&012/3,)4,)&56.,3)7 · 2015-11-24 · Il revient sur les enjeux de la protection des données personnelles, alors qu'au même moment à l'Assemblée nationale, Axelle Lemaire, secrétaire

LENORMAND Quentin

Mémoire de Master 2

LES REPRESENTATIONS DE LA SOUVERAINETE NUMERIQUE FRANCAISE

Sous la direction du Professeur Frédérick Douzet

Année 2014/2015

Chaire Castex de CyberstratégieCercle des partenaires de l’IHEDNEcole Militaire - 1 place Joffre, 75007 Paris

Institut Français de GéopolitiqueUniversité Paris 8 Vincennes Saint-Denis2 rue de la Liberté, 93526 Saint-Denis Cedex

Jeune chercheur de la chaire Castex de cyberstratégieEtudiant à l’Institut Français de Géopolitique

!

Les enjeux :

Les enjeux concernent la défense des intérêts français dans le cyberespace, d’un

point de vue stratégique, politique, économique et culturel. La souveraineté numérique dénote

en effet des préoccupations croissantes concernant le maintien et le respect des États de droit

sur ce nouvel espace/territoire qu’est le cyberespace. Ce mémoire souhaite ainsi interroger les

représentations dominantes dans le débat portant sur la souveraineté nationale française à

l’heure de la « révolution numérique » afin de comprendre les initiatives mises en œuvre dans

cette optique.

Les acteurs :

Les acteurs sont à la fois issus de la classe politique (sénateurs, députés, ministres)

que du monde militaire et de la communauté du renseignement. Entrent également en jeu les

acteurs privés industriels engagés dans l’économie numérique ainsi que la communauté des

chercheurs universitaires et indépendants. Enfin, l’univers journalistique participe à la

diffusion et à la constitution de certaines représentations dominantes dans ce débat.

Les ensembles spatiaux :

Les ensembles spatiaux pris en compte par ce mémoire concernent aussi bien les

espace physiques (Amérique du Nord/Europe/Asie, France/États-Unis/Allemagne/Royaume-

Uni, etc.) que les cyber-espaces (réseaux physiques, réseaux informationnels, etc.) plus

difficiles à cartographier.

Mots clés :

Représentations, rivalités, souveraineté, numérique, France, États-Unis,

leadership, surveillance, Internet, réseaux, Google, Facebook, Apple, Amazon, GAFA,

fiscalité, solutionnisme, cyberdéfense.

!

2

!

3

REMERCIEMENTS

Je tiens avant tout à remercier Madame le professeur Frédérick Douzet pour

m’avoir donné l’opportunité de travailler sur ce sujet innovant.

Je souhaiterais également que tous ceux qui ont pris le temps de répondre à mes

demandes et de me recevoir dans le cadre de mon enquête de terrain trouvent ici l’expression

de ma gratitude.

Que l’ensemble de l’équipe de l’Institut Français de Géopolitique et de la Chaire

Castex de Cyberstratégie soit assurée de mes remerciements pour le temps qu’elle a consacré

à m’aider, dans le cadre de mes travaux de cartographie principalement.

Enfin, merci à mes relecteurs pour leur patience et leur assistance.

!

4

SOMMAIRE

Remerciements………………………………………………………………………………p.3

Sommaire……………………………………………………………………………………p.4

Introduction…………………………………………………………………………………p.5

Chapitre 1: L’enjeu stratégique de la défense de la souveraineté numérique................……p.19

Chapitre 2 : L’enjeu économique de la défense de la souveraineté numérique................….p.54

Chapitre 3 : L’enjeu informationnel et culturel de la souveraineté numérique.....…………p.92

Conclusion………………………………………………………………………………...p.114

Sources et bibliographie ………………………………………………………………..…p.117

Personnalités interrogées…………………………………………………………………..p.125

Table des cartes…………………………………………………………………………....p.127

Table des matières…………………………………………………………………………p.128

!

5

INTRODUCTION

Le concept de souveraineté a recouvert différentes significations depuis sa

première formalisation théorique au XVIe siècle. Selon Yves Lacoste, la souveraineté est le

« principe de droit international selon lequel un État indépendant […] exerce un pouvoir

éminent et exclusif sur son territoire1 ». À l'heure de ce qu'il est désormais convenu d'appeler

la révolution numérique, le concept s'est renouvelé et relève désormais d'enjeux à la fois

économiques, politiques, stratégiques et culturels qui sont abordés différemment en fonction

de l'échelle et du point de vue adoptés.

Alors que dans des pays comme la Russie des revendications souveraines sur les

réseaux s'expriment depuis les premiers temps de l'Internet, le débat concernant la

souveraineté numérique fait ses premiers pas en France. Les acteurs qui évoquent ce concept

se distinguent par leurs propres évaluations des menaces qui pèsent sur la souveraineté,

abordée à différents niveaux.

Historiquement, selon M. Philippe Wolf (ingénieur général de l'armement et

ancien ingénieur à l’Agence Nationale de la Sécurité des Systèmes d’Information), les

prémisses de la souveraineté numérique remontent à la mise en place de la dissuasion

nucléaire à la fin des années 1960. Les réseaux informatiques se multipliant, des impératifs de

confidentialité et de protection des données se font ressentir et conduisent au développement

d'une industrie nationale de technologies souveraines dans le domaine de la cryptologie, du

matériel informatique et de la cybersécurité, sans pour autant que cela fasse l'objet d'un débat

ou que le concept de souveraineté numérique soit formalisé. Puis, avec la généralisation du

numérique dans la sphère militaire, les besoins d'une pensée stratégique s’imposent. Les

années 2000 marquent de ce point de vue un tournant dans la défense de la souveraineté

numérique française. En effet, avec l'avènement de l'Internet, le numérique achève de

s'introduire dans l'ensemble des structures sociales et dès lors que le cyberespace prend de

l'importance, les questions relevant de sa gestion se politisent. La souveraineté numérique

s'extirpe du seul domaine militaire pour devenir une véritable question de politique publique.

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1 Yves Lacoste, De la géopolitique aux paysages. Dictionnaire de la géographie, Paris, 2003, Armand Colin, p.357.

!

6

Si en dehors des milieux spécialisés, ce débat a une faible exposition médiatique,

force est de reconnaitre qu'il fait l'objet d'une attention croissante depuis quelques années, de

la fin de la première décennie des années 2000 (époque où les questions de souveraineté dans

le cyberespace étaient à peine évoquées en France) à aujourd'hui et le sujet fait désormais

l'objet d'ouvrages, de colloques, d'articles, et il est évoqué par des personnalités politiques lors

de débats à l'Assemblée nationale ou au Sénat.

La première évocation du concept de souveraineté numérique en France date de

mars 2006 lorsque Bernard Benhamou et Laurent Sorbier, tous deux chercheurs

universitaires, publient un article intitulé « Souveraineté et réseaux numériques2 » qu'ils

concluent en ces termes : « Parce que ces technologies rendent l’information plus accessible,

elles doivent aussi être sous-tendues par un projet démocratique : c’est la seule question qui

vaille au regard de l’enjeu de la souveraineté numérique ». Il s'agit de la première utilisation

d'une formule qui va connaitre une popularité croissante. Depuis, Bernard Benhamou

participe activement à la diffusion de ces problématiques dans la société civile. Il devient en

octobre 2014 secrétaire général de l'Institut de Souveraineté Numérique, créé à l'initiative de

Cloudwatt, à qui le gouvernement français avait confié la mise en place d'un cloud souverain.

Cet institut, présidé par Didier Renard (également président de Cloudwatt), est destiné à faire

connaitre les enjeux de la souveraineté numérique au grand public et aux élus3.

Le 13 octobre 2008, Pierre Bellanger, président de Skyrock, publie un article dans

le journal La Tribune intitulé « Contre la crise : Internet, Internet, Internet » dans lequel il

utilise la formule de « souveraineté numérique ». Selon lui, la solution pour sortir de la crise

économique doit passer par les nouvelles technologies et l'Internet : « La crise permet de

réfléchir en grand, la crise permet aux pouvoirs publics de jouer un rôle moteur et structurant.

Il ne faut pas laisser passer cette opportunité. L'enjeu est notre industrie numérique, notre

souveraineté numérique. C'est le moment de faire fort. Dans toutes les grandes nations,

l'économie numérique sera une des raisons du rebond, de la prospérité retrouvée. Et c'est

maintenant que cela se décide4 ». Cet article est le premier d'une longue série d'écrits qui va

permettre à Pierre Bellanger de devenir un interlocuteur à part entière dans le débat sur la

souveraineté numérique.

En effet, Pierre Bellanger multiplie depuis les interventions. Le 30 août 2011, il !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2 Benhamou Bernard, Sorbier Laurent, « Souveraineté et réseaux numériques », Politique étrangère, 3/ 2006 (Automne), p. 519-530. 3 http://www.souverainetenumerique.fr 4 Bellanger Pierre, « Contre la crise : Internet, Internet, Internet », La Tribune, 13 octobre 2008.

!

7

publie une nouvelle tribune dans Les Échos5 où il reprend la formule de « souveraineté

numérique ». Il considère la souveraineté numérique française comme « abandonnée » à

« l'impérialisme » américain et appelle à sa « reconquête » qui doit passer par une alliance

entre les nations européennes. Il publie en janvier 2014 un ouvrage dont le titre reprend la

formule6 et dans lequel il appelle à l’instauration d’une souveraineté numérique nationale

pour faire face aux enjeux économiques et culturels imposés par le développement des

réseaux informatiques.

Le 14 janvier 2015, Pierre Bellanger publie une nouvelle tribune dans le quotidien

Le Monde intitulée « Défendre la République numérique7 ». Il revient sur les enjeux de la

protection des données personnelles, alors qu'au même moment à l'Assemblée nationale,

Axelle Lemaire, secrétaire d'État chargée du numérique, présente les orientations de son

projet de loi sur le numérique8.

La classe politique s'intéresse aussi à ces questions, sans que le débat soit pour

autant teinté d'une coloration politique particulière. Le 17 juin 2009, la fondation d'entreprises

Prometheus, présidée par Bernard Carayon en tant que député (UMP) du Tarn, organise à

l'Assemblée nationale un colloque consacré à la souveraineté numérique9. À cette occasion, la

ministre de l'Intérieur Michèle Alliot-Marie annonce l'élaboration d'un « Livre blanc sur la

cybersécurité »10. C'est à ce moment là que le gouvernement commence à réfléchir à des

mesures concrètes visant à assurer le respect de la souveraineté nationale dans le cyberespace.

Cette implication se concrétise avec la création en juillet 2009 de l'Agence Nationale de la

Sécurité des Systèmes d'Information (l'ANSSI). La mission de cette dernière, en plus d'assurer

la cybersécurité des organismes étatiques, consiste à conseiller et soutenir les administrations

ainsi qu’à contribuer à la recherche et au développement de technologies de sécurité

informatique11.

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5 Bellanger Pierre, « De la souveraineté en général et de la souveraineté numérique en particulier », Les Échos, 30 août 2011. 6 Bellanger Pierre, La souveraineté numérique, Paris, Stock, 2014, 252 p. 7 Bellanger Pierre, « Défendre la République numérique », Le Monde, 14 janvier 2015. http://www.lemonde.fr/idees/article/2015/01/14/defendre-la-republique-numerique_4555665_3232.html (consulté le 14 janvier 2015) 8 Ibid. 9 « Fondation Prometheus: un colloque sur la souveraineté numérique à l'Assemblée le 17 juin prochain », La Tribune, 10 juin 2009. http://objectifnews.latribune.fr/node/500 (consulté le 27 janvier 2015) 10 « Un "Livre blanc sur la cybersécurité" », Le Figaro, 17 juin 2009. http://www.lefigaro.fr/flash-actu/2009/06/17/01011-20090617FILWWW00569-un-livre-blanc-sur-la-cybersecurite.php (consulté le 18 décembre 2014) 11 ANSSI, Historique de l’ANSSI. http://www.ssi.gouv.fr/agence/presentation/l-historique-de-l-anssi.html (consulté le 10 janvier 2015)

!

8

À l'été 2012, le sénateur Jean-Marie Bockel (UDI) publie un rapport d'information

« fait au nom de la commission des affaires étrangères, de la défense et des forces armées sur

la cyberdéfense »12. Il y évoque les risques d'atteinte à la souveraineté nationale via la sphère

numérique. Son initiative met en lumière les lacunes de la politique de l'État sur le plan de la

cybersécurité13.

En janvier 2013, le conseiller d'État Pierre Collin et l'inspecteur des finances

Nicolas Colin déposent au Conseil d'État un rapport14 sur la fiscalité du numérique, destiné à

plusieurs ministères. Les rédacteurs invitent l'État à formuler « l'argument de la souveraineté

numérique » auprès des instances européennes afin de combattre le « lobbying intense » des

géants du web américain, fiscalement exilés en Irlande15.

De même, la sénatrice Catherine Morin-Desailly (UDI) publie plusieurs rapports

sur ces questions où elle développe un point de vue très engagé sur la question de la

souveraineté numérique. En mars 2013, l'un deux, intitulé « l'Union européenne, colonie du

monde numérique ? » pose en particulier la question de la dépendance, sur le plan de

l'économie numérique, de l'Europe vis-à-vis des États-Unis16.

En mai 2014, les députées Corinne Erhel (PS) et Laure de la Raudière (UMP)

publient un rapport conjoint sur le développement de l'économie numérique française où elles

dénoncent le déséquilibre fiscal qui profite aux géants américains du numérique, au détriment

de l'économie française et européenne et, à terme, de la souveraineté nationale17.

En août 2014, le Secrétariat Général de la Défense et de la Sécurité Nationale,

dépendant du Premier ministre, s'empare du sujet de la souveraineté numérique et publie un

article intitulé « Vers une souveraineté numérique ? »18 qui s'interroge sur la signification du

mot « souveraineté » dans le monde numérique.

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12 Bockel Jean-Marie, Rapport d'information fait au nom de la commission des affaires étrangères, de la défense et des forces armées sur la cyberdéfense, 18 juillet 2012, 158 p. http://www.senat.fr/rap/r11-681/r11-6811.pdf (consulté le 19 janvier 2015) 13 Bellec Stéphanie, « Cyberdéfense : Jean-Marie Bockel demande à François Hollande de l'auditionner », 01net, 5 octobre 2012. http://pro.01net.com/editorial/574947/cyberdefense-jean-marie-bockel-demande-a-francois-hollande-de-lauditionner/ (consulté le 5 février 2015) 14 Collin Pierre, Colin Nicolas, Mission d'expertise sur la fiscalité du numérique, janvier 2013, 198 p. http://www.economie.gouv.fr/files/rapport-fiscalite-du-numerique_2013.pdf (consulté le 5 février 2015) 15 Ibid, p.139. 16 Morin-Desailly Catherine, Rapport d'information fait au nom de la commission des affaires européennes sur l' « Union européenne, colonie du monde numérique ? », mars 2013, 158 p. http://www.senat.fr/notice-rapport/2012/r12-443-notice.html (consulté le 12 février 2015) 17 Erhel Corinne, De La Raudiere Laure, Rapport d'information sur le développement de l'économie numérique française, 14 mai 2014, 163 p. http://www.assemblee-nationale.fr/14/pdf/rap-info/i1936.pdf (consulté le 14 mai 2015) 18 Secrétariat Général de la Défense et de la Sécurité Nationale, Vers une souveraineté numérique ?, 4 août 2014.

!

9

En juin 2015, la formule de souveraineté numérique a été mise à l’honneur par le

député Malek Boutih (PS) dans son rapport intitulé « Génération radicale19 » consacré au

djihadisme. Dans le chapitre intitulé « Internet, la loi du Far-West », celui-ci reprend l’idée de

Pierre Bellanger d’un « Commissariat à la souveraineté numérique20 », estimant par ailleurs

que le PDG de Skyrock est un « spécialiste incontesté des enjeux du réseau, qui a théorisé le

concept de souveraineté numérique » et dont le constat « est basé sur des années

d’expérience21 ». Le thème de la souveraineté numérique suscite également des réunion publiques

(conférences, colloques, etc.). En septembre 2012, l'autorité régulatrice des communications

électroniques (ARCEP) organise un colloque intitulé « Les territoires du numérique ». En

introduction, Françoise Benhamou, membre du collège de l'ARCEP, reprend le concept de

souveraineté numérique tel qu'il a été défini quelques mois plutôt par Pierre Bellanger dans la

revue Débat22.

Le mois de mai 2014 voit ensuite se tenir la première édition des Assises de la

souveraineté numérique, organisée par l'agence de relations publiques Aromates. Le public a

pu assister aux interventions de personnalités très diverses, comme Didier Renard, le

président de Cloudwatt, les députées Corinne Erhel et Laure de la Raudière, la sénatrice

Morin-Desailly, des représentants d'entreprises du numérique (Mappy, Alcatel-Lucent) et du

milieu universitaire (Olivier Babeau) 23. La deuxième édition de ces Assises s'est déroulée au

mois d'avril 201524.

