« Pas de souveraineté numérique sans maîtrise de nos données »

Les avis et rapports sur le cloud se multiplient sans réelle avancée pour le moment. C’est au tour de la Commission Supérieure du Numérique et des Postes de publier sa liste de dix recommandations, sous la forme de « mesures concrètes et réalistes »… en attendant de voir si la question va enfin devenir centrale aux niveaux français et européen. 

La Commission Supérieure du Numérique et des Postes (CSNP) est une commission parlementaire mixte. Elle comprend ainsi sept membres venant de l’Assemblée Nationale, sept autres du Sénat et enfin trois « personnalités qualifiées » nommées par le ministre de l’Économie et des Finances. Pour la petite histoire, la Commission Supérieure du Service Public des Postes et des Communications Électroniques (CSSPPCE) est devenue la CSNP en 2016 après le vote de la loi pour une République Numérique.

Les membres ont demandé à Anne Le Hénaff (députée du Morbihan) de formuler des recommandations « afin de renforcer notre souveraineté numérique ». Un groupe de travail a été mis en place et précise qu’il « s’est efforcé, tout au long des auditions qu’il a menées [auprès de neuf personnes, listées en bas de ce document, ndlr], d’identifier et de définir des mesures concrètes et réalistes ».  Résultat des courses : un état des lieux au vitriol (ou presque) et dix recommandations. 

La souveraineté numérique, c’est quoi ?

Premier point abordé : adopter une définition « opérationnelle » de la notion de souveraineté numérique : « La souveraineté numérique est la capacité pour un État de conserver un accès autonome à son espace numérique et aux services numériques liés à l’exercice de sa souveraineté, en sécurisant son autonomie et l’accès aux contenus qu’il a définis comme stratégiques, ainsi que les données qu’il juge stratégiques et/ou sensibles ». Pour résumer, la souveraineté numérique entraine deux sous-sujets : souveraineté technologique et souveraineté des données.

Le rapport attaque directement par un point important sur la question de souveraineté technologique : « il convient de rappeler que le numérique comporte différentes couches technologiques et que, pour être totalement souverain, un État devrait en maîtriser la totalité. Cependant, aujourd’hui, aucun pays ne dispose d’une autonomie totale sur l’ensemble de la chaîne de valeurs (terres rares, microprocesseurs, intégrateurs, câbles sous-marins Internet, etc.) ».

L’actualité est riche en récits d’espionnage plus ou moins sophistiqué. Une chose est sûre : l’enjeu de souveraineté dépasse largement les simples disques durs et SSD servant à stocker les données.

• Espionnage de la NSA via un câble sous-marin : Orange réagit
• Micropuces chinoises sur des cartes mères : Bloomberg en remet une couche, Supermicro réfute
• Jeux d'espions dans l’espace

Les enjeux sont prégnants dans le monde actuel avec les États-Unis et l’Asie (principalement via la Chine) qui s’opposent à coup de restrictions/taxes sur l'import/export, avec l’Europe au milieu… et on ne parle même pas des enjeux environnementaux. 

• « Guerre » des semi-conducteurs et matériaux critiques : la Chine restreint les exportations, Bruxelles s'inquiète
• Dans nos appareils, des matériaux « critiques » et « stratégiques »
• L'Europe dégaine ses règlements sur les matières premières critiques et l'industrie « net zéro »

Données (non-)personnelles et/ou sensibles

Concernant les données, celles à caractère personnel sont protégées par le RGPD dans l’Union européenne, « mais ce n’est pas le cas des données non personnelles car elles ne font pas l’objet d’une protection garantie par les États, ou alors dans une moindre mesure ». L’avis cite en exemples des données stratégiques et sensibles, mais non personnelles de collectivités locales et d’hôpitaux qui « ne sont protégées par aucun dispositif réglementaire ».

Le rapport soulève une question au cœur du sujet : « Si la donnée est partiellement ou totalement hébergée chez des opérateurs étrangers, peut-on alors considérer que nous sommes en situation de garantir une situation de souveraineté numérique ? ». En creux, la question autour de S3ns (partenariat entre Thales et Google), Bleu (Capgemini et Orange) et du partenariat entre Amazon et Atos.

• Thales et Google détaillent le fonctionnement de S3ns sur le « cloud de confiance »
• Bleu : Capgemini et Orange s'associent à Microsoft pour leur « cloud de confiance »
• AWS Re:Invent 2022 : partenariat stratégique avec Atos et avalanche d’annonces

C’est l’occasion de rappeler que ce trio américain occupe pas moins de 65 % du marché du cloud : Amazon Web Services (32 %), Microsoft Azure (23 %) et Google Cloud (10 %). L’Autorité de la concurrence, s'était d’ailleurs auto-saisie du sujet et a récemment mis en ligne son rapport et prépare le terrain à « une (ou plusieurs) enquête(s) contentieuse(s) ». 

