix, partie prenante de cet affaiblissement, ou symptôme majeur de ce bouleversement. Le rôle des états est questionné jusque dans ses prérogatives régaliennes (nous avions parlé, par exemple, des civictech et legaltech) par des acteurs tentaculaires, multinationales privées, qui se jouent des régulations (je vous renvoie ici à l’article « Faut-il tuer les GAFA [M-NATU]? » et en profite pour vous inviter à soutenir l’action de groupe de la Quadrature du Net).

Facebook_redoute_le_25_mai

Le numérique interroge donc la souveraineté et met à mal l’expression du pouvoir politique sur un territoire. Comme l’écrit très justement Pauline Türk dans son ouvrage, « la réflexion sur la souveraineté numérique s’inscrit dans cette perspective : celle de refus de voir les peuples, les communautés d’utilisateurs, les états, les individus perdre le contrôle de leur destin au profit d’entités mal identifiées et non légitimes« .

La souveraineté numérique : un concept mouvant, des intérêts divergents

Dans son mémoire consacré au sujet, le chercheur Quentin Lenormand met en évidence différentes échelles d’appréhension de la souveraineté numérique :

  • la première, c’est l’échelle individuelle du citoyen ou de l’internaute. Elle permet d’évoquer la responsabilité et les droits des internautes considérés individuellement. Ce point est important car le développement de l’Internet octroie un pouvoir inédit aux individus et fait de chacun d’eux un acteur stratégique des réseaux.
  • la deuxième échelle, c’est celle de l’entreprise et de manière plus générale celle de la communauté des entrepreneurs français. Il s’agit non seulement de défendre les données contre le piratage, d’assurer la transition des entreprises vers le numérique mais aussi de donner aux entrepreneurs la possibilité de s’étendre sur les marchés en croissance, en majorité liés au numérique.
  • la troisième échelle relève des États. Elle permet de questionner la place et le rôle des entités étatiques dans les réseaux.
Cette taxinomie permet d’appréhender aisément les différentes perceptions des acteurs du réseau et donc les tensions que peuvent sous-tendre les antinomies entre les intérêts de chacun.
Cependant, il nous semble, qu’à la manière de la souveraineté nationale, l’étude de la souveraineté numérique devrait se faire en premier lieu par le prisme du peuple. En effet, qu’il agisse en ligne comme citoyen ou usager/consommateur, l’individu apparaît comme la source ou la cible de toute souveraineté numérique.

50 nuances de souveraineté numérique

Ainsi l’on peut distinguer, avec Pauline Türk, les conceptions suivantes de souveraineté numérique qui recoupe respectivement les échelles d’appréhension de Lenormand :

La conception individuelle : qui concerne le digital empowerment soit la capacité, pour les individus de reprendre le pouvoir, de s’émanciper de manière individuelle (changer sa vie), collective (agir avec sa communauté) et politique (sur la société) grâce au numérique. Cette conception, dont on peut voir une traduction via le droit à l’oubli induit de travailler à l’inclusion numérique (c’est notamment le rôle de la Mission société numérique). L’idée est de renforcer la souveraineté numérique de l’État en renforçant les capacités de chacun des citoyens à exercer leurs droits, à se protéger et utiliser les services en ligne.

La conception collective communautaire : qui concerne la revendication par un groupe d’internautes plus ou moins organisé d’être associées à la détermination des règles applicables et de participer à l’organisation de la protection de leurs données sur les réseaux. Cette conception découle directement de la précédente puisqu’elle concerne essentiellement des individus, citoyens et usagers, conscients des risques inhérents à l’usage des technologies numériques et soucieux de reprendre la main. Cette conception est défendue par de nombreuses associations comme La Quadrature du Net, Framasoft en France ou par l’Electronic Frontier Foundation aux Etats-Unis.

La conception privée : qui concerne les opérateurs, les fournisseurs de services, et leur capacité à imposer des règles d’utilisation aux utilisateurs. C’est par exemple les CGU de Facebook dont le « chantage au service » récent a été dénoncé par mes camarades Calimaq (ici) et (de manière plus générale) Olivier Ertzscheid (ici).  La souveraineté pose alors problème puisqu’elle est exercé en dehors du contrôle démocratique et de manière globalisée.