Le 12 septembre 2014, l'université de Rennes organise un colloque intitulé « Droit

et souveraineté à l'âge de l'Internet : quels défis pour l'Europe ? 25 » qui regroupe des acteurs

très divers du monde numérique autour de discussions portant aussi bien sur le droit,

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!19 Bouthi Malek, Génération radicale, juin 2015, 68p. http://www.boutih.fr/wp-content/uploads/2015/07/G%C3%A9n%C3%A9ration-radicale.pdf (Consulté le 10 août 2015) 20 Ibid., p.60. 21 Ibid. p.60. Malek Boutih est par ailleurs directeur des relations institutionnelles de Skyrock. Source : http://www.strategies.fr/guides-annuaires/nominations/r91596W/mamadou-gaye-directeur-des-affaires-publiques-de-skyrock.html (consulté le 9 août 2015) 22 Benhamou Françoise, Introduction de la table ronde Le numérique sans territoire ?, Colloque annuel de l’ARCEP sur « Les territoires du numérique » , 25 septembre 2012. http://www.arcep.fr/index.php?id=2124&tx_gsactualite_pi1[uid]=1545&tx_gsactualite_pi1[backID]=1&cHash=3a5458e8a2e9ce1b5995bae1c70aa884 (consulté le 23 juin 2015) 23 Beki Ariane, « Souveraineté numérique : vers une reconquête française ? », silicon.fr, 13 mai 2014. http://www.silicon.fr/assises-souverainete-numerique-reconquete-francaise-94307.html (consulté le 3 février 2015) 24 http://www.souverainetenumerique.aromates.fr/ 25 Programme du colloque « Droit et souveraineté à l'âge de l'Internet : quels défis pour l'Europe ? »

!

10

l'éducation, la culture ou la défense26.

Historiquement, le Ministère de la Défense est un acteur central de la défense de

la souveraineté numérique française. Si cette implication s'inscrit dans sa mission

traditionnelle de défense des intérêts nationaux, elle a pris ces dernières années une direction

inédite. Sans entrer ici dans les détails, il convient de signaler que le Ministère de la Défense

entend jouer un rôle central dans la formation d'une communauté numérique française qui

regrouperait des chercheurs universitaires, des ingénieurs, des militaires, des industriels, des

élus, etc. Le plan mis en œuvre par le Ministère doit favoriser la recherche de solutions

informatiques françaises, développer une réflexion sur les questions liées au cyber et faire

émerger une industrie nationale qui pourrait répondre à des besoins à la fois civils et

militaires. L'objectif est de relever le défi de l'autonomie stratégique française dans le

cyberespace et d'assurer ainsi la souveraineté numérique française.

L'utilisation de plus en plus fréquente de la formule de « souveraineté

numérique » témoigne donc de préoccupations croissantes concernant la cybersécurité, que ce

soit à l'échelle individuelle ou collective. D'emblée, nous pouvons déterminer trois contextes

dans lesquels le concept de souveraineté numérique est évoqué en France.

Tout d’abord dans le domaine stratégique. La défense de la souveraineté

numérique s'inscrit dans la mission traditionnelle des forces armées. Avec la numérisation

progressive du champ stratégique, la protection de la souveraineté comprend désormais une

part importante de numérique. Cette défense, comme nous avons pu le voir, est cependant

antérieure à la réflexion stratégique concernant la souveraineté numérique.

La formule est également évoquée dans le domaine économique. La souveraineté,

c'est aussi la capacité de l'État à accompagner ses administrés dans les processus de création

de richesse. Or le cyberespace, en tant que support de l'économie du futur, est porteur

d'immenses promesses de croissance. Dans ces conditions, la France saura-t-elle mettre en

place un environnement qui lui permettra de relever les défis de l'économie à venir ? C'est la

question de la fiscalité dont le cadre traditionnel est désormais jugé inadapté à la nouvelle

économie numérique, qui concentre aujourd'hui l'attention des acteurs. Par ailleurs, le débat

concernant la souveraineté économique fait l'objet d'un regain d'intérêt depuis l'affaire

Snowden. En effet, les révélations ayant jeté un certain discrédit sur l'industrie américaine du

numérique (principalement dans le secteur de la cybersécurité, du stockage et de la

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!26 Ibid.

!

11

confidentialité des données), un certain nombre d'acteurs industriels européens se sont

détournés des offres nord-américaines. Un marché de la confiance numérique est ainsi

susceptible d'émerger en Europe, ce qui constitue une formidable opportunité de

développement économique.

Enfin l'évocation de la souveraineté numérique s'inscrit dans le débat concernant

l'influence culturelle des réseaux. Une part de plus en plus importante de nos modes de vie se

structure aujourd'hui autour des outils informatiques. Or, étant donné que l'Internet est

également un réseau informationnel, il constitue un vecteur d'influence culturelle ; défendre la

souveraineté française, c'est donc protéger les valeurs constitutives de la France afin qu'elle

soit en mesure de pérenniser son modèle social et politique.

La formule permet donc d'évoquer des enjeux très différents, mais qui, comme

nous allons le voir, s'imbriquent souvent entre eux. Ces enjeux recouvrent des problématiques

liées à la protection des données, au respect de la neutralité du net afin que ce dernier reste un

espace de liberté, à la fiscalité des entreprises du numérique, à la défense des éléments

stratégiques de la nation, etc.

Les enjeux de la souveraineté numérique sont appréhendés à différentes échelles :

- la première, c'est l'échelle individuelle du citoyen ou de l'internaute. Elle permet d'évoquer la

responsabilité et les droits des internautes considérés individuellement. Ce point est important

car le développement de l'Internet octroie un pouvoir inédit aux individus et fait de chacun

d’eux un acteur stratégique des réseaux27.

- la deuxième échelle, c'est celle de l'entreprise et de manière plus générale celle de la

communauté des entrepreneurs français. Il s'agit non seulement de défendre les données

contre le piratage, d'assurer la transition des entreprises vers le numérique mais aussi de

donner aux entrepreneurs la possibilité de s'étendre sur les marchés en croissance, en majorité

liés au numérique.

- la troisième échelle relève des États. Elle permet de questionner la place et le rôle des entités

étatiques dans les réseaux.

De plus, le débat concernant la souveraineté numérique française s'inscrit dans un

contexte international particulier : celui de la remise en question générale de la puissance

américaine. En effet, il apparait aujourd'hui pour certains que la configuration actuelle des

réseaux informatiques, conçus par les Américains, a été pensé de telle manière à ce qu'ils

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27 Kempf Olivier, « Stratégie du cyberespace », Diploweb.com,13 février 2013. http://www.diploweb.com/Strategie-du-cyberespace.html (consulté le 10 février 2015)

!

12

servent leurs intérêts quasi-exclusifs. Or, un certain nombre de pays considère aujourd'hui que

cette hégémonie s'est imposée aux dépens de leur souveraineté. C'est pourquoi les

revendications souveraines ne cessent de s'intensifier dans les réunions internationales qui

rassemblent les acteurs concernés par la gestion des réseaux. Néanmoins, ce mouvement de

contestation ne constitue pas pour autant un front uni car la plupart de ses acteurs poursuivent

des objectifs stratégiques différents et défendent des intérêts particuliers.

Il existe deux courants différenciables qui militent pour la défense de leur

souveraineté dans les débats sur la gouvernance de l'Internet. Ils se distinguent en ce qu'ils ont

une base historique différente et servent des intérêts particuliers, voire divergents. Le premier

courant est composé de pays aux régimes politiques autoritaires (la Chine, l'Iran, la Russie

principalement) dont les revendications remontent parfois au début de l'Internet. Malgré des

intérêts divergents, ces pays s'accordent sur l'idée qu'une gouvernance des réseaux par les

États et les gouvernements est nécessaire afin que ceux-ci soient en mesure de défendre leur

souveraineté contre les menaces d'origine informatique. C'est pourquoi ils militent activement

pour un transfert des compétences des organismes de gestion des réseaux vers une

organisation internationale interétatique du type de l'ONU. La raison principale invoquée pour

justifier ces revendications est d'ordre sécuritaire : ces pays souhaitent rétablir leur contrôle

sur les réseaux afin que ces derniers ne véhiculent pas de menaces (espionnage, sabotage,

surveillance) pouvant porter atteinte à leur souveraineté.

Au delà des déclarations officielles, ces prises de position servent différents

intérêts. Le premier est politique : en revendiquant le droit de chaque État à contrôler seul ses

réseaux informatiques au nom de leur cybersécurité et sous couvert de la lutte contre le

terrorisme et la criminalité sur l'Internet, ces pays autoritaires mettent en place des systèmes

de contrôle et de censure des informations sur leurs réseaux. Cela leur permet de renforcer

leur contrôle sur leurs populations.

Le deuxième intérêt est économique : en dénonçant la configuration actuelle des

réseaux et en interdisant l'accès à certaines plates-formes étrangères (Google et Facebook sont

par exemple inaccessibles en Chine) au nom de leur souveraineté, ils favorisent le

développement d'un véritable marché national qui se substitue aux offres étrangères. Il s'agit

donc d'une forme de protectionnisme économique.

Quant au dernier intérêt, il est culturel : ces pays considèrent en effet que les

réseaux tels qu'ils ont été conçus originellement en Amérique du Nord restent un instrument

au service du soft power américain. Le président Poutine n'a par exemple pas hésité à affirmer

!

13

que l'Internet était un projet de la CIA28. Ces pays craignent que leurs identités respectives

soient altérées par la diffusion des valeurs occidentales29. En revendiquant au nom de leur

souveraineté le droit exclusif des États à gérer leurs réseaux, ces acteurs souhaitent donc

maintenir leur unité intérieure30.

Le deuxième courant de revendications souveraines est constitué de pays

émergents tels que l'Argentine, l'Afrique du Sud, l'Inde ou le Brésil, qui ont tous en commun

d'être des démocraties libérales en voie développement économique. Ces pays militent pour

une gestion multipartite (multi-taskholder en anglais) des réseaux informatiques, c'est-à-dire

une gouvernance prenant en compte l'ensemble des groupes d'intérêts impliqués dans les

réseaux : gouvernements, industriels, chercheurs, militaires, politiques, etc. En incluant

l'ensemble des acteurs concernés, ces pays souhaitent s'assurer que l'Internet reste un espace

de liberté. Au départ, la gestion des réseaux a été conçue à l'initiative des États-Unis selon ce

modèle multi-partite. Cependant, il apparait clairement aujourd'hui que cette gestion est

obérée par le contrôle historique que les États-Unis exercent sur les réseaux informatiques,

contrôle qui se caractérise par les liens contractuels qui unissent l'ICANN (Internet

Corporation for Assigned Names and Numbers), principal organisme de gestion des réseaux,

avec le Department of Commerce américain31.

Ici également, ce positionnement sert une fonction économique : les contestations

souveraines ouvrent en effet le champ à un développement économique national. Mais il s'agit

également d'un positionnement sur la scène diplomatique. Pour les pays émergents aspirant à

devenir des acteurs régionaux de poids, c'est un faire-valoir sur la scène internationale, surtout

depuis les révélations d'Edward Snowden.

Deux éléments caractérisent donc ce front de « cybercontestation32 ». Le premier,

c'est l'engagement de ces États dans une politique d'influence régionale (en Asie pour la

Chine, en Amérique du Sud pour le Brésil, dans l'Océan Indien pour l'Inde, dans l'ex-bloc

soviétique pour la Russie, dans le Proche et Moyen-Orient pour l'Arabie Saoudite et les

Émirats Arabes Unis). Le deuxième, c'est la contestation quasi-systématique de l'hégémonie

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!28 « Poutine : "Internet est un projet de la CIA" », Euronews, 26 mai 2014. http://fr.euronews.com/2014/04/26/poutine-internet-est-un-%20projet-de-la-cia/ (consulté le 14 avril 2015) 29 Limonier Kevin, « La Russie dans le cyberespace : représentations et enjeux », Hérodote, 2014/1 n° 152-153, p.145. 30 Flichy De La Neuville Thomas, « Chine-Iran-Russie, la cyberguerre au prisme de la géoculture », Les Grands Dossiers de Diplomatie, n°23, p.45. 31 Ebert Hannes et Maurer Tim, « Revendications sur le cyberespace et puissances émergentes », Hérodote, op. cit., p.279. 32 Ibid. p.280.

!

14

américaine sur la scène internationale. En défendant une réforme de la structure et de la

gestion des réseaux au nom de leur souveraineté, ils militent de facto pour une

désaméricanisation du cyberespace et leurs politiques doivent donc être appréhendées dans

leur contexte diplomatique général.

Il existe par conséquent une ligne de fracture claire entre ceux qui militent pour

une réforme des réseaux afin de protéger leurs souverainetés, selon des modalités différentes,

et les partisans du statu-quo, dominés par les États-Unis. Ces derniers estiment que

l'organisation multipartite actuelle est la meilleure garantie contre le développement d'un

Internet fragmenté, ce qui irait à l'encontre de sa nature originelle. Ils se posent ainsi comme

les garants d'un Internet ouvert, libre et démocratique. Cette fracture est apparue clairement

lors de la Conférence mondiale des télécommunications internationales de Dubaï en 2012.

L’article 1er du traité proclame le droit souverain de chaque État à réglementer ses

télécommunications. 54 États ont voté non, dont la France et les États-Unis, arguant que les

dispositions adoptées ouvriraient la voie à la censure et à la restriction des libertés sur les

réseaux. Parmi les tenants du oui, nous retrouvons l'ensemble des pays susmentionnés (Brésil,

Russie, Chine, Argentine, Iran, etc.) 33

Mais à la suite des révélations de Snowden, la position américaine qui consistait à

s’affirmer comme le défenseur des libertés fondamentales sur les réseaux a été fortement

décrédibilisée, ce qui en retour a légitimé les revendications souveraines. Si l'idée selon

laquelle l'Internet appartient aux États-Unis est encore très prégnante outre-Atlantique, le

président Obama n’en a pas moins annoncé que le contrat qui lie l'ICANN à l'administration

fédérale ne sera pas renouvelé (ce que certains considèrent d'ailleurs comme un abandon de la

souveraineté numérique américaine34), ouvrant à une possible réforme de la gouvernance des

réseaux. Il semblerait donc que malgré la multiplicité des intérêts poursuivis, la gouvernance

de l'Internet se situe à un moment charnière de son histoire avec la montée en puissance des

revendications souveraines.

Dans ce mouvement de contestation, quelle est la place de l'Europe ? Dans les

débats sur la gouvernance de l'Internet, la position européenne, faute de poids politique, n'est

pas claire. Il existe néanmoins une résistance européenne par voie judiciaire, qui, dans le

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33 Liste de signataires de la déclaration finale. In: http://www.itu.int/osg/wcit-12/highlights/signatories.html. Une cartographie de la déclaration finale peut être trouvée en 3e partie de ce mémoire. 34 Rasley George, « Obama Giving Up America's Digital Sovereignty », Conservativehq, août 2014. http://www.conservativehq.com/article/16696-obama-giving-america%E2%80%99s-digital-sovereignty (consulté le 6 mars 2015)

!

15

cadre de la protection des données avec ledit « droit à l'oubli », s'attaque aux positions

monopolistiques des entreprises américaines du numérique en Europe. Cependant, les

défenseurs actifs de la souveraineté numérique française, envisagée majoritairement dans son

ensemble européen, dénoncent l'absence de vision politique claire à l'échelle européenne.

L'enjeu, c'est qu'à terme, l'Europe soit totalement dépendante des États-Unis sur le plan

économique, que cela entraine une altération du modèle social européen et de ses valeurs

culturelles, alors qu'ailleurs dans le monde, des marchés régionaux sont en plein croissance

dans le domaine du numérique, plus particulièrement en Asie où les acteurs chinois sont en

passe de devenir incontournables.

D'après les parties concernées, la France et l'Europe ont un rôle à jouer dans

l'avenir des réseaux, que ce soit sur le plan de l'industrie souveraine, dans la politique de

gestion des données et du respect de la vie privée. L'Europe est invitée à faire valoir son

industrie et sa culture. En défendant une souveraineté française solidaire de ses partenaires

européens, les acteurs souhaitent assurer une place à la France et à l'Europe dans un monde en

voie de fragmentation. Néanmoins, nous verrons que cette représentation d'une souveraineté

européenne, condition première pour assurer la défense des souverainetés nationales, a des

limites, dans le cas de la cyberdéfense en particulier.

Le débat sur la souveraineté numérique permet donc d'interroger la capacité des

États à exister dans le cyberespace et par exister, il faut entendre ne pas subir les évolutions

prises actuellement par les réseaux. La souveraineté numérique est donc un concept qui ne

doit pas être appréhendé selon sa définition traditionnelle : il ne s'agit pas ici d'une

souveraineté de type westphalienne mais plutôt d'une souveraineté entendue comme le

contrôle des éléments stratégiques (physiques ou immatériels) qui assurent l'existence,

l'intégrité et l'identité d'un État et de ses administrés dans le cyberespace.

Pour autant, certaines questions évoquées dans les débats concernant la

souveraineté numérique (localisation des données, infrastructures souveraines, disparité

fiscale, contrôle étatique, etc.) démontrent que ce phénomène de revendications est

indissociable de logiques territoriales. Ce point est important car pendant longtemps a prévalu

l'idée selon laquelle les réseaux étaient affranchis de toute contrainte physique et qu'à terme le

développement de l'Internet gommerait les frontières physiques et immatérielles qui divisent

les sociétés et rendrait la politique obsolète35. Or, l'affaire Snowden a mis en évidence, s'il en

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!35 John Barlow affirmait ainsi sa déclaration d'indépendance du cyberespace: « Governments of the Industrial World, [...] I ask you of the past to leave us alone. You are not welcome among us. You have no sovereignty

!

16

fallait, le fait que l'Internet n'est pas un objet politique neutre. L'étude des représentations de

la souveraineté numérique, françaises ou autres, démontre que la géographie physique et

politique constitue toujours un élément déterminant dans le développement des réseaux. Une

cartographie des revendications souveraines a donc été possible.

Afin d'identifier les acteurs et les rivalités qui structurent le débat, notre recherche

se base sur trois éléments méthodologiques. Le premier est une veille de l'actualité concernant

les nouvelles technologies. Cette veille concerne tout autant la presse généraliste nationale (Le

Monde, Le Figaro, Les Échos, La Tribune, Rue89, Slate, Le Huffington Post) et internationale

(The Guardian, The New York Times, The Wall Street Journal) que la presse spécialisée. La

majorité de cette presse spécialisée dans les nouvelles technologies publie uniquement en

ligne : Clubic, Zdnet, L'Usine Digitale, L'Usine Nouvelle, Numérama, 01net, Next Inpact,

Global Security Mag, ITespresso pour la presse francophone, MotherBoard, Re/code et Wired

pour la presse anglophone.

Notre recherche se base également sur la lecture d'ouvrages universitaires et par le

suivi des publications dans les revues spécialisées. La revue Hérodote a publié un numéro il y

a quelques mois sur ces questions36. L'Institut Français des Relations Internationales (IFRI)

s'intéresse aussi à ce sujet37. Nous nous sommes également penchés sur les publications des

centres de recherche en cyberstratégie tels que l'Institut Français d'Analyse Stratégique

(IFAS) et la Chaire Castex de Cyberstratégie de l’Institut des Hautes Études de la Défense

Nationale (IHEDN). Le Ministère de la Défense anime également un Observatoire du Monde

Cybernétique qui effectue une veille d'actualité régulière à propos des questions liées à la

géopolitique du cyberespace.

Enfin, la part la plus importante de notre recherche est issue de notre enquête de

terrain. Nous avons effectué des entretiens avec les différents acteurs impliqués dans le débat

en France ; ces acteurs sont issus de la classe politique, du secteur industriel, de la recherche

(qu'elle relève des sciences dite « dures » ou humaines), de la Défense, du journalisme, de

l'administration publique, etc. En sus de ces entretiens, nous avons assisté aux conférences,

débats, colloques et autres interventions publiques ayant un lien avec notre sujet. Enfin, le

suivi d'un certain nombre de blogs de spécialistes, (Laurent Bloch, Louis Pouzin, Daniel

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!where we gather. [...]Cyberspace does not lie within your borders. Do not think that you can build it, as though it were a public construction project. You cannot. It is an act of nature and it grows itself through our collective actions. » https://projects.eff.org/~barlow/Declaration-Final.html (consulté le 20 juin 2015). 36 Douzet Frédérick (dir.), « Cyberespace: enjeux géopolitiques », Hérodote, op. cit., 295 p. 37 « Internet: une gouvernance inachevée », Politique étrangère, 2014-2015/ n° 4.

!

17

Ventre, Olivier Kempf, etc.) dont nous trouverons la liste exhaustive à la fin de ce mémoire,

nous a permis d'affiner notre recherche.

La principale difficulté rencontrée lors de notre étude réside dans le fait suivant :

la formule de souveraineté numérique recouvre des enjeux très différents les uns des autres et

chaque acteur, en fonction de son angle d'approche, en conçoit une représentation particulière.

Quel lien existe-t-il alors entre la représentation d'un militaire qui conçoit la souveraineté

numérique dans le cadre de sa mission traditionnelle de Défense, un industriel qui utilise le

concept pour évoquer la puissance économique française et une personnalité politique qui y

voit des enjeux d'ordre culturel ?

Ce mémoire doit donc nous permettre d'interroger les représentations qui

prévalent dans le débat français concernant la souveraineté numérique. L'intérêt du sujet n'est

pas négligeable puisque le concept est utilisé de manière croissante dans le débat public, sans

que les acteurs qui l'évoquent ne s'accordent sur la signification à mettre derrière ce terme. Or

l'évocation de la formule n'est jamais neutre. Elle sert une fonction politique, qui s'inscrit dans

la remise en question générale de l'hégémonie américaine. Les contestations souveraines

permettent également de militer pour le développement d'une économique nationale et

européenne dans le secteur du numérique. Mais si l'affirmation des souverainetés numériques

sert avant tout des fonctions économiques et politiques, les enjeux n’en sont pas moins

beaucoup plus vastes : il s'agit également de la défense de spécificités françaises et

européennes face aux influences anglo-saxonnes (et peut-être bientôt asiatiques). La France,

partagée entre son attachement à l'atlantisme et la tentation d'une Europe politique forte,

pourrait donc élaborer une position médiane dans une gouvernance des réseaux en voie de

réorganisation. Elle pourrait alors y affirmer les principes d'un Internet ouvert et

démocratique, et en retour de se positionner comme une puissance incontournable sur la scène

internationale.

Notre réflexion s'articulera autour de trois axes. Le premier envisagera le concept de

souveraineté numérique du point de vue de la Défense nationale : quelle est la politique

engagée par la France en vue de protéger la part numérique de sa souveraineté ? À quelles

menaces la souveraineté nationale est-elle exposée dans le cyberespace ? Dans un deuxième

temps, nous nous intéresserons à la souveraineté économique : quelle est la place de la France

et de l'Europe dans l'écosystème numérique international ? Quelle politique a été engagée

pour pallier le retard des acteurs nationaux et européens vis-à-vis de leurs concurrents

étrangers ? Notre dernière partie se concentrera sur les problématiques culturelles de la

!

18

souveraineté numérique : en quoi le développement actuel pris par les réseaux constitue-t-il

une menace pour l'identité française et plus largement européenne ?

!

19

Chapitre 1

L’enjeu stratégique

de la défense de la souveraineté numérique

1. Les États-Unis: une menace pour la souveraineté numérique française ?

1.1 Le cyberespace : un territoire conflictuel

Depuis l'avènement des réseaux informatiques et l'expansion de l'Internet, de

nouvelles menaces contre les souverainetés étatiques ont été dénoncées et le cyberespace est

désormais considéré comme un territoire hautement conflictuel. Plusieurs raisons expliquent

l'intensification des discours des acteurs étatiques dénonçant les malveillances commises via

les réseaux informatiques, sans que la menace qui pèse effectivement sur les États ne soit

clairement évaluée.

L'investissement des États sur ce nouveau territoire est déterminé par la

représentation d'une menace. Or cette représentation sert une fonction : justifier le

renforcement du contrôle étatique sur les réseaux ou l'accroissement des dépenses dans le

domaine du cyber. Mais les « marchands de peur38 » sont également les promoteurs d'un

secteur économique en pleine expansion : celui de la cybersécurité. Une enquête effectuée par

une entreprise de ce secteur a dénombré près de 60 millions de logiciels ou codes malveillants

en circulation en 2010, contre 92 000 en 200539. Or pour Philippe Wolf, ces chiffres, sous

couvert d'objectivité, amplifient la menace réelle afin de stimuler le marché des produits de

sécurité. En effet, « la possibilité de créer facilement des variantes à partir de certains codes

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!38 Expression utilisée par Philippe Wolf lors de la conférence « Les frontières du cyberespace » organisée par les écoles de Saint-Cyr Coëtquidan le 4 juin 2013. http://www.dailymotion.com/video/x16k5nw_20-philippe-wolf-les-frontieres-du-cyberespace-4-juin-2013_news (consulté le 4 avril 2015) 39 Panda Security, The Cyber-Crime Black-Market, 44 p. http://www.pandasecurity.com/mediacenter/src/uploads/2014/07/The-Cyber-Crime-Black-Market.pdf (consulté le 4 août 2015)

!

20

malveillants, c’est- à-dire, pour l’attaquant, de les personnaliser, biaise ce dénombrement.40 »

À défaut de données fiables, il est donc difficile pour un chercheur d'évaluer la menace réelle

qui pèse sur les acteurs du cyberespace.

Les acteurs étatiques trouvent en réalité différentes motivations à investir dans des

cyber-capacités. La non-létalité propre aux attaques informatiques est un élément

fondamental. Du point de vue d'un militaire, une cyberattaque peut en effet produire le même

résultat qu’une arme traditionnelle mais sans les pertes matérielles et surtout humaines qu’une

attaque classique pourrait causer. Cela d’autant plus que le cyberespace offre un avantage

particulier : son opacité. Qui veut lancer une cyberattaque dispose d’instruments

d’anonymisation et de dissimulation permettant de cacher son identité et ses origines.

Certes il serait illusoire de prétendre décrire la multitude des stratégies mises en

œuvre par les pirates informatiques. Comme l'a remarqué Philippe Wolf, dans le cas des

attaques informatiques, trop d'ambiguïtés subsistent concernant la source (qui m'attaque ?), les

dommages (lesquels ?), les moyens (comment ?) et la finalité (pourquoi ?)41. Néanmoins, le

monde du hacking apparait comme un vivier de techniciens où mercenaires au service

d'idéologies (souvent extrémistes), terroristes, lanceurs d'alerte, ONG, cabinets d'intelligence

économique, entreprises de cybersécurité, polices, services de renseignement, criminalité

organisée se côtoient et s'affrontent, poursuivant tous des objectifs particuliers

(enrichissement, prestige, espionnage, etc.) tout en partageant quelques fois certains intérêts

réciproques42. La cyberinsécurité n'apparait donc plus aujourd’hui comme le fait exclusif de

groupes criminels mais une part grandissante concerne désormais les États.

Le cyberespace est ainsi devenu un déterminant dans les rapports de force

internationaux. Les États ne se contentent plus de renforcer leurs systèmes de défense contre

les attaques informatiques, mais ils développent désormais leurs capacités cyber-offensives. À

titre d'illustration, la Corée du Nord a doublé les effectifs de sa « cyberarmée » en 2013 pour

atteindre 6 000 hommes43. De même, une directive présidentielle américaine a détaillé la

politique cyber-offensive des États-Unis en octobre 2012. Dans ce document, Barack Obama

demandait à la NSA de mettre en place une liste de cibles potentielles pour des !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!40 Wolf Philippe, Vallée Luc, « Cyber-conflits, quelques clés de compréhension », Rapport INHESJ / ONDRP, p.787. 41 Wolf Philippe, Vallée Luc, « Cyber-conflits, quelques clés de compréhension », op.cit., p.795. 42 Dejean Philippe, Sartre Patrice « La cybervulnérabilité », Études, revue de culture contemporaine, juillet-août 2015, p.27. 43 « La Corée du Nord : une cyber-armée puissante », Le Figaro, 6 janvier 2015. http://www.lefigaro.fr/flash-actu/2015/01/06/97001-20150106FILWWW00269-coree-du-nord-une-cyber-armee-puissante.php (Consulté le 24 juin 2015)

!

21

cyberattaques44. En France, l'investissement dans les capacités cyberoffensives est resté une

question délicate pendant longtemps. Finalement, le Livre blanc de 2013 a reconnu qu' « au

sein de la doctrine nationale, la capacité informatique offensive, associée à une capacité de

renseignement, concourt de façon significative à la posture de cybersécurité45 ».

Les États ont donc effectué un retour à l'offensive grâce au développement des

outils informatiques. Il s'agit pour eux de maximiser leur puissance respective en utilisant les

possibilités offertes par le cyber. Alors que la généralisation des armes atomiques gèle les

possibilités d’affrontement physiques entre États, les armes cybernétiques ne contreviennent

pour le moment à aucun traité international ni au principe du respect de la vie humaine. Les

pays revendiquant le statut de puissance régionale ou mondiale investissent donc de manière

croissante dans le domaine du cyber et c'est la manière de faire la guerre qui est revisitée avec

le développement du numérique.

Jusqu'ici les attaques informatiques, même les mieux conçues, ont néanmoins eu

un impact limité : les populations n'ont pas été atteintes dans leur intégrité physique et les

ressources vitales des États n'ont jamais été entamées à grande échelle. Ce constat aide à

relativiser les concepts de cyber-conflits et de cyber-guerre. Peut-être ces attaques visent-elles

simplement à tester les capacités et les réactions des adversaires, à lancer un avertissement ou

à exprimer une menace46.

Des projets de régulation ont été proposés par certains États dans le but de

contenir les malveillances informatiques et de limiter les atteintes aux souverainetés via les

réseaux. Surtout que compte-tenu de l'interdépendance des États dans le cyberespace, les

attaques non-maitrisées pourraient avoir des effets en cascade sur les infrastructures critiques

que ces acteurs partagent, ce qui devrait inciter les États à faire preuve de responsabilité47.

En septembre 2008, dans un texte présenté à l'Assemblée générale des Nations

Unies, la Russie s'inquiétait ainsi que le cyberespace soit utilisé « à des fins incompatibles

avec le maintien de la stabilité et de la sécurité internationale et [qu'il puisse porter] atteinte à

l'intégrité de l'infrastructure des États, nuisant ainsi à leur sécurité dans les domaines tant

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!44 Greenwald Glenn, MacAskill Ewen, « Obama orders US to draw up overseas target list for cyber-attacks », The Guardian, 7 juin 2013. http://www.theguardian.com/world/2013/jun/07/obama-china-targets-cyber-overseas (Consulté le 24 juin 2015) 45 Guehenno Jean-Marie (dir.), Livre blanc sur la défense et la sécurité nationale, Paris, La Documentation française, 2013, p.107. 46 Dejean Philippe, Sartre Patrice « La cybervulnérabilité », op. cit., p.29. 47 Coustillière Arnaud, « La défense française et le cyberespace », Les Grands Dossiers de Diplomatie, n°23, octobre-novembre 2014, p.74.

!

22

civils que militaires48 ». Le contenu de la proposition était directement inspiré des traités

internationaux de désarmement encadrant les conflits traditionnels. La résolution fut adoptée à

l'unanimité moins une voix, celle des États-Unis. Des observateurs remarquèrent à l'époque

que si ces derniers votèrent contre ce projet de réglementation internationale, c'est que

l'insécurité du cyberespace devait leur profiter49. En effet, les révélations de Snowden ont

démontré que l'absence de régulation dans le cyberespace, où la « loi du plus fort » domine

actuellement en l'absence de cadre contraignant pour les États, a permis aux États-Unis de

déployer des capacités cyber-offensives destinées à protéger leurs intérêts et à renforcer leur

leadership, mais elles constituent pour de nombreux pays une menace directe pour leur

souveraineté numérique.

Il faut néanmoins garder à l'esprit que l'affaire Snowden, en mettant les États-Unis

sous les projecteurs des médias, identifie ce pays comme une menace prioritaire pour la

sécurité informatique des États et des entreprises. Pourtant, l'investissement dans le

développement de capacités cyber, qu'elles soient offensives ou défensives, n'est pas une

spécificité américaine, mais au contraire le fait d’un nombre croissant d’États. Ces révélations

sont en tout cas intéressantes puisqu'elles permettent d'affiner notre perception de la puissance

américaine à l'heure des réseaux informatiques.

1.2. Les principaux programmes de surveillance de la NSA

Le 5 juin 2013, Edward Snowden, un sous-traitant de la NSA, commence à faire

fuiter des documents concernant les pratiques des services de renseignement américains.

Depuis, les révélations qui se sont succédées ont permis de mettre en lumière la stratégie

réelle de la première puissance mondiale dans le cyberespace.

Il est important de préciser en premier lieu que seule la surveillance exercée par la

NSA sur le territoire américain s'est faite dans un cadre légal, celui du Patriot Act. Promulgué

le 26 octobre 2001, puis prorogé deux fois (le 9 mars 2006 et le 26 mai 2011), le Patriot Act

est arrivé à échéance en juin 2015 sans que cela signifie pour autant la fin de la surveillance.

Quant à la surveillance exercée en dehors du territoire des Étatq-Unis, elle s’effectue en !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!48 Assemblée générale des Nations Unis, Projet de résolution 63/385, résolution 63/37, adopté le 2 décembre 2008. 49 Fitsanakis Joseph, « La doctrine américaine de cybersécurité: une évaluation basée sur les révélations d'Edward Snowden », Les Grands Dossiers de Diplomatie, n°23, op. cit., p.27.

!

23

dehors de tout contrôle judiciaire.

À plusieurs titres, les pratiques de la NSA constituent un profond changement

de paradigmes dans l'histoire des relations internationales. L'ampleur des moyens mis en

œuvre est le premier élément innovant. Les personnalités issues des milieux spécialisés avec

lesquelles nous nous sommes entretenus n'imaginaient pas que la surveillance ait pu prendre

une telle ampleur. La NSA dispose en effet de plus de 700 serveurs localisés dans différents

pays du monde qui lui permettent de surveiller les réseaux en temps réel. 97 milliards de

données ont ainsi pu être collectées durant le seul mois de mars 201350. Rien qu'au Brésil, 2,3

milliards d'appels téléphoniques et d'email ont été interceptés en janvier 201351. En plus de ce

système d'écoute mondial, la NSA et la CIA collectent des millions d'images destinées à un

programme de reconnaissance faciale auquel s'ajoutent environ 200 millions de SMS chaque

jour52.

Si cette collecte massive a pu être réalisée, cela tient avant tout à la dissémination

croissante des données d'utilisation par les internautes. Avant l’ère numérique, la surveillance

était ciblée pour des raisons matérielles et pratiques. Les données produites en grande quantité

par les internautes lors de leur navigation sur l'Internet (lieux visités, opinions exprimées,

dépenses effectuées, etc.) se concentrent aujourd'hui dans quelques écosystèmes numériques

appartenant à un nombre restreint de prestataires de service en ligne (Google, Facebook,

Amazon et Apple principalement), ce qui a facilité le travail de la NSA. L’avancée

technologique de l’agence a ensuite permis le traitement de cette quantité phénoménale de

données : son directeur, l’Amiral Rogers, a ainsi confirmé lors de notre entretien que la NSA

investissait massivement dans de nouveaux outils technologiques.

L’exploitation et la création de failles dans le matériel informatique, et cela à

grande échelle, constituent le deuxième aspect innovant. Avec le programme GENIE, des

backdoors53 auraient été installés dans des ordinateurs et des logiciels, en particulier dans les

logiciels de protection des données (pare-feu et cryptographie principalement), ce qui aurait

permis à la NSA d'espionner les réseaux sécurisés sur lesquels les utilisateurs font transiter

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!50 Greenwald Glenn, MacAskill Ewen, « Boundless Informant : the NSA’s secret tool to track global surveillance data », The Guardian, 11 juin 2013. http://www.theguardian.com/world/2013/jun/08/nsa-boundless-informant-global-datamining (Consulté le 24 juin 2015) 51 « La NSA a aussi surveillé le Brésil, Snowden fait part de ses craintes », Le Monde, 7 juillet 2013. http://www.lemonde.fr/ameriques/article/2013/07/07/snowden-fait-part-de-ses-craintes_3443766_3222.html (Consulté le 24 juin 2015) 52 Greenwald Glenn, MacAskill Ewen, Ibid. 53 Le terme de backdoors désigne la modification volontaire d'un système informatique afin d'y créer un accès pour espionner l'activité de l'utilisateur à son insu.

!

24

des informations par nature confidentielle. Il existe aussi un programme, nommé BULLRUN,

dédié à la recherche et à l'exploitation de failles dans les systèmes de chiffrements utilisés par

les internautes, à titre individuel ou entrepreneurial. Lors de notre entrevue, Bernard

Benhamou, expert français délégué aux usages de l’Internet au Ministère de la Recherche et

de l’Enseignement supérieur a insisté sur l'importance de ce point : il estime que la NSA a agi

de manière irresponsable en introduisant et en utilisant des vulnérabilités dans les réseaux

pour y exercer sa surveillance, sans se soucier du fait que ces vulnérabilités auraient pu être

utilisées par n'importe quel autre pirate informatique. Les États-Unis ont ainsi mis en jeu

l'intégrité des réseaux et la sécurité des utilisateurs pour leur seul profit.

Enfin, le troisième et dernier aspect particulier des pratiques de la NSA réside

dans l'indifférenciation du choix des cibles. La surveillance américaine concerne tout autant

des institutions (écoute du conseil de l'Europe, des bureaux de l'Union européenne à l'ONU,

du siège de l'ONU, du G20 de Londres), des personnalités politiques (écoutes téléphoniques

de la chancelière allemande Angela Merkel, des trois derniers présidents français, de la

présidente brésilienne Dilma Roussef, etc.) que la « masse » indistincte des utilisateurs. Il ne

s'agit donc pas d'une surveillance ciblée mais au contraire généralisée. Le programme PRISM

donne ainsi à la NSA un accès légal (grâce à la section 215 du Patriot Act) et sans limitation

aux serveurs de grandes entreprises américaines de l'Internet tels que Facebook, Apple,

Amazon, Yahoo, Microsoft, qui agglomèrent chaque jour une masse d'informations

considérable provenant d'utilisateurs disséminés dans le monde entier. La surveillance est

également à visée industrielle : le BND allemand a ainsi espionné Airbus pour le compte de la

NSA54. Cette dernière ne se contente donc pas de surveiller les adversaires idéologiques des

États-Unis ou de prévenir les menaces terroristes. Elle vise indistinctement adversaires et

partenaires, cela au seul profit du renforcement de sa puissance globale.

Ainsi, le but poursuivi par les services de renseignement américains n'est pas de

cibler des ennemis potentiels ou déclarés des États-Unis, mais de mettre en place un système

de surveillance mondial n'épargnant que ceux qui ne représentent aucun intérêt pour eux. En

vue de la réalisation de ce projet, la NSA, et d'autres agences de sécurité telles que le FBI, se

sont publiquement opposées au renforcement des techniques d'anonymisation destinées à

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!54 « Espionnage : le ministre de l’Intérieur allemand auditionné », Le Point, 6 mai 2015. http://www.lepoint.fr/monde/espionnage-le-ministre-de-l-interieur-allemand-auditionne-06-05-2015-1926664_24.php (consulté le 5 août 2015)

!

25

protéger la confidentialité des échanges de données sur l'Internet55. La NSA travaille d'ailleurs

à la mise au point d'un calculateur quantique capable de décrypter les technologies de

chiffrement56.

La NSA n'est pas le seul acteur du système de surveillance américain : il repose

sur la coopération des différentes agences de renseignement intérieures (FBI) et extérieures

(CIA). L'objectif est de s'assurer que les réseaux soient passés au crible, pour mieux lutter

contre la menace terroriste. La justification de la surveillance, en la replaçant dans la lutte

contre le terrorisme, trouve néanmoins des limites aux vues des documents publiés à la suite

des révélations d'Edward Snowden. Il apparait que les outils informatiques décris plus haut

servent autant à lutter contre les terroristes (en Afghanistan, au Pakistan, au Sahel et en Irak

principalement), que contre les réseaux criminels (mexicains principalement). Mais les États-

Unis ne poursuivent pas que des enjeux sécuritaires : ces outils informatiques de surveillance

sont utilisés pour faire de l'espionnage industriel en vue d'obtenir des avantages concurrentiels

pour l'industrie américaine.

L’un des arguments employé par les Américains pour se justifier consiste à

évoquer le fait que la surveillance entre États, qu'ils soient adversaires ou partenaires, remonte

en réalité à des temps antérieurs au cyber. Dans un article du 29 mai 2015 publié dans le Wall

Street Journal, le professeur de relations internationales à Stanford M. Joffe signalait ainsi

que « si, les amis espionnent leurs amis. [...] Dans le monde réel, tout le monde espionne tout

le monde. Demandez à des amis tels que la CIA et le Mossad israélien » et rappelait que le

chancelier allemand Helmut Kohl, qui fut en poste de 1982 à 1998, avait toujours dans sa

voiture un vase rempli de petite monnaie qu'il utilisait pour certaines communications

téléphoniques sensibles depuis des cabines publiques choisies au hasard dans Berlin, afin de

s'assurer que ses communications ne soient pas écoutées. De même, les officiels américains

s’efforcent à replacer les écoutes dans le contexte de la lutte contre un terrorisme global

n'hésitant pas à utiliser les réseaux informatiques pour ses communications ou comme vecteur

de propagande.

Néanmoins, pour les trois raisons que nous avons vues (l'ampleur des moyens mis

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!55 Koebler Jason, « The FBI keeps demanding impossible solutions to its encryption problem », Motherboard, 21 avril 2015. http://motherboard.vice.com/read/the-fbi-keeps-demanding-impossible-solutions-to-its-encryption-problem (Consulté le 24 juin 2015) 56 Barton Gellman, Rich Steve, « NSA seeks to build quantum computer that could crack most types of encryption », The Washington Post, 2 janvier 2014. http://www.washingtonpost.com/world/national-security/nsa-seeks-to-build-quantum-computer-that-could-crack-most-types-of-encryption/2014/01/02/8fff297e-7195-11e3-8def-a33011492df2_story.html (Consulté le 24 juin 2015)

!

26

en œuvre, la corruption du matériel informatique à grande échelle et l'indifférenciation dans le

choix des cibles) et face à ce qui apparait objectivement comme une violation systématique et

répétée des souverainetés étatiques, l'argument de la lutte contre le terrorisme pour justifier le

système de surveillance mis en place reste difficilement soutenable. De fait, les révélations de

Snowden ont permis de mettre en lumière la réalité stratégique qui prévaut dans le

cyberespace.

1.3 Communication politique et réalité stratégique

À la suite des premières révélations d'Edward Snowden le 6 juin 2013, des

personnalités publiques françaises expriment leur indignation face à ce qui apparait comme

une violation flagrante de la souveraineté française : Fleur Pellerin, alors ministre de

l'Économie numérique, se dit « choquée » et appelle à l'instauration d'une Europe

numérique57. Pierre Bellanger publie quant à lui une tribune dans le quotidien Libération

intitulée « La guerre des réseaux est déclarée58 ». L'auteur considère dans ce texte que les

révélations de Snowden marquent la fin du doute concernant la politique américaine dans le

cyberespace et appelle une nouvelle fois à la constitution d'une politique européenne de

cyberdéfense afin de protéger la souveraineté numérique française.

Pourtant, malgré l'indignation générale, les révélations de Snowden n'ont pas

débouché sur une crise diplomatique, ni sur une remise en question des relations franco-

américaines ou de la structure de l'OTAN. De même, l'idée d'une Europe de la cyberdéfense

pour se protéger de l'hégémonie américaine ne semble pas s’être concrétisée en 2015.

Pourquoi, malgré les preuves d'atteinte à la souveraineté numérique française, n'y a-t-il pas eu

de réévaluation des relations franco-américaines ?

De fait, les révélations de Snowden ont mis en lumière la distance entre la réalité

stratégique du cyberespace et les représentations véhiculées par les discours officiels ou les

médias. La faiblesse de la réaction démontre en premier lieu que ces choses étaient connues

dans les sphères dirigeantes françaises. La DGSE, le service de renseignement extérieur

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!57 « NSA : "choquée", Fleur Pellerin veut une "Europe numérique" », Europe 1, 26 octobre 2013. http://www.europe1.fr/international/nsa-choquee-fleur-pellerin-veut-une-europe-numerique-1688011 (Consulté le 9 février 2015) 58 Bellanger Pierre, « La guerre des réseaux est déclarée », Libération.fr, 16 juin 2013. (Consulté le 9 février 2015) http://www.liberation.fr/medias/2013/06/16/la-guerre-des-reseaux-est-declaree_911283

!

27

français, entretient en effet une relation de première importance avec son homologue

américain. Des documents transmis par Snowden au quotidien Le Monde en novembre 2013

démontrent que le service de renseignement extérieur français a construit un partenariat non

pas ponctuel mais pérenne avec ses homologues américains et britanniques de la NSA et du

GCHQ, le service de renseignements électroniques du Royaume-Uni59.

L'année 2006 marque de ce point de vue le début d’une nouvelle ère pour les

services de renseignement français : alors que jusque là la méfiance prévalait entre la NSA et

la DGSE, il semblerait que ces derniers aient, à ce moment là, voulu réévaluer leurs relations

avec l'allié américain. Des contacts avec les services de la NSA et du GCHQ sont alors

amorcés au mois de novembre 2006 dans le but de mettre en place un modèle de coopération

entre les services. Un an plus tard, en 2007, une note du GCHQ se félicite déjà de la relation

établie avec la DGSE et une autre note, provenant elle de la NSA, met en exergue le

pragmatisme et la bonne volonté dont fait preuve le service français en terme de coopération.

En juillet 2009, la DGSE et le GCHQ décident de pousser plus en avant leurs relations et de

mettre en commun leurs efforts dans la lutte contre les systèmes de cryptage sur les réseaux

permettant de dissimuler des informations60.

Cette coopération repose sur le principe du « donnant-donnant ». La DGSE

fournit des renseignements concernant des régions du monde où elle est bien implantée, en

échange de quoi la NSA fournit des informations sur les zones où la France est absente. Face

au succès de la coopération, le périmètre de partage s'élargit entre les deux communautés de

renseignement. Fin 2011, les responsables des services respectifs décident de formaliser leurs

relations avec un accord connu sous le nom de « Lustre » destiné à structurer l'échange de

renseignements. L'ampleur des données partagées connait alors une forte croissance, car la

DGSE est un partenaire privilégié pour la NSA. L’Amiral Rogers, directeur de la NSA, nous a

ainsi confirmé que la collaboration franco-américaine dans le domaine du renseignement était

stable et bénéfique pour les deux partis61. Les services de renseignement français peuvent en

effet faire valoir la position stratégique de la France dans l'architecture du cyberespace. La

France compte de nombreux points d'échange Internet, par comparaison avec ses voisins

proches, ainsi que des câbles sous-marins en provenance de l'Afrique, de l'Afghanistan ou

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!59 Follorou Jacques, « La France, précieux partenaire de l’espionnage de la NSA », Le Monde, 29 novembre 2013. http://www.lemonde.fr/technologies/article/2013/11/29/la-france-precieux-partenaire-de-l-espionnage-de-la-nsa_3522653_651865.html?xtmc=dgse_nsa&xtcr=2 (Consulté le 26 juin 2015) 60 Ibid. 61 Entretien avec l'auteur (16 juillet 2015)

!

28

encore du Moyen-Orient qui aboutissent à Marseille et en Bretagne. Des systèmes d'écoute

auraient été mis en place sur ces câbles et certaines informations captées puis triées par la

DGSE auraient été transmises à la NSA et au GCHQ62.

Ces éléments nous permettent de mettre en lumière la réalité stratégique du

cyberespace. Dans le cadre de la lutte contre le terrorisme, la France et les États-Unis

mutualisent leurs efforts afin de lutter plus efficacement contre une menace commune se

jouant des frontières traditionnelles, comme nous le constatons avec Al-Qaida ou Daesh. Le

partenariat avec la NSA est d'une telle valeur stratégique que malgré les révélations, les

décideurs ne se sont pas risqués à détériorer les rapports de la France avec les États-Unis. Les

coopérations perdurent donc malgré les « indiscrétions » alliées.

La leçon que nous pouvons tirer de ces analyses est la suivante : les coopérations

internationales entre services de renseignement ne sont envisagées que lorsqu'il y a

convergence d'intérêts. Dans la mesure du possible, chaque communauté nationale du

renseignement cherche à développer des coopérations bilatérales avec leurs potentiels

partenaires étrangers. Les États-Unis étant la puissance dominante, la majorité des États ont

ainsi intérêt à développer des accords avec eux. À ce titre, la relation anglo-américaine

constitue la relation idéale dans le domaine du cyber. Le Royaume-Uni constitue en effet,

avec, l'Australie, le Canada et la Nouvelle-Zélande (les « Five Eyes ») un partenaire de

première importance pour la puissance américaine. Grâce à ces partenariats, les États

concernés améliorent leurs performances dans le cyberespace et limitent l'espionnage

réciproque en augmentant le partage de renseignements63. Pour la France, la difficulté à

établir des liens de confiance dans le cyberespace réduit néanmoins « le cercle des partenaires

potentiels64 ».

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!62 Follorou Jacques, « Surveillance : la DGSE a transmis des données à la NSA américaine », Le Monde, 30 novembre 2013. http://www.lemonde.fr/international/article/2013/10/30/surveillance-la-dgse-a-transmis-des-donnees-a-la-nsa-americaine_3505266_3210.html (Consulté le 26 juin 2015) 63 Direction des Affaires Stratégiques, La balkanisation du web : chance ou risque pour l'Europe, 2014, pp.114-115. 64 Ministère de la Défense, Pacte Défense cyber, 50 mesures pour changer d'échelle, 2014, p.17.

Océan&Pacifique

Océan&Atlantique

Océan&Indien

N

Royaume)Uni

Partenaires1de1premier1niveau1

de1la1NSA1(Five1Eyes)1

Partenaires1occasionnels1ou1

réguliers1de1la1NSA

Principaux1centres1d’écoute

de1la1NSA

Sources&:&nsa7observer

Chine

ChineRussie

Russie

Brésil

Brésil

Iran

Iran

20001km

De1l'ambivalence1des1rapports1stratégiques1:

le1cas1de1la1National&Security&Agency

Des1partenaires1stratégiques...

sous1surveillance1

Cibles1prioritaires1

identifiées1par1la1NSA

Cibles1secondaires

Quentin1Lenormand1)1avril12015

Nouvelle)Zélande

États)Unis

États)Unis

Australie

Australie

!

30

Ce sont donc les relations bilatérales et non multilatérales, basées sur des intérêts

communs, et non sur la confiance, qui prévalent dans le cyberespace. Une réalité que le

lieutenant-colonel Tromparent nous a confirmée : « les États n'ont pas d'amis, ils n'ont que

des intérêts » nous a-t-il rappelé en paraphrasant le général de Gaulle. En affirmant que

« nous n’avons ni ennemi ni ami dans le cyberespace », Guillaume Poupard, le directeur de

l’ANSSI, a lui même reconnu cette réalité65. Au sein de la communauté de défense, le cyber

est donc simplement considéré comme un nouvel outil dans des rapports de force

traditionnels. C'est une « nouvelle manière d'appliquer des politiques déjà existantes66 ». Les

rivalités entre les États répondent aux mêmes logiques qui prévalent depuis des décennies ; ce

sont les moyens de leurs politiques qui ont simplement changé. Aucun pays ayant acquis une

force cyber n'a ainsi modifié les principes qui déterminent sa politique intérieure et extérieure.

Certes les spécificités du réseau permettent aux assaillants de se dissimuler plus facilement

que dans le monde « réel » (ce qui a entrainé une intensification des attaques dans le

cyberespace) mais elles n’ont pas remis en question les rapports de force entre les États.

L'espionnage reste par conséquent une pratique courante, même entre partenaires.

Dans les milieux spécialisés, les révélations de Snowden n'ont pas été une

surprise. En octobre 2000, un rapport parlementaire français sur « les systèmes de

surveillance et d'interception électroniques pouvant mettre en cause la sécurité nationale67 »

avait déjà mis en avant la possibilité pour les États-Unis de développer des moyens de

surveillance utilisés à des fins politiques, sécuritaires et industrielles. Dans son rapport intitulé

« L'Union européenne, colonie du monde numérique » et déposé en mars 2013, soit trois mois

avant les premières révélations de Snowden, la sénatrice Morin-Desailly citait une étude

effectuée par l'Institut pour le droit de l'information, un centre de recherche néerlandais,

concernant le cloud computing et le Patriot Act américain. Elle écrivait ensuite, sur les bases

de cette étude, que le Patriot Act « introduit une procédure qui autorise une large acquisition

de données concernant des personnes étrangères sans même qu’il ne soit besoin de les

soupçonner : cette acquisition de données n’est pas nécessairement ciblée sur des personnes

précises ni sur le contenu spécifique de leurs communications, elle doit seulement contribuer !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!65 Establier Alain, « ITW de Guillaume Poupard, Directeur général de l’ANSSI », RP Défense, 16 décembre 2014. http://rpdefense.over-blog.com/2014/12/itw-de-guillaume-poupard-directeur-general-de-l-anssi.html (Consulté le 20 juin 2015) 66 Lewis James A., « Étude préliminaire sur les analyses en cybersécurité : l'affaire Snowden comme étude de cas », Hérodote, op.cit., p.32 67 Paecht Arthur, Rapport d'information déposé par la commission de la défense nationale et des forces armées sur les systèmes de surveillance et d'interception électroniques pouvant mettre en cause la sécurité nationale, 2000, 89 p.

!

31

à la collecte de renseignements étrangers68 ». L'idée que les services de renseignement

américains utilisaient les données collectées par des acteurs privés en vue de renforcer leur

leadership était donc déjà répandue au sein de la classe politique.

De même, lors de notre entretien avec Louis Pouzin (qui a passé une partie de sa

carrière d'informaticien aux États-Unis), ce dernier nous a affirmé que « dans la mesure où les

Américains pouvaient le faire, pourquoi ne l'auraient-ils pas fait ? » « Toute société a vocation

à s'étendre jusqu'à devenir hégémonique et à abuser de sa position dominante69 » nous a aussi

fait remarquer Bernard Benhamou. L'intégralité des spécialistes interviewés dans le cadre de

notre enquête de terrain a ainsi répondu non à la question de savoir si « les révélations de

Snowden ont été une surprise pour vous ». De même, les réactions ou non réactions françaises

peuvent laisser penser que la France investit également, à la mesure de ses moyens, dans des

capacités cyber-défensives et cyber-offensives.

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!68 Morin-Desailly Catherine, Rapport d'information fait au nom de la commission des affaires européennes sur l'« Union européenne, colonie du monde numérique ? », op. cit., p.56. 69 Entretien avec l’auteur (13 mars 2015)

!

32

2. La défense de la souveraineté française dans le cyberespace

2.1. Cyber-défense et cyber-offense

Le rôle joué par le Ministère de la Défense dans la défense de la souveraineté

numérique est défini par les Livres blancs de 2008 et de 2013. Si celui de 2008 a élevé le

cyberespace au rang de priorité nationale et l'a ajouté aux « environnements de combat

classiques70 » de l'armée, celui de 2013 l'a davantage considéré en affirmant que la nature

généralisée de l'informatique « [...] nous impose aujourd’hui d’augmenter de manière très

substantielle le niveau de sécurité et les moyens de défense de nos systèmes d’information,

tant pour le maintien de notre souveraineté que pour la défense de notre économie et de

l’emploi en France71 ».

Pour relever ces défis, le Ministère de la Défense s'est engagé dans une politique

ambitieuse s'appuyant sur un effort budgétaire conséquent, malgré ces temps de rigueur

économique. Un Pacte Défense Cyber a ainsi été lancé le 7 février 2014. Constitué de

cinquante mesures distribuées en six axes, ce plan s'appuie sur un budget d’un milliard d'euros

s'étalant sur la période 2014-201972. Le président François Hollande a par ailleurs annoncé en

avril 2015 une « rallonge » pour le budget du Ministère de la Défense de 3,8 milliards d'euros

s'étendant jusqu'en 2019 ; une part importante devrait être investie dans le développement de

capacités cyber73. Cette politique cyber se compose ainsi de deux volets complémentaires :

l'un est défensif ; l'autre, plus récent, est offensif.

Selon la définition de Philippe Wolf, « la cyberdéfense est l’ensemble des

mesures techniques et non techniques permettant à un État de défendre dans le cyberespace

les systèmes d’information qu’il juge essentiels74 ». Pour l'armée, il s'agit donc en premier

lieu de protéger les réseaux informatiques du Ministère de la Défense. Afin de rester

opérationnelle, l'armée doit en effet pouvoir assurer la résilience de ses systèmes de

communication et de commandement. En plus des systèmes d'information du Ministère, la

cybersécurité comprend l'électronique embarquée dans les systèmes d'armes des bateaux, des

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!70 Coustillière Arnaud, « La défense française et le cyberespace », op. cit., p.71. 71 Guehenno Jean-Marie (dir.), Livre blanc sur la défense et la sécurité nationale, op. cit., p.105. 72 Coustillière Arnaud, « La défense française et le cyberespace », op. cit., p.74. 73 Ruello Alain, « Hollande consent un effort budgétaire « considérable » pour l’armée », Les Échos, 29 mai 2015. http://www.lesechos.fr/economie-france/budget-fiscalite/02138502215-le-budget-de-la-defense-sanctuarise-en-2015-1115445.php# (Consulté le 16 juillet 2015) 74 Wolf Philippe, Vallée Luc, « Cyber-conflits, quelques clés de compréhension », op. cit, p.793.

!

33

avions et des chars. Le Ministère de la Défense assure également la protection des

informations classifiées contre les tentatives de vols qui constituent une pratique en voie

d'intensification selon le contre-amiral Arnaud Coustillière75 (les attaques détectées visant le

Ministère de la Défense ont en effet quasiment doublé entre 2012 et 201376). Ce dernier

explique cette intensification par le fait que les agressions informatiques sont financièrement

peu coûteuses et relativement faciles à mettre en œuvre 77. La difficulté à attribuer une attaque

informatique à un acteur identifié peut également motiver des investissements dans le

développement de capacités offensives. Le Ministère estime ainsi que « la récurrence actuelle

de ces intrusions, notamment par des États, donne à penser que des informations sont

méthodiquement collectées pour rendre possible, dans une situation de conflit, une attaque de

grande envergure78 ».

Mais l'implication du Ministère de la Défense ne se restreint pas à la seule défense

de ses réseaux. En effet, étant donné que les systèmes informatiques interconnectés sont

devenus l'élément structurant de notre société, les vulnérabilités se sont accrues et il

appartient désormais à l'armée d'assurer la sécurité informatique du pays. La mission du corps

militaire a donc été étendue au delà de son cadre traditionnel : il a désormais la charge

d'assister les autres administrations dans leurs besoins en terme de confidentialité et de

protection informatique. Le Ministère fait pour cela œuvre de pédagogie grâce à une politique

de sensibilisation des administrations et des infrastructures sensibles aux risques

cybernétiques. L'objectif est d'améliorer la prise de conscience des risques liés au cyber et la

coopération entre les différents services de l'État en vue d'obtenir une meilleure réactivité en

cas d'attaques informatiques.

La loi de programmation militaire (LPM) de décembre 2013, suivie d'un décret

d'application publié le 29 mars 2015, a ainsi étendu le champ d'action du Ministère de la

Défense en désignant 218 entreprises privées ou publiques - dont la liste est gardée secrète

afin qu’elles ne constituent pas de cibles - considérées comme des acteurs stratégiques et

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!75 Le contre-amiral Arnaud Coustillière occupe le poste d'officier général cyberdéfense au sein de l'État-Major des Armées depuis la création du poste en 2011. 76 Guerric Poncet, « Entretien. Les confidences du patron de la cyberguerre en France », Le Point, 30 janvier 2014. http://www.lepoint.fr/chroniqueurs-du-point/guerric-poncet/entretien-les-confidences-du-patron-de-la-cyberguerre-en-france-2-30-01-2014-1785898_506.php (Consulté le 16 juillet 2015) 77 Guehenno Jean-Marie (dir.), Livre blanc sur la défense et la sécurité nationale, op. cit., p.44. 78 Ibid., p.49.

!

34

désignées sous le terme d'Opérateur d'Importance Vitale (OIV) 79 . Il s'agit aussi bien

d’entreprises des télécoms que de réseaux d'énergie, de banques, d'hôpitaux, etc. qui ont

désormais l'obligation légale d'assurer la protection et la résilience de leurs réseaux

informatiques avec le soutien du Ministère de la Défense et de l'ANSSI. L'enjeu est de se

prémunir du risque de paralysie générale par voie informatique en assurant la résilience des

réseaux informatiques essentiels au fonctionnement du pays. À ce propos, le Livre blanc de

2013 franchit un cap en affirmant que puisqu'une attaque informatique serait susceptible de

paralyser des pans entiers de l’activité nationale, « elle pourrait constituer un véritable acte de

guerre80 ». L'État français se réserve ainsi le droit de répondre à une attaque visant sa

souveraineté par les moyens qui lui semblent nécessaires. C'est pourquoi le Ministère de la

Défense travaille désormais au développement de capacités cyber-offensives.

Pendant longtemps, l'armée s'est contentée de développer de simples capacités

défensives. Mais le Livre blanc de 2013, en mettant en avant le fait que certains États utilisent

désormais des armes cybernétiques afin de renforcer leur position stratégique justifie le

développement des capacités offensives françaises81. C'est au cours de l'année 2014 que les

militaires français ont reconnu publiquement que la France disposait d’armes cyber

opérationnelles. Le ministère communique désormais volontiers au sujet de l'existence de ces

armes cyberoffensives : « tout cela est parfaitement compatible avec le droit des conflits

armés, avec le droit d'intervention humanitaire, et nous avons eu des discussions avec le

Comité international de la Croix-Rouge (CICR) : ils ne sont pas choqués par ces choix82 »

s'est ainsi justifié le contre-amiral Coustillière. La recherche et le développement ont été

amorcés par le Livre blanc de 2008 afin que l'armée puisse maintenir ses capacités d'action

sur le terrain. Les « cyber-armes » françaises seraient dorénavant opérationnelles sans que

nous puissions savoir de quoi il s'agit exactement.

De ce point de vue, il semblerait que les capacités cyberoffensives françaises ne

soient pas négligeables. Un document de la NSA dresse ainsi la liste des principales menaces

contre lesquelles les États-Unis devraient renforcer leur protection : si la Chine et la Russie

restent en tête de classement, la France n'en est pas moins désignée comme une menace

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!79 Bergé Frédéric, « Cybersécurité : 218 opérateurs "d’importance vitale" sous pression », 01net.com, 1er mai 2015. http://pro.01net.com/editorial/650917/cybersecurite-218-operateurs-dimportance-vitale-sous-pression/ (Consulté le 8 juin 2015) 80 Guehenno Jean-Marie (dir.), Livre blanc sur la défense et la sécurité nationale, op. cit., p.49. 81 Ibid. 82 Guerric Poncet, « Entretien. Les confidences du patron de la cyberguerre en France », op. cit.

!

35

prioritaire aux côtés d'Israël et de la Corée du Sud83. La NSA s’est ainsi rendue compte que la

France était parvenue à pirater le Département de la Défense américain84. C'est peut-être, en

partie, pour cette raison que 827 employés ont été engagés au sein de la communauté de

renseignement américaine sur la base de leurs aptitudes à parler français85.

Mais la découverte par les services de renseignement canadiens en mars 2014 d'un

programme de surveillance de conception française appelé « babar » (ou « titi » par ses

développeurs) a permis de mettre en lumière la réalité des cyber-capacités françaises. Ce virus

espion, qui, du fait de son niveau de sophistication, n'a pu être développé que par des acteurs

étatiques selon les services canadiens, aurait débuté son activité en 2009. S'il a visé des

institutions impliquées dans le programme nucléaire iranien, « babar » a également été détecté

au Canada, en Espagne, en Grèce, en Norvège, en Côte d’Ivoire, en Algérie et en France. Les

services canadiens estiment que les informations transmises ont permis à la France

d’améliorer les coopérations avec ses alliés en leur fournissant des informations de première

importance, sur l’Iran principalement86.

Le développement des capacités qui permettent à la France d'exister dans le

cyberespace (de « planter son drapeau87 ») repose sur une industrie technologique. Celle-ci a

été identifiée comme un élément souverain, compte-tenu des risques à s'approvisionner en

matériel informatique étranger.

2.2 L’industrie nationale au service de la souveraineté numérique

Aymeric Simon, employé de la filiale CyberSecurity du groupe Airbus Defence

and Space, a défini pour nous la souveraineté numérique comme « la capacité à avoir le

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!83 « Documents Show NSA efforts to spy on both enemies and allies », The New York Times, 3 novembre 2013. http://www.nytimes.com/interactive/2013/11/03/world/documents-show-nsa-efforts-to-spy-on-both-enemies-and-allies.html?ref=nationalsecurityagency&_r=1&#doc2 (Consulté le 1er juillet 2015) 84 Greenwald Glenn, Poitras Laura, MacAskill Ewen, « NSA shares raw intelligence including Americans’ data with Israel », The Guardian, 11 septembre 2013. http://www.theguardian.com/world/2013/sep/11/nsa-americans-personal-data-israel-documents (Consulté le 27 juin 2015) 85 « Inside the 2013 US intelligence "black budget" », The Washington Post, 29 août 2013. http://apps.washingtonpost.com/g/page/national/inside-the-2013-us-intelligence-black-budget/420/ (Consulté le 27 juin 2015) 86 Follorou Jacques, Untersinger Martin, « La France suspectée de cyberespionnage », Le Monde, 21 avril 2014. http://www.lemonde.fr/international/article/2014/03/21/la-france-suspectee-de-cyberattaque_4387232_3210.html (Consulté le 27 juin 2015) 87 Dosse Stéphane, « Vers une stratégie de milieu pour préparer les conflits dans le cyberespace ? », Défense et sécurité internationale, n°59, mai 2010, p.82.

!

36

contrôle et la maîtrise des technologies critiques permettant à la France de pouvoir agir

indépendamment dans le monde numérique88 ». La capacité à produire de manière autonome

des technologies dans le domaine de la cybersécurité, de la détection des attaques et de la

cryptologie (pour assurer la confidentialité des données) a ainsi été identifiée comme un

élément constitutif de la souveraineté numérique par le Livre blanc de 2013.

Les révélations de Snowden, en mettant en lumière la proximité des industries

américaines avec les services de renseignement, ont démontré que l'appel à des offres

étrangères dans le domaine du numérique restait une initiative délicate pour les acteurs de la

Défense comme pour ceux du secteur économique. En effet, l'installation de backdoor ou la

compromission par les services de renseignement des pays fabriquant du matériel

informatique semble être une pratique relativement courante. Un programme de la

NSA dénommé QUANTUM a par exemple vocation à déployer des logiciels espions dans des

ordinateurs, y compris dans ceux n'ayant pas accès à l’Internet ; 100 000 auraient ainsi été

infectés89. De même, le programme GENIE, qui s'appuie sur un budget de 652 millions de

dollars, vise à implanter des logiciels espions sur du matériel informatique (ordinateurs,

routeurs, pare-feux, etc.) pour récupérer les données à distance. Ces logiciels ont également

été conçus pour déclencher des cyberattaques (231 en 2011) visant aussi bien des objectifs

militaires qu'industriels90.

C'est pourquoi, lorsqu'en mai 2014 l'Américain IBM a été choisi pour équiper

certains sites critiques du Ministère de la Défense en infrastructures informatiques, Le Canard

Enchainé du 11 juin 2014 a rapporté que certains hauts gradés français qualifiaient ce contrat

de « folie », car « Lenovo est connu pour installer des logiciels espions indétectables dans ses

équipements »91. Le contrat faisait en effet appel à l'activité serveur de l'entreprise IBM

(stockage d'informations sensibles et accès sécurisé), branche qui avait été cédée au chinois

Lenovo quelques mois plus tôt.

Pour toutes ce raisons, l'État cherche à développer une offre française dans le

secteur du numérique afin de limiter les risques contre sa souveraineté. Les besoins de

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!88 Entretien avec l’auteur (9 juin 2015) 89 Sanger David E., Shanker Thom, « NSA devises radio pathway into computers », The New York Times, 14 janvier 2014. http://www.nytimes.com/2014/01/15/us/nsa-effort-pries-open-computers-not-connected-to-internet.html?_r=4 (Consulté le 26 juin 2015) 90 Greenwald Glenn, MacAskill Ewen, « Obama orders US to draw up overseas target list for cyber-attacks », op. cit. 91 « Craintes d’espionnage chinois sur des systèmes informatiques sensibles de l’armée française », Le Monde, 10 juin 2014. http://www.lemonde.fr/pixels/article/2014/06/10/craintes-d-espionnage-chinois-sur-des-systemes-informatiques-sensibles-de-l-armee_4435651_4408996.html# (Consulté le 27 juin 2015)

!

37

protection sont inégaux : alors que certains éléments ne nécessitent qu'une faible attention, la

protection d’autres éléments stratégiques ne peut être confiée à un prestataire ou à une

technologie étrangère. Guillaume Poupard estime qu'il existe trois niveaux de besoins en

terme de technologies souveraines : ce que l'on peut acheter n'importe où, ce qu'il faut

acquérir chez un partenaire de confiance et enfin ce qu'il faut faire fabriquer en France par des

entreprises habilitées ou par des équipes étatiques spécialisées. Les algorithmes

cryptographiques classifiés qu'utilisent les services de renseignement français sont par

exemple élaborés par des équipes de la DGA en Bretagne, puis évalués par l'ANSSI92. Il

existe par ailleurs des acteurs privés de première importance, tels que Thalès et Airbus

Defence and Space, pour répondre aux besoins de protection de l'État contre le sabotage et

l'espionnage d'origine informatique. Mais le secteur du B2G (Business to Governement)

concerne de fait des niches dans des domaines techniques ultra-spécialisés pour lesquels le

gouvernement ne peut faire appel à des offres étrangères93.

La production de solutions informatiques françaises répond à un impératif plus

large que la simple défense des intérêts sensibles. Il s'agit de favoriser le développement du

secteur numérique afin que les acteurs privés comme publics disposent d'outils informatiques

fiables, que ce soit en matière d'hardware (infrastructure) et de software (logiciel). Le

Ministère de la Défense souhaite pour cela s'appuyer sur de nouveaux acteurs économiques,

en particulier les PME/I qui constituent un terreau d'innovations pouvant être mis au service

du gouvernement. C'est l’image « de la start-up posée sur le porte-avions94 » évoquée par

Gilles Babinet95.

Le choix d'une base technologique nationale aussi large que possible dans le

domaine du numérique est une action délibérée de l'État. Lors de notre entrevue avec le

lieutenant-colonel Tromparent, ce dernier nous a rappelé que si la puissance industrielle

française, en comparaison à d'autres pays, était modeste, elle restait cependant française.

D’autres pays qui n'ont pas les moyens d'assurer leur souveraineté en développant une

industrie nationale, l'assurent par la diversité : ils achètent différentes technologies à plusieurs

pays pour ne pas dépendre d'un État en particulier. La France a fait le choix de l'indépendance

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!92 Establier Alain, « ITW de Guillaume Poupard, Directeur général de l’ANSSI », op. cit. 93 Entretien de l’auteur avec Aymeric Simon (9 juin 2015) 94 Barroux David, Georges Benoît, Rauline Nicolas, « Gilles Babinet et Pierre Bellanger : la régulation des données, défi majeur du XXIe siècle », Les Échos, 12 février 2014. http://www.lesechos.fr/12/02/2014/lesechos.fr/0203311413821_gilles-babinet-et-pierre-bellanger---la-regulation-des-donnees--defi-majeur-du-xxieme-siecle.htm#Ql5zAPOLw1jalI2W.99 (Consulté le 30 juin 2015) 95 Gilles Babinet est « digital champion » de la France auprès de la Commission européenne.

!

38

stratégique. Pour cela, elle doit assurer seule la production et l'intégrité de ses technologies

dans le domaine numérique. Il est donc impératif pour l'État de se doter de technologies

souveraines sans faire appel à des offres étrangères.

Mais l'enjeu est également économique dès lors que l'État souhaite faire émerger

une offre nationale destinée à l'export, en favorisant le développement d'un écosystème

numérique français. Cette politique de développement industriel s'est concrétisée par le pôle

de cyberdéfense en Bretagne, un territoire où le Ministère de la Défense est implanté depuis

déjà longtemps. Si cet espace de « fertilisation croisée96 » est au service du Ministère, il a été

pensé comme la base d'où devra naitre une véritable communauté nationale de cyberdéfense

rassemblant des ingénieurs, des militaires, des chercheurs, des juristes, des entrepreneurs, des

industriels, etc. L'objectif est de développer la recherche (à la fois sur le plan conceptuel et sur

le plan capacitaire) et de mettre en place une « communauté de cyberdéfense qui transcende

les intérêts catégoriels au bénéfice mutuel de tous97 ». Le Ministère entend pour cela

développer l'offre de formation et stimuler la recherche autant que l'innovation et la

formation. Cela devrait permettre de développer un réseau d'expertises techniques, de centres

de formation et ainsi « de forger une pensée stratégique et opérationnelle française en

cybersécurité98 ».

D'après des informations fournies par le Ministère, ce pôle d'excellence regroupe,

dans le domaine de la recherche, quelques 160 personnes à temps plein, 2 000 étudiants étant

formés chaque année à la cybersécurité. Cette recherche est coordonnée par le CNRS et

différents instituts de recherche qui relèvent autant du Ministère de la Défense que des

universités publiques. De plus, la recherche se fait en partenariat avec les entreprises

nationales de cyberdéfense et de cybersécurité de grande ou moyenne envergure, telles que

Thalès, Sopra, Cap Gemini pour les premières, Tevalis, Amossys, Diateam pour les secondes.

L'action de ces acteurs de la société civile se fait en partenariat avec l'armée, représentée par

l'École Militaire de Saint-Cyr Coëtquidan et l'École Navale basée à Brest, qui abritent en

outre divers centres de recherche.

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!96 Coustillière Arnaud, « La défense française et le cyberespace », op. cit., p.72. 97 Ibid. 98 Ministère de la Défense, Pacte Défense cyber, op. cit., p.11.

!

39

Le Ministère de la Défense communique de plus en plus sur ce pôle d'excellence.

En réalité, le lieutenant-colonel Tromparent nous a affirmé qu'il ne s'agissait pas d'une

nouveauté mais simplement d'une mise en réseau d'éléments existants, réorganisés autour d'un

centre de gravité. La Bretagne présente cette particularité d'abriter des institutions militaires

anciennes et de profiter d'une bonne connectivité avec l'ensemble du territoire national (grâce

à ses lignes de train qui la situe à proximité de Paris) et avec l'international (autant grâce à ses

ports d'envergures que ses câbles sous-marins).

Pour autant, l'objectif n'est pas de se couper des opportunités venant de l'étranger.

Le partenariat de la France avec Cisco signé en février 2015 démontre que les décideurs

français restent ouverts au développement de partenariat avec des acteurs étrangers. Les

entreprises américaines semblent par ailleurs avoir amorcé le tournant imposé par l'affaire

Snowden : ils cherchent désormais à rétablir la confiance en offrant des garanties de

confidentialité et de protection à leurs clients, que ce soit des gouvernements, des entreprises

ou des particuliers. Satya Nadella, le PDG de Microsoft a ainsi affirmé lors d'un voyage en

Inde que « Microsoft souhaite répondre aux besoins de souveraineté numérique des

gouvernements99 ». L'objectif de cette politique française de soutien à l'industrie numérique

viserait donc en premier lieu à structurer l'offre nationale pour à la fois renforcer l'autonomie

stratégique française et faire profiter les acteurs nationaux de ces nouvelles opportunités de

développement économique.

Quels sont les résultats de cette politique de développement industriel ? Prenons

un exemple : un téléphone crypté chiffrant les communications a été mis en place par Thalès,

en coopération avec la DGA à Bruz qui a aidé au développement des algorithmes et des

composants cryptographiques. Ce téléphone s'appelle TEOREM, pour « téléphone

cryptographique pour réseau étatique et militaire ». Mille exemplaires ont été livrés le 7

septembre 2011100. 14 000 autres ont pu être livrés en juin 2015. Compte-tenu de son niveau

de sécurité, un piratage de ce téléphone serait possible mais compliqué ; quoi qu'il en soit les

efforts fournis constitueraient une tentative délibérée de piratage. Pour autant, la lenteur de la

technologie semble limiter son utilisation. De manière générale, la difficulté à proposer des

offres nationales en informatique qui soient fiables et ergonomiques tient à la complexité de

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!99 « Microsoft wants to serve digital sovereignty », The Indian Awazz, 14 septembre 2014. http://theindianawaaz.com/index.php?option=com_content&view=article&id=23240&catid=49 (Consulté le 25 juillet 2015) 100 « La DGA livre les premiers téléphones Teorem », defense.gouv.fr, 23 septembre 2011. http://www.defense.gouv.fr/dga/actualite/la-dga-livre-les-premiers-telephones-teorem (Consulté le 25 juin 2015)

!

40

l'enjeu du développement d'une cybersécurité nationale : le rythme soutenu de l'innovation,

l'évolution rapide des menaces informatiques et l'importance des investissements nécessaires

limitent les résultats. Pour reprendre l'image évoquée par l’Amiral Rogers lors d'une

conférence publique, c'est aussi simple que de construire un avion tout en le faisant voler101.

La France cherche donc à développer ses propres capacités dans le domaine du

cyber afin d'assurer l'autonomie stratégique du pays sans dépendre d'acteurs étrangers. Pour

autant, la défense de la souveraineté numérique française est-elle envisagée à l'échelle

exclusivement nationale ou existe-t-il une représentation européenne de la cyberdéfense ?

2.3 Une impossible cyber-défense européenne ?

Le Livre blanc de 2013 estime qu'au niveau européen, « la France soutient la mise

en place d’une politique européenne de renforcement de la protection contre le risque cyber

des infrastructures vitales et des réseaux de communications électroniques102 ». La prise en

compte de l'espace européen dans la politique de cyberdéfense française tient avant tout à des

raisons techniques. L'imbrication des systèmes informatiques ne permet pas la mise en place

d'une défense fermée de la souveraineté numérique, de type « citadelle assiégée ». La Chine

conçoit la défense de son cyberespace de cette manière. Une « muraille de Chine »

informatique a ainsi été mise en place afin de donner au gouvernement local les moyens de

contrôler la totalité des flux informatiques entrant et sortant de son territoire. Certains

contenus, applications ou services informatiques sont de cette manière censurés. Mais pour

des raisons politiques, économiques et stratégiques, de telles dispositions sont inenvisageables

pour les décideurs français. Au contraire, le défi consiste à assurer l'interopérabilité des

réseaux informatiques avec le reste de l'Europe tout en s'assurant qu'ils ne véhiculent pas de

nouvelles menaces contre la souveraineté numérique française.

Certaines menaces doivent faire l'objet d'un traitement européen, en particulier

dans le cas de la cybercriminalité. À cet effet, le Livre blanc invite les décideurs à mettre en

place des coopérations en priorité avec ses partenaires européens, Allemagne et Royaume-Uni

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!101 Chos Janet H., « US cybersecurity chief Admiral Rogers says NSA obeys the law in fighting online attacks », Cleveland.com, 26 mars 2015. http://www.cleveland.com/business/index.ssf/2015/06/us_cybersecurity_chief_admiral_michael_rogers_says_nsa_obeys_the_law_in_fighting_online_attacks.html (Consulté le 15 juillet 2015) 102 Guehenno Jean-Marie (dir.), Livre blanc sur la défense et la sécurité nationale, op. cit., p.107.

!

41

en tête103. Ces deux pays sont avec la France au cœur du fonctionnement de l'Union

européenne. Ils partagent donc un certain nombre d'intérêts stratégiques et industriels ; une

cyberattaque touchant l'un pourrait gravement toucher l'autre. Sur le plan de la cyberdéfense,

ce sont également les pays les plus avancés au sein de l'UE.

Pour autant, une cyberdéfense entièrement européenne n'est pas envisagée par les

décideurs politiques. Jusqu'ici, ce sont les politiques nationales qui ont prévalu en la matière.

Comme les projets d'une Europe de la Défense n'ont jamais abouti, la vision d'une

cybersécurité européenne est obérée par le manque de volonté des États membres de l'Union

européenne à mettre en commun leurs capacités. Lorsque le Livre blanc invite à renforcer les

relations avec les partenaires européens, cela tient avant tout aux intérêts communs qui lient la

France à ses voisins. Il s'agit donc de relations bilatérales et l'UE n'est pas considérée comme

un acteur central qui coordonnerait les politiques nationales de cybersécurité.

Comment expliquer ce choix d'une cyberdéfense nationale ? Cela tient avant tout

au fait que les États membres les plus avancés dans le domaine de la cybersécurité souhaitent

garder le contrôle des instruments cyber de leurs souverainetés. En effet, ces capacités ont

souvent été développées de manière autonome et aux frais des États. Or, le cyberespace

européen se caractérise par de fortes disparités en terme de cybersécurité. La mise en commun

des capacités de cyberdéfense passerait donc par un transfert de compétences et de

technologies des pays les plus avancés (Allemagne, France et Royaume-Uni principalement)

vers des pays aux faibles capacités. Dans ces conditions, qu'auraient à gagner les États les

plus avancés ? En effet, ce transfert réduirait leur avancée technologique. Pour cette raison, le

partage des capacités dans le domaine du cyber est considéré comme une perte de

souveraineté. De plus, trop d'incertitudes subsistent encore concernant le développement du

cyberespace dans les années à venir. Les acquis sont trop fragiles pour que les États risquent

de les mettre en péril.

Si l'Union européenne ne s'est pas emparée de cette question, c'est aussi parce que

l'OTAN offre aux États qui souhaitent mutualiser leurs capacités dans le secteur de la

cyberdéfense un cadre institutionnel existant. Au delà du risque de redondance avec la mise

en place d'une Europe de la cyberdéfense au sein de l'UE (ce qui aurait des coûts financiers

supplémentaires), l'OTAN propose des structures de coopérations déjà éprouvées dans le

domaine du cyber. Depuis 2008, l'OTAN dispose d'un Centre d'Excellence Coopératif de

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!103 Ibid.

!

42

Cyber Défense en Estonie, créé à la suite de l'attaque informatique contre le cyberespace

estonien qui, quelques mois avant, avait paralysé ses réseaux informatiques pendant plusieurs

jours. Les risques liés au cyber étant clairement apparus aux yeux des décideurs, l'OTAN

avait décidé de mettre en place un centre de formation et de recherche dans le domaine de la

cyberdéfense, à la fois pour renforcer l'interopérabilité des réseaux des membres de

l'organisation que pour faire émerger une doctrine dans le domaine et d'effectuer des

expérimentations ainsi qu'un travail d'analyse de la cyberdéfense d'un point de vue légal104.

Le manuel de Tallinn représente le résultat le plus probant de cette coopération

internationale dans le domaine de la cyberdéfense105. Amorcé dès 2008, il a été rédigé par un

groupe d'experts mandatés par l'OTAN. La version définitive a été publiée en 2013 ; un

deuxième tome est en cours de constitution. L'objectif du manuel est de transposer au

domaine de la cyberdéfense le droit international de la guerre qui régit les conflits entre les

États. En effet, il est apparu à la suite de l'attaque contre l'Estonie que les armes cyber allaient

connaitre un essor important dans le cadre de conflits, qu'ils concernent des États ou des

groupes armés. Or, l'usage des armes cybernétiques n'est encadré par aucun texte juridique,

contrairement à l'utilisation des armes chimiques ou nucléaires par exemple. Le risque est que

cette absence de cadre légal ouvre la voie à une escalade de la conflictualité dans le

cyberespace. Il s'agit donc de donner des garanties aux États présents dans le cyberespace,

qu'ils soient « faibles » ou « forts ». Le manuel de Tallinn donne pour cela des pistes de

réflexion aux décideurs politiques. Les États s'entendent donc lorsqu'il est question de limiter

la cyber-insécurité. Mais l'affaire Snowden a néanmoins montré que la coopération entre

États, mêmes membres de l'OTAN ne peut être que très limitée. De plus, la tendance générale

étant au renforcement par les États de leurs capacités souveraines, nous pouvons nous

demander quelle peut être la portée réelle des initiatives juridiques visant à encadrer l'usage et

le développement des armes cyber. De fait, la défense de la souveraineté numérique française

dans le domaine stratégique apparait avant tout comme une affaire nationale.

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!104 NATO Cooperative Cyber Defence Centre of Excellence. https://ccdcoe.org/index.html (Consulté le 3 juillet 2015) 105 NATO Cooperative Cyber Defence Centre of Excellence, Tallinn Manual. https://ccdcoe.org/tallinn-manual.html (Consulté le 3 juillet 2015)

!

43

3. La tentation de la surveillance

3.1. La loi de 2015 sur le renseignement

Aux côtés du développement d' « armes » informatiques (telles que le logiciel

« babar »), la France développe ses capacités de surveillance sur le cyberespace afin de

renforcer son positionnement stratégique sur la scène internationale. La loi sur le

renseignement qui a été adoptée par le corps parlementaire français au mois de juin 2015 (elle

doit encore être soumise à l'approbation du Conseil Constitutionnel) vise en effet à renforcer

les moyens d'action mis à la disposition des services de renseignement français. Cette loi, qui

fait suite aux attentats du mois de janvier 2015, est présentée comme une réaction à la montée

en puissance du terrorisme djihadiste. Un projet de loi était déjà en cours fin 2014, mais les

attentats ont accéléré la mise en œuvre de la réforme. La loi de 2006 avait déjà assoupli le

cadre juridique en rendant possible les écoutes de citoyens français sur le territoire national.

La loi de Programmation Militaire de 2013 a également étendu le périmètre d'action des

services et celle de 2015 doit actualiser la dernière loi antiterroriste datant de 1991.

L'objectif de la loi est de renforcer la surveillance pour détecter les menaces

terroristes tout en respectant les principes constitutifs d'un Internet libre et ouvert. En effet, si

les États, par leur investissement croissant dans le développement de leurs capacités cyber,

sont devenus une menace de premier ordre pour la souveraineté numérique française, le

terrorisme n’en représente pas moins une priorité dans le cadre de la défense de la sécurité

nationale. Afin de prévenir la menace d’attentats terroristes sur le sol français, le

gouvernement a donc fait le choix d’un modèle de surveillance que nous verrons proche de

celui des Américains et de leur Patriot Act.

La particularité de la loi de 2015 tient au fait qu'elle renforce la surveillance sur

l'Internet qui est identifié comme une priorité. En effet, puisque les terroristes utilisent de

manière croissante les réseaux informatiques comme un moyen de communication, mais aussi

de recrutement et d'embrigadement, le gouvernement a souhaité étendre la surveillance au

cyberespace.

Contrairement à ce qui se faisait lorsque les services devaient identifier une cible

précise avant de la mettre sous surveillance, ces derniers auront désormais la possibilité de

récupérer les métadonnées des échanges sur les réseaux informatiques. Les métadonnées

!

44

désignent les informations concernant un message, (qui envoie à qui, à partir de quel support,

à quelle date, à quel endroit, etc.) mais pas le contenu du message en soi.

De plus, les possibilités d'écoute s'étendent désormais jusqu'à la source, c'est-à-

dire directement aux Fournisseurs d'Accès à Internet (FAI) par qui transitent les données

circulant sur les réseaux. Cette surveillance doit s'effectuer à l'aide de « boites noires » (une

terminologie utilisée par le gouvernement lui-même) : il s'agit d'un dispositif électronique qui

doit permettre la détection des comportements suspects sur les réseaux grâce à des systèmes

de traitement automatisé utilisants des algorithmes. Les hébergeurs, c'est-à-dire les

propriétaires de fermes de serveurs (data center en anglais), devaient initialement abriter des

boites noires. Finalement, face à leurs protestations, le gouvernement s'est engagé à limiter la

surveillance au trafic (chez les FAI) et à respecter l'intégrité des données stockées chez les

hébergeurs.

Le projet de loi a soulevé différentes critiques au sein de la classe politique, sans

que cette opposition soit teintée d'une couleur politique particulière. Des critiques ont été

également formulées par les acteurs du secteur économique. Enfin, des associations de

défense des libertés civiques ont exprimé leur inquiétude face à une loi jugée liberticide.

Les critiques portent en premier lieu sur l'étendue de la surveillance que permet ce

texte de loi. Son objectif est de démasquer les menaces terroristes et en particulier les « loups

solitaires », ces terroristes qui agissent de manière autonome. La présence d'individus auto-

radicalisés via l'Internet est en effet très anxiogène pour les services de sécurité, car ils sont

difficilement détectables et lorsqu'ils passent à l'action, nous avons vu que cela pouvait avoir

des conséquences dramatiques. De plus, le texte détermine les domaines relevant de la

défense de la souveraineté nationale : « l’indépendance nationale », « les intérêts majeurs de

la politique étrangère », les « intérêts économiques industriels et scientifiques majeurs de la

France » et « la prévention des atteintes à la forme républicaine des institutions, des violences

collectives de nature à porter atteinte à la sécurité nationale, de la reconstitution ou d’actions

tendant au maintien de groupements dissous ». Les boites noires doivent permettre de détecter

automatiquement les comportements suspectés de porter atteinte à ces intérêts nationaux. Elle

procède pour cela « de manière ciblée à la surveillance des modes de communications

spécifiques utilisés par les terroristes106 ».

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!106 Champeau Guillaume, « L’Assemblée adopte les boîtes noires qui surveilleront votre comportement », Numerama, 16 avril 2015. http://www.numerama.com/magazine/32809-l-assemblee-adopte-les-boites-noires-qui-surveilleront-votre-comportement.html (Consulté le 1er juillet 2015)

!

45

Mais certains considèrent que ces critères sont trop vagues et ouvrent de fait à une

surveillance généralisée. En effet, la définition des termes « terrorisme » et « terroriste » est

considérée comme trop floue sur le plan juridique. Il s'agit de fait d'une représentation

subjective servant des intérêts politiques qui permet ici de justifier la surveillance du

cyberespace. Car qu'est ce qu'un comportement suspect relevant de la lutte antiterroriste ?

N'existe-t-il pas le risque que des individus qui ne représentent aucune menace pour la

souveraineté nationale fassent l'objet d'une surveillance et que les faux positifs se

multiplient ? Si loi a été faite pour lutter contre le terrorisme, le flou qui entoure la définition

de la menace devrait conduire les services à collecter des informations relevant de domaines

très divers.

Ainsi, certains craignent que les dispositions législatives permettent de surveiller

des professions où la confidentialité est essentielle, telles que les avocats et les journalistes, ou

servent à effectuer de l'espionnage politique et industriel. Si le gouvernement s'est engagé à ne

collecter que les métadonnées, et non pas le contenu des messages, la faiblesse de l'argument

est dénoncée puisque les métadonnées renseignent davantage sur un individu que le contenu

même de ses communications. Les motifs de la surveillance sont donc considérés comme trop

vastes. D’autres craignent que les services de renseignement acquièrent un pouvoir démesuré

et que la loi ouvre à une surveillance généralisée, auquel cas les libertés publiques en

paieraient les frais. De ce point de vue, la loi sur le renseignement vient renforcer la

conviction de ceux qui pensent, comme Evgny Morozov, que le cyber renforce l'autoritarisme

des États plutôt que l'émancipation citoyenne107. La députée Laure de la Raudière a ainsi

estimé que cette loi, écrite sous le coup de l'émotion, portait atteinte aux libertés individuelles

et celle-ci déposé une saisine signée par des députés de tout bords politiques lors de l’examen

de la loi par le Conseil Constitutionnel108.

Cette loi devrait aussi avoir des implications sur les comportements individuels.

Les internautes se sentant surveillés, il est à craindre que la pratique de l'autocensure se

généralise109. Comme l’a très justement fait remarquer Glenn Greenwald, l'un des journalistes

qui collabore avec Edward Snowden, « la surveillance de masse crée une prison dans l’esprit

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!107 Evgeny Morozov, The Net Delusion : how to not liberate the world, London, 2011, 394 p. 108 Catherine Petillon, « La loi renseignement est-elle conforme à la Constitution ? », France Culture http://www.franceculture.fr/2015-07-21-la-loi-renseignement-est-elle-conforme-a-la-constitution (Consulté le 25 juillet 2015) 109 « Le point de vue d’OVH.com sur la loi renseignement », OVH.com, 6 mai 2015. https://www.ovh.com/fr/a1766.point-vue-ovh-loi-renseignement (Consulté le 27 juillet 2015)

!

46

qui est bien plus subtile mais bien plus efficace pour favoriser la conformité aux normes

sociales, bien plus effective que la force physique ne pourra jamais l’être110 ».

Le deuxième volet de critiques porte sur les boites noires et sur les conséquences

économiques de leur usage. La relation des hébergeurs (qui stockent les données) et des FAI

(qui assurent l'accès à l'Internet) avec leurs clients repose en effet sur la confiance. Ces

entreprises s'engagent à protéger les données et à maintenir leurs services face aux différentes

menaces, qu'elles soient techniques (assurer que les informations soient accessibles et que

l'Internet fonctionne sans interruption) ou qu'elles relèvent de la sécurité informatique (se

protéger contre l'espionnage et les vols de données). Or depuis les révélations de Snowden,

l'espionnage économique à grande échelle pratiqué par les gouvernements est un fait avéré.

Les États représentent donc une menace supplémentaire aux côtés des cyber-criminels pour

les acteurs économiques.

Lorsque ces pratiques ont été connues du public américain, les conséquences sur

le secteur des Technologies de l’Information et de la Communication (TIC) ont été

particulièrement néfastes. L'Information Technology & Innovation Foundation (ITIF) a ainsi

estimé en août 2013 que l'industrie américaine du stockage des données pourrait perdre 22 à

35 milliards de dollars sur le trois prochaines années111. De même, IBM a connu une baisse de

son activité au troisième trimestre 2013, notamment en Chine (baisse de 22% pour les

softwares, 40% pour les hardwares) et Cisco a signalé un ralentissement de ses activités à la

mi-novembre 2013112.

Les acteurs de l'économie numérique française craignent des conséquences

similaires avec la loi sur le renseignement de 2015. Le PDG de Gandi Stéphan Ramoin a ainsi

déclaré recevoir « tous les jours des clients américains ou asiatiques qui viennent chez nous,

car nous ne sommes pas concernés par Prism ou la NSA. Si le texte passe tel quel, nous

perdrons au moins 40 % de notre chiffre d’affaires113 ». Le mouvement d'entrepreneurs Ni

pigeons ni espions a exprimé le même point de vue : « mettre internet massivement sous

surveillance, c'est aussi sacrifier l'avenir numérique de la France, ses emplois et sa

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!110 Président du Conseil National du Numérique, Note à l’attention des membres du Conseil Constitutionnel sur le projet de loi relatif au renseignement, Paris, 12 juin 2015, p.12. https://cdn.nextinpact.com/medias/note-CNNum-pour-cc-pjl-renseignement.pdf (Consulté le 11 juillet 2015) 111 Castro Daniel, How much will prism cost the US cloud computing industry,ITIF, août 2013, p.1. http://www2.itif.org/2013-cloud-computing-costs.pdf?_ga=1.114276807.1530373815.1435756444 (Consulté le 1er juillet 2015) 112 Président du Conseil National du Numérique, op. cit., p.13. 113 Ibid., p.14. (Consulté le 11 juillet 2015).

!

47

contribution à l'économie française114 ». Surtout que la loi risque de renforcer les positions

dominantes des acteurs américains implantés en Europe qui ont déjà réagi aux révélations de

Snowden et amorcé le tournant de la confidentialité et du respect de la vie privée.

Dans ces conditions, OVH (premier hébergeur de données en France) a menacé de

s'installer à l'étranger s'il n'obtenait pas la garantie que ses données soient protégées et que

celles-ci ne fassent pas l'objet d'un espionnage à visée industrielle ou politique. « Il est

inimaginable de mettre des "boites noires" sur tous les systèmes et de laisser quelqu'un ou

quelque chose "pomper" les données. Vis-à-vis de nos clients, nous nous engageons sur la

confidentialité de leurs informations et de leur propriété intellectuelle115 » a affirmé son

directeur général à cette occasion.

Finalement, il semblerait que le gouvernement ait identifié le risque de perte

financière pour le marché français. Il a donc été décidé de limiter l'installation de ces

dispositifs aux fournisseurs d'accès à Internet. Seul le trafic fera l'objet d'une surveillance, et

non pas les données stockées sur le territoire français. De plus, le gouvernement s'est engagé à

laisser les FAI mettre en place eux-mêmes la surveillance lorsque cela leur sera demandé. Ils

recevront des demandes ciblées et justifiées et aucun agent extérieur n'interviendra116.

Malgré l'accord passé entre les hébergeurs et le gouvernement, cela n'empêchera

un climat de méfiance de s'installer sur le marché. De ce point de vue, il y a une contradiction

entre l'investissement de l'État dans le développement d'une industrie de confiance destinée au

marché international et la mise en place d'une surveillance généralisée qui s'appuie sur les

industries nationales du numérique. Dans ces conditions, la fuite des capitaux et la baisse des

investissements que cette loi risque d'entrainer ne va-t-elle pas à terme fragiliser l'économie

française et par voie de conséquence la souveraineté économique nationale ? Il semblerait

donc que pour le gouvernement la menace sécuritaire prime sur certaines considérations

d'ordre économique ou politique.

L'ensemble des garanties données par le gouvernement, que ce soit du point de

vue de la défense des libertés publiques ou de celui du respect du secret industriel, ne

prennent de sens que s'il existe une institution indépendante capable de contrôler et d'encadrer

la surveillance. Si une Commission Nationale de Contrôle des Techniques de Renseignement

(CNCTR) a été créée à cet effet, des critiques se sont exprimées. Cette commission ne dispose

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!114 https://ni-pigeons-ni-espions.fr/fr/ (Consulté le 11 juillet 2015) 115 Caulier Sophie, « "Nous allons investir 400 millions d'euros en trois ans" », Le Monde, 27 mai 2015, p.10. 116 « Le point de vue d’OVH.com sur la loi renseignement », op. cit.

!

48

que d'un simple avis consultatif et dépend du Premier ministre qui doit en théorie demander

l'autorisation de la CNCTR avant d'engager une surveillance. Mais en cas d'urgence, la

décision n'appartient qu'à lui. Il semble donc n'y avoir que peu de contrôle de l'activité des

services de renseignement. Le texte réduit aussi les possibilités de dénonciation de

comportements illégaux ou contraires à l'éthique. Les services de renseignement se protègent

ainsi contre un possible « Snowden français ». Par conséquent, ce texte de loi donne aux

services de renseignement une importante visibilité sur le cyberespace et, malgré les garanties

données par le gouvernement, les observateurs et les acteurs indépendants restent réservés

face à la faiblesse des contre-pouvoirs et face à la limitation des recours.

3.2. De l'utilité de la menace terroriste

Comme nous l'avons vu, c'est la menace terroriste qui justifie l'élargissement des

possibilités de surveillance des services de renseignement. Mais ce n'est pas tant l'objectif de

la loi que son contenu qui est critiqué, car le flou qui entoure la définition même du

« terrorisme » justifie l'amplitude la surveillance117. Dès lors, s'agit-il de lutter exclusivement

contre le terrorisme ? En réalité, il semblerait que la représentation de la menace terroriste soit

invoquée pour justifier le renforcement de la présence française dans le cyberespace, dans un

contexte international de fortes rivalités économiques et industrielles entre États.