• Cloud : l’Autorité de la concurrence s’auto-saisit… sous vos applaudissements
• L’Autorité de la Concurrence enfonce le cloud

Collectivités, santé, universités, PME : une approche globale

« Si les données publiques et privées doivent être protégées, les données sensibles doivent l’être encore plus. Il est impératif que nos données sensibles soient hébergées dans des espaces sécurisés, dont l’accès et le contrôle sont placés sous l’autorité de notre pays », rappelle l’avis.

Le rapport demande ainsi que les données sensibles soient placées chez une société non soumise à des lois extraterritoriales (comme c’est le cas avec les entreprises américaines et le Cloud Act), de « préférence dans des clouds français ou européens ». Le rapport en profite pour définir le cloud souverain : « un cloud de confiance, transparent, non soumis à des législations extraterritoriales, et dont des certifications garantissent son niveau de confiance ».

En mai 2021, le gouvernement a adopté le principe de « cloud au centre » afin de renforcer la sécurité des données des projets numériques de l’État. Une circulaire en mai de cette année est venue préciser le cas des données sensibles avec l’obligation de passer par un hébergeur de confiance, mais uniquement pour les services d’État.

La Commission souhaite aller plus loin et « recommande à l’ensemble des administrations, des collectivités territoriales, des établissements de santé et des universités (recherche) d’avoir recours à des hébergeurs de confiance pour les données sensibles ou nécessitant une protection particulière ». La CSNP rappelle l’importance de « l’accompagnement des petites collectivités et des établissements publics qui ne disposeraient pas des moyens humains et financiers nécessaires pour se conformer à cette doctrine ». À ce titre, les missions des préfets pourraient être renforcées.

Voici les trois premières recommandations sur la question de la souveraineté des données : 

• Recommandation 1 : Les données sensibles détenues et gérées par les administrations et  établissements des collectivités territoriales, les établissements de santé et les universités, sont identifiées. Lorsque cette cartographie aura été réalisée, la CSNP estime que ces données pourraient se conformer aux exigences posées par la circulaire du 31 mai 2023 sur « le cloud au centre ».
• Recommandation 2 : L’extension du rôle des préfets afin qu’ils s’assurent que les données sensibles des collectivités territoriales et de leurs établissements soient bien hébergées dans un cloud souverain. À cet effet, nous proposons qu’un volet numérique soit intégré au plan communal de sauvegarde numérique (PCS numérique). Ces nouvelles attributions seront accompagnées d’un renforcement de leurs moyens, lequel s’inscrira en cohérence avec la mise en œuvre des textes européens (Directive NIS2, Data Act), notamment en termes de calendrier.
• Recommandation 3 : L’accompagnement des plus petites collectivités, des établissements de santé et des universités qui ne disposent pas des moyens financiers et humains suffisants pour la mise en conformité avec la législation sur l’hébergement des données

Alors que revoilà le « Buy European Act »

La CSNP reprend ensuite à son compte une idée qui n’est pas nouvelle mais qui n’a pour le moment jamais abouti : un « Buy European Act » et un « Small Business Act » (favoriser les petites entreprises), à l’image de ce qui se passe aux États-Unis.

Le numérique n’est pas le seul domaine où cette question remonte régulièrement à la surface, l’espace en est un autre avec des enjeux financiers et de souveraineté tout aussi importants (Ariane Group vs SpaceX). « Il est primordial que ces propositions se concrétisent sans tarder au niveau européen », affirme la Commission… reste à voir si elle sera plus entendue que les précédents appels et rapports sur le sujet.

L’avis demande que la « France porte un message fort en ce sens auprès de l’Union européenne », ce qui était déjà le cas lors de la présidence du Conseil de l’Europe par la France pendant la première moitié de 2022. L’Espagne, qui préside le Conseil jusqu’à la fin de l’année, s‘intéresse aussi au sujet.

Revoir le code des marchés publics français

Au niveau de la France aussi, il est urgent d’agir : « le moment est venu de proposer et d’adopter des règles de commande publique qui établissent une priorité pour des solutions souveraines, par voie règlementaire et législative ». On se souvient à ce sujet du Health Data Hub avec les données médicales des Français sur des plateformes américaines… avant une volte-face du gouvernement.