La conception autoritaire et offensive  : qui concerne le contrôle des espaces numériques pour y appliquer ses lois et promouvoir ses intérêts. Le scandale Cambridge Analytica et l’influence russe sur les élections américaines en est un bon exemple. Le Kremlin apparaît ainsi très en pointe sur la cyberinfluence tandis que Pékin semble lui davantage s’être tourné vers la censure, le contrôle du cyberespace (architecture comme contenu). Dans cette conception l’usager est une cible du pouvoir.

La conception libérale et défensive : qui concerne le droit pour l’État de protéger ses citoyens contre les politiques de surveillance et d’exploitation conduites dans le cyberespace par des entités mues par leurs intérêts propres. Cette conception qui est au contre-espionnage ce que la conception précédente est à l’espionnage est garantie en France notamment par la CNIL et l’ANSSI.

dfd1e125d0f9d577.png

On le voit bien dans ces différentes conceptions, la souveraineté numérique est un terreau fertile de débats et de tensions. Il s’agit, comme le résumait déjà Amaelle Guiton dans son article de 2016, pour les États d’un enjeu de gouvernance mâtiné de rivalités régaliennes ou économiques (nous aurions aussi pu parler de Qwant et de l’importance ou non d’un cloud voire d’un OS souverain). Pour les citoyens, la question est en revanche de pouvoir protéger leur vie privée et exercer leurs libertés fondamentales sur le cyberespace.

Une souveraineté numérique « à la française »?

Chacune de ces conceptions proposées est discutable et nous aurions pu, au prisme de la technologie, interroger tant le solutionnisme avec Morozov, que le déterminisme avec Sadin voire l’impératif d’accountability ; au prisme de l’individu, questionner les principes d’autodétermination informationnelle, développer les idées d’empowerment ou de littératie numérique voire nous pencher sur les conceptions libérales d’un Koenig ou de celles (cyber)libertariennes et transhumanistes d’un Zoltan Istvan. Nous le ferons d’ailleurs peut-être ultérieurement. 

Il a semblé plus pertinent d’étudier la souveraineté numérique au prisme de l’État et de la France plus particulièrement. Au travers de différentes publications récentes, il s’est agit de comprendre l’adaptation des modalités d’expression de la puissance publique au  monde numérique.

Le corpus sélectionné est composé des derniers rapports annuels de la Cour des comptes, de l’Agence nationale de la sécurité des systèmes d’informations (ANSSI) et de la Commission nationale informatique et liberté (CNIL) ; de la Revue stratégique de cyberdéfense publié par le Secrétariat général de la défense et de la sécurité nationale (SGDSN) et du projet de loi de programmation militaire 2019-2025 (PLPM) publié par le Ministère des Armées (dont nous avons eu l’occasion de discuter du contenu ici) ; du travail du mathématicien et député Cédric Villani consacré à l’intelligence artificielle et de celui de l’administrateur général des données.

De ces textes plusieurs tendances complémentaires se dégagent :

La première est celle de la défense et de la protection des intérêts nationaux dans le cyberespace et contre les cybermenaces. Cette tendance est portée par l’ANSSI, le SGDSN et le Ministère des Armées.

Dans son rapport annuel, l’Agence dirigée par Guillaume Poupard – qui revient notamment sur NotPetya et les risque que font peser les ransomwares sur les infrastructures économiques ou étatiques – insiste sur l’importance d’une bonne « hygiène informatique » de l’ensemble des acteurs de la chaîne dans le but de porter une « transformation numérique sécurisée ».

Le SGDSN mentionne, lui, explicitement la souveraineté numérique comme « composante essentielle de la souveraineté nationale ». Il recommande pour cela de structurer « la politique industrielle en matière numérique sur la maîtrise de technologies clés ». En d’autres termes, pour le Secrétariat général de la défense et de la sécurité nationale, la souveraineté numérique passe par le développement de technologies nationales de chiffrement et de communication mais aussi par le soutien à la R&D dans le domaine de l’intelligence artificielle (appliquée à la cyberdéfense).