De ce point de vue, le parallèle entre la loi sur le renseignement de 2015 et le

Patriot Act américain est intéressant. Notons avant tout que la mise en œuvre de ces

dispositions législatives s’est faite dans le même contexte historique : c'est à la suite d’un

attentat terroriste qui a libéré une charge émotionnelle extrêmement forte au sein de la société,

que les gouvernements ont décidé d'étendre la surveillance exercée par leurs services de

renseignement. Lors de notre entrevue, Maître Alain Bensoussan nous a ainsi affirmé qu’il

était favorable à l'instauration d'un Patriot Act à la française, car il s'agit selon lui du meilleur

dispositif sécuritaire mis en place jusqu'ici pour se prémunir de la menace terroriste118. À

l'opposé, d’autres ont dénoncé dans la loi française sur le renseignement ce même « Patriot

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!117 Rees Marc, « Loi Renseignement : ce que dit le mémoire de la Quadrature, FDN et FFDN », NextInpact.com, 24 juin 2015. http://www.nextinpact.com/news/95538-loi-renseignement-ce-que-dit-memoire-quadrature-fdn-et-ffdn.htm (Consulté le 11 juillet 2015) 118 Entretien avec l’auteur (6 mars 2015)

!

49

Act à la française »119, considéré cette fois ci comme un contre-exemple. Quoi qu’il en soit, il

appert qu'avec la loi sur le renseignement, les services de renseignement français s'engagent

dans la même direction que celle prise la communauté américaine du renseignement au

lendemain du 11 septembre 2001.

Le Patriot Act sert-il uniquement à lutter contre la menace terroriste ? L’Amiral

Rogers nous a affirmé lors de notre entretien que « nous [la NSA] n'utilisons pas nos

capacités de renseignement pour générer des avantages compétitifs 120 ». Pourtant, un

document publié sur le site Wikileaks montre que certains objectifs poursuivis par la NSA

n'ont aucun lien avec le terrorisme et qu’ils relèvent clairement de l'espionnage industriel. Ce

document identifie les cibles économiques de la NSA en France ; or, cela concerne l'ensemble

des secteurs de l'économie nationale : les télécommunications, les ressources naturelles, les

infrastructure de transports, les technologies environnementales et les infrastructures et

technologies dans le domaine de la santé121.

Si ce document concerne la France, il est néanmoins raisonnable de penser que

l'ensemble des pays développés est visé par cette surveillance. Certains médias ont désigné

cet espionnage comme un « abus » de la part des services américains. Ces actions s'inscrivent

au contraire dans la politique d'influence internationale des États-Unis définie par le pouvoir

exécutif.

L'argument de la surveillance américaine sur le cyberespace au nom de la lutte

contre le terroriste peut être relativisé par l'analyse de son efficacité dans la prévention des

attentats. Lors d'une visite à Berlin, peu après les premières révélations de Snowden, Barack

Obama a en effet affirmé : « nous savons qu'au moins cinquante menaces ont été prévenues

aux États-Unis grâce à ces informations collectées, mais également, dans certains cas, des

menaces ici, en Allemagne. Des vies ont donc été sauvées122 ». Cette déclaration a été

confirmée par le général Keith Alexander, alors directeur de la NSA, qui a ajouté que ces

menaces provenaient de vingt pays différents123.

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!119 Follorou Jacques, Johannès Franck, « La tentation d’un « Patriot Act » à la française », Le Monde, 12 janvier 2015. http://www.lemonde.fr/police-justice/article/2015/01/12/la-tentation-d-un-patriot-act-a-la-francaise_4554308_1653578.html (Consulté le 11 juillet 2015) 120 Entretien ave la Chaire Castex de Cyberstratégie (16 juillet 2015) 121 « Espionnage Élysée », Wikileaks.org, 2012. https://wikileaks.org/nsa-france/spyorder/ (Consulté le 11 juillet 2015) 122 Cahall Balley, Sterman David, Schneider Emily, Bergen Peter, « Do NSA’s bluk surveillance programs stop terrorists ? », New America, 13 janvier 2014. https://www.newamerica.org/international-security/do-nsas-bulk-surveillance-programs-stop-terrorists/ (Consulté le 3 août 2015) 123 Ibid.

!

50

L'argument de l'efficacité a été remis en question par des observateurs

indépendants. Une enquête de la New America Foundation s'est par exemple penchée sur les

cas de 225 individus recrutés depuis le 11 septembre par al-Quaida ou par des groupes

similaires inspirés de son idéologie et poursuivis par la justice américaine pour actes de

terrorisme. Il ressort que les techniques d'enquête traditionnelles (informateur, enquête

d'entourage, etc.) ont d’abord justifié l'ouverture de ces investigations et que la contribution

des outils de surveillance de la NSA a été minime. Le programme très controversé de collecte

des métadonnées provenant des communications téléphoniques passées depuis le territoire

américain n’a justifié l'ouverture d'une enquête que dans 1,8% des cas et le programme de

surveillance internationale visant des citoyens non-américains dans 4,4% des cas124. Les

mesures législatives et sécuritaires prises à la suite des attentats du 11 septembre et destinées

à renforcer les capacités des services de renseignement se situent donc dans une logique plus

large que la seule guerre contre le terrorisme : l'objectif est également de renforcer le

leadership général des États-Unis.

De même, la loi sur le renseignement de 2015 s'inscrit dans une politique de

renforcement des positions françaises sur la scène internationale et ce renforcement, qui

procède d'une volonté politique, a été identifié il y a déjà quelques années comme une priorité

stratégique. Nous avons évoqué les dispositions prises par le gouvernement dans les Livres

blancs de 2008 et de 2013 pour le renforcement des cyber-capacités offensives et défensives

françaises.

À ce titre, il semblerait que la France ait également développé des capacités de

surveillance dans le cyberespace, selon des modalités similaires à l'action de la NSA. En

2008, à l'initiative du président Nicolas Sarkozy, les services de renseignement français

auraient en effet mis en place de systèmes d'écoutes sur les câbles sous-marins arrivant à

Marseille et en Bretagne. 700 millions d'euros auraient été alloués à ces dispositifs entre 2008

et 2013. Un nouveau plan quinquennal aurait ensuite été mis en place par François Hollande

en 2014 afin d'étendre la surveillance à d'autres câbles. Ces écoutes s'effectueraient avec la

coopération des entreprises françaises de télécommunications tels qu'Orange ou Alcatel-

Lucent125.

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!124 Ibid. 125 Jauvert Vincent, « Comment la France écoute (aussi) le monde », L’Obs, 1er juillet 2015. http://tempsreel.nouvelobs.com/societe/20150625.OBS1569/exclusif-comment-la-france-ecoute-aussi-le-monde.html (Consulté le 1er juillet 2015)

!

51

La loi sur le renseignement inclut justement un article qui autorise cette

surveillance internationale. Il s'agit de l'article 854-1, compris dans le Chapitre IV de la loi et

intitulé « des mesures de surveillance internationale » : « Le Premier ministre ou les

personnes spécialement déléguées par lui peuvent autoriser, aux seules fins de protection des

intérêts fondamentaux de la Nation mentionnés à l'article L. 811-3, la surveillance et le

contrôle des communications qui sont émises ou reçues à l'étranger126 ». La surveillance sur

les réseaux n'est donc pas une spécificité américaine. À la mesure de ses moyens, la France

l'exerce également afin de renforcer sa puissance.

Avec la loi de 2015, la France légalise donc certaines pratiques de surveillance et

dote ses services de renseignement des même moyens dont disposent quelques uns de ses

homologues étrangers. La possibilité d'effectuer des écoutes au niveau international devrait

renforcer l'autonomie des services. En effet, en développant leurs propres moyens de recueil

et d'analyse du renseignement, les services devraient de moins en moins dépendre de leurs

relations extérieures. Les services de renseignement restent donc un instrument de première

importance dans la poursuite des projets politiques de la France sur la scène internationale.

Puisque le renforcement des possibilités offertes aux services de renseignement

concerne des pratiques difficilement avouables, les objectifs prioritaires poursuivis par l'État

avec la loi sur le renseignement ne peuvent faire l'objet d'un débat transparent au sein du

corps parlementaire. L'extension des prérogatives des services a donc été justifiée dans le

cadre de la guerre contre le terrorisme, la définition de la « menace terroriste » étant

suffisamment vague pour recouvrir les diverses menaces qui pèsent sur la souveraineté

numérique française.

La dissimulation des mobiles réels répond de fait à des impératifs stratégiques.

Avec l'intensification de la guerre économique dans le cyberespace, le défi pour les services

de renseignement est de garder une marge de manœuvre sur les réseaux et d'éviter de devenir

« sourd », au risque de voir la puissance économique française décliner face au pillage

industriel qui s'effectue via les réseaux. Le gouvernement a bien conscience que cette loi

risque d'avoir des conséquences néfastes sur l'industrie nationale, en particulier dans le secteur

du cloud. Mais puisque les intérêts politiques, économiques, sécuritaires et stratégiques sont

entremêlés dans le cyberespace, la réponse apportée par l'État français à ce défi a été voulue

comme globale. Cette tentative de reprise en main du cyberespace français est donc destinée à

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!126 Projet de loi relatif au renseignement, 20 mai 2015. http://www.senat.fr/leg/pjl14-461.html (Consulté le 3 juillet 2015)

!

52

affirmer la position de la France dans le rapport de force qui se joue entre les États via les

réseaux informatiques. La loi sur le renseignement doit dans ces conditions donner à la France

les moyens de sa survie sur ce nouveau territoire qu'est le cyberespace.

Dans un contexte de dépendance croissante au réseau des réseaux, l'Internet, la

souveraineté numérique française fait l'objet d'une attention croissante de la part des

décideurs. Ces derniers mois, des initiatives fortes ont été prises afin de renforcer la position

de la France dans le cyberespace. Or, ces initiatives représentent un fort changement de

paradigme pour le monde de la défense car l'interopérabilité des réseaux ne permet pas la

mise en place d’une défense selon un modèle fermé, de type « citadelle assiégée ». Au

contraire, la particularité du cyber est de brouiller les frontières traditionnelles et d'entremêler

les enjeux. Le débat concernant la souveraineté numérique s'est donc naturellement étendu au

domaine économique.

Mer$Méditerranée

Vers$la$Méditerranée$orientale$et$l’Asie

Vers$l’Amérique$du$Nord$et$l’Afrique

Quentin'Lenormand.'Avril'2015

Océan$Atlantique

200 km

[10'Gbps'.'1'Tbps[

[1'Tbps.10'Tbps[

[10'Tbps'.'50'Tbps]

Fermes'de'serveurs

Points'd’échange'internet'(GIX)

1

35

Cables'sous.marins'de'

télécommunication

Les'infrastructures'du'cyberespace'français'

dans'leur'environnement

Sources:'cablemap.info,'datacentermap.com,'internetexchangemap.com

en$construction

5

La$localisation$des$données La$connectivité

Nantes

Paris

Grenoble

MarseilleToulouse Nice

Lyon

Strasbourg

Lille

Bordeaux

Ajaccio

Rennes

Zurich

Frankfurt

Luxembourg

Milan

Portsmouth

!

54

Chapitre 2

L’enjeu économique

de la souveraineté numérique

1. La domination économique des acteurs américains

1.1 Une domination procédant d’une volonté politique

Le marché du numérique est aujourd'hui massivement dominé par les acteurs

américains. 83% de la capitalisation boursière mondiale du secteur des Technologie de

l'Information et de la Communication (TIC) sont représentés par des entreprises américaines,

contre 2% par les entreprises européennes127. Comment ces entreprises sont-elles parvenues à

cette position dominante ?

Historiquement, cette domination procède d'une volonté politique. Dès l'ouverture

de l'Internet au grand public au début des années 1990, le gouvernement américain identifie

l'industrie du numérique comme un objectif stratégique. À cette époque, les États-Unis sont

en train de perdre leur leadership sur l'industrie du numérique au bénéfice du Japon. Le

sénateur Al Gore propose alors des dispositions législatives et fiscales destinées à donner aux

entrepreneurs américains les moyens de devenir des leaders sur le marché des TIC. L'objectif

est de faire du numérique l'industrie de référence des États-Unis et d'assurer ainsi l'avenir de

la puissance économique américaine.

Le premier texte législatif, rédigé en 1991 à l'initiative d'Al Gore, est intitulé

High-Performance Computing Act128. Ce texte doit assurer la prédominance américaine sur le

développement du numérique, comme cela est explicitement déclaré dans son sous-titre : « An

Act to provide for a coordinated Federal program to ensure continued United States

leadership in high-performance computing ». Le président George Bush affirme à cette !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!127 Propos recueillis auprès d’Olivier Sichel, « Que peut faire l'Europe face à l'hégémonie numérique américaine ? », conférence du 19 mars 2015 organisée à l’École Militaire par le comité Cyberdéfense de l’ANAJ-IHEDN 128 « Internet history », Computer history, 2004. http://www.computerhistory.org/internet_history/ (consulté le 2 août 2015)

!

55

occasion qu'il « n’est pas surprenant que l’Amérique soit leader dans le domaine des hautes

technologies. Nos plus grands progrès ont été rendus possibles par l’exceptionnelle capacité

de la société américaine à promouvoir la liberté, l’innovation et l’esprit d’entreprise dans une

cohérence que l’on ne trouve nulle part ailleurs dans le monde. Ce programme soutiendra et

étendra notre leadership129 ». Dès le départ, l'Internet est donc pensé comme une invention

américaine au service du développement américain.

L'Internet Tax Freedom Act est le deuxième texte législatif qui fonde la puissance

économique américaine dans le cyberespace. En instaurant un moratoire à partir du 1er

octobre 1998 sur les créations de taxes sur l'accès à l'Internet et au commerce en ligne, ce

texte laisse la possibilité aux acteurs privés d'entreprendre et d'investir sans craindre une

pression fiscale étouffante.

Le capital-risque devient alors « l’instrument de financement le plus en phase

avec les caractéristiques des entreprises de l’économie numérique 130 ». Ce type

d'investissement consiste en effet à multiplier les financements pour des projets présentant

une faible probabilité de succès, mais des potentiels de croissance et de réussite très élevés.

Les investisseurs sont donc plus à même de prendre des risques. Amazon a ainsi dépensé trois

milliards de dollars entre 1995 et 2003 sans dégager le moindre bénéfice, tout en gardant la

confiance des investisseurs : l'entreprise se positionne aujourd'hui comme un leader sur le

marché du commerce en ligne et du cloud131.

Ce cadre législatif porté par la classe politique a ainsi permis de faire émerger aux

États-Unis des industries dominantes dans le secteur du numérique. Remarquons par ailleurs

que l'Internet, tel qu'il fut développé sous l'égide des États-Unis, est donc techniquement et

économiquement au service des entreprises avant d’être au service des internautes.

Les résultats de cette politique sont probants : depuis l'Internet Tax Freedom Act,

tous les trois mois en moyenne, les États-Unis ont donné naissance à une entreprise du

numérique valorisée par la suite à plus d'un milliard de dollars132. De même, 9 sites sur 10

parmi les plus visités au monde le 1er janvier 2013 sont rattachés à des acteurs américains,

alors que 80% de internautes ne le sont pas133. Enfin, c'est aux États-Unis que le vivier de

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!129 « Internet history », Cyber Telecom, 15 septembre 2014. http://www.cybertelecom.org/notes/internet_history90s.htm (consulté le 2 août 2015) 130 Collin Pierre, Colin Nicolas, op.cit., p.12. 131 Ibid., p.10. 132 Ibid., p.12. 133 Le Boucher Eric, « L’empire numérique américain, on le perçoit mieux avec des chiffres » Slate, 26 octobre 2014. http://www.slate.fr/story/93859/etats-unis-hyperdomination-numerique (consulté le 9 juin 2015)

!

56

start-up est le plus important : sur les 110 licornes134 que compte le marché mondial, 68 sont

américaines, ce qui constitue la part la plus importante135.

En France, les principaux acteurs américains du secteur des TIC sont souvent

désignés sous l'acronyme de GAFA, pour Google, Amazon, Facebook et Apple. Certains y

ajoutent Microsoft et Yahoo!, parlant de GAFAMY, et quelques fois Twitter, parlant alors de

GAFATYM. Signalons néanmoins que l'étude de ces acteurs, de leur structure interne et de

leur impact sur le développement économique est rendue difficile par le fait qu'il n'existe pas

de définition précise et acceptée par tous de ce secteur des TIC, car il s'agit à plus d'un titre

d'un secteur aux très fortes spécificités.

1.2 Un modèle économique innovant

Quels sont les facteurs expliquant la réussite des entreprises américaines dans le

secteur des TIC ? À