• Health Data Hub : le Conseil d’État exige des correctifs face au risque de surveillance américaine

C’est assez rare pour être noté : le rapport reconnait que des offres françaises et européennes existent, mais il « convient d’adapter les règles des marchés publics afin que : les acheteurs soient incités à acquérir des solutions souveraines intégrées [et que] les entreprises françaises et européennes, notamment les TPE/PME, ne soient pas dissuadées de répondre à des appels d’offres complexes qui, in fine, n’intègrent pas les solutions françaises ou européennes ».

• Recommandation 4 : Le code des marchés publics intègre davantage la nécessité de souscrire à des solutions numériques souveraines et est simplifié pour ne pas dissuader les nouveaux acteurs du numérique de répondre à des appels d’offre jugés trop complexes, mais au contraire les y encourager. 
• Recommandation 5 : Le CSF Numérique de confiance formule des propositions concrètes afin de trouver des solutions souveraines intégrées qui permettraient de répondre aux attentes des acheteurs publics.
• Recommandation 6 : Les autorités françaises portent avec force et vigueur, auprès de la Commission européenne et des autres Etats membres, l’adoption d’un « Buy European Tech Act » et d’un « Small Business Act » dans les meilleurs délais

« La France a perdu la bataille du numérique pour le grand public » 

Nul doute que la France a des ambitions de souveraineté et se bat en ce sens dans l’aérospatial (mises à mal par le retard d’Ariane 6) et dans l’énergie (reste à voir si les choix seront les bons), mais « dans le domaine de l’informatique et du numérique, force est de constater que la France a perdu la bataille du numérique pour le grand public au profit des GAFAM, même si les technologies spécialisées de grands groupes comme Atos, Dassault systems, Thales, sont reconnues au niveau  international ».

Le rapport dresse un triste constat sur l’éducation. D’un côté la France dispose d’écoles et de centres de recherche de renom, de l’autre, elle a bien du mal à garder ses talents. L’avis cite en exemple Yann Le Cun, un Français responsable de la recherche en IA chez Meta (Facebook). La raison n’est pas à aller chercher très loin : les moyens financiers des laboratoires/centres de recherche ainsi que les salaires. La Commission n’y va pas par quatre chemins : « les autorités françaises ont sous-investi pendant des décennies dans ces domaines ». Malgré de multiples promesses ces dernières années, la situation ne s’améliore pas franchement. Pour illustrer, quelques exemples de cette rentrée : ici et là.

Les risques des Big Tech sur nos démocraties

La Commission reconnait qu’il n’est pas envisageable de mettre en place des concurrents directs aux Big Tech américaines et chinoises, mais pointe à juste titre qu’il « serait irresponsable de ne pas anticiper les risques que font peser ces monopoles sur nos démocraties ». C’est une réalité depuis des années en Afrique.

•  En Afrique, les algorithmes amplifient la désinformation depuis longtemps

Pour résumer : « Une véritable souveraineté ne se fera pas sans une stratégie nationale et un vrai portage politique […] S’agissant d’un domaine aussi stratégique, il est essentiel que la politique de la France intègre toutes les dimensions de ces enjeux alors qu’aujourd’hui on constate que les sujets du numérique ne sont pas transverses, mais « en silo » au sein de chaque ministère ». 

Afin d’améliorer la situation, « la majorité des membres de la CSNP estime que la création d’un Conseil de défense de la stratégie numérique présidé par le président de la République ainsi que la formulation d’une stratégie politique en début de quinquennat permettraient de renforcer la lisibilité de la politique française en matière de souveraineté numérique ». Sophia Chikirou (députée LFI) a par contre voté contre cet avis : elle « s’est montrée réservée à l’égard d’un rattachement d’un Conseil stratégique à la Présidence de la république et privilégie un portage par le Conseil économique, social et environnemental », explique l’avis.

• Recommandation 7 : Le chef de l’État et son Gouvernement présentent, en début de quinquennat, une feuille de route sur la stratégie politique garantissant la souveraineté industrielle et numérique de la France. Un suivi de la mise en œuvre de la feuille de route pourra être présenté devant la représentation nationale chaque année à l’occasion de l’examen du projet de loi de finances ou dans le cadre des débats annuels du Printemps de l’évaluation.
• Recommandation 8 : Le Gouvernement s’engage à inscrire, dans chaque projet de loi de finances, une ligne budgétaire consacrée à la souveraineté numérique et à sa mise en œuvre ainsi qu’un document budgétaire retraçant l’effort de l’État en la matière (« jaune budgétaire »). Une meilleure lisibilité du financement au pilotage et au soutien apporté au numérique au niveau territorial nous apparait essentiel.
• Recommandation 9 : La création d’un Conseil de défense de la stratégie numérique, auprès du Président de la République.
• Recommandation 10 : Les enjeux et dossiers relatifs à la souveraineté numérique sont directement rattachés aux attributions du Premier ministre et suivis par ses services