Le PLPM (art. 5) croise les constats de l’ANSSI en ce qu’il insiste sur le renforcement des effectifs dans le domaine de la cyberdéfense et sur l’importance de la transformation numérique du Ministère des armées. Son chapitre III recoupe quant à lui les préoccupations du SGDSN en insistant sur la « protection des systèmes d’information contre les cybermenaces et à l’amélioration des capacités nationales de détection, de caractérisation et de prévention des attaques informatiques. »

La deuxième est celle de la transparence, du partage et du logiciel libre. Cette tendance est portée par la Cour des comptes, l’Administrateur général des données et on en trouve la traduction dans les plans d’actions du Gouvernement et de l’Assemblée nationale pour une action publique transparente et collaborative.

La Cour, dans son RPA 2018, rappelle ainsi, en page 152, que la qualité et la disponibilité des données de référence publiée, sous l’impulsion de la mission Etalab, sous licence libre et gratuitement « sont essentielles aux développements de services numériques. Elles participent à l’exercice de la souveraineté de l’État en ce domaine ». Les sages de la rue Cambon ajoutent, d’autre part, que « le recours aux logiciels libres représente d’abord un enjeu de sécurité et de souveraineté. Il permet à leur utilisateur de s’assurer des actions réalisées par le logiciel, de se protéger contre les fonctions indésirables et éventuellement de le modifier en fonction des usages identifiés. »

Le rapport de l’AGD s’inscrit dans la même optique et introduit un impératif essentiel, celui de « préserver la souveraineté informationnelle » (p. 16). Il explique :

Contrairement à la situation qui prévalait il y a encore vingt ans, avant la diffusion massive de l’Internet et des réseaux de communication, plusieurs référentiels d’origine publique ou privée sont maintenant en concurrence.Par exemple, la société Bloomberg propose son propre identifiant des acteurs économiques, y compris des entreprises françaises.

Or, dans une économie numérique ouverte, la notion de standard de fait domine. Dans le domaine des données, cela signifie que les références ne sont plus décrétées par un acteur de manière unilatérale. Fait aujourd’hui référence ce qui est reconnu comme tel par ses utilisateurs.

Le standard de fait proposé par un acteur privé et étranger comme Bloomberg peut donc se retrouver de facto en concurrence avec le référentiel étatique national qu’est la base Sirene produite par l’INSEE. Les données de l’État ne pourront rester des standards que si elles sont largement distribuées et facilement accessibles.

La troisième est celle de la protection des droits des citoyens et du développement de leurs capacités numérique. Cette tendance est portée par la CNIL et on la retrouve appliquée à l’IA dans le rapport Villani.

Ainsi, la CNIL appelle notamment l’Éducation nationale et les établissements scolaires à adopter les « les principes régissant la protection des données personnelles et les bonnes pratiques en la matière », revient sur l’importance de la protection des données de santé et renvoie dans les cordes les défenseurs d’une propriété sur les données personnelles « peu compatible avec l’exercice des droits des personnes ».

S’il revient également sur l’impératif de privilégier l’utilisation de technologies ouverte « aussi bien pour des questions souveraineté technologique et économique que des questions d’efficacité et de performance » (p.55) et sur l’importance d’une politique de la donnée adaptée (p.28), le rapport Villani insiste sur la « régulation de l’IA en santé ». Enfin, il accorde une place importante à la question du développement des capacités numériques des agriculteurs (p.209) et des agents publics et des citoyens (p.172-178).

Conclusion : une souveraineté commune à défendre ensemble

S’il est difficile de parler de souveraineté numérique « à la Française » on peut néanmoins constater qu’une pièce en trois actes prend forme dans l’Hexagone (on pense à la Loi pour une République Numérique) voire dans l’Europe entière (on pense au RGPD et au Privacy Shield).

Cette pièce repose principalement sur la capacité du citoyen, source de légitimité du pouvoir démocratique, à reprendre en main les outils qu’il utilise et à la puissance publique de rendre possible cette capacitation. Dans le même temps, l’administration et les institutions doivent à la fois redonner confiance au citoyen en l’État et participer de sa protection.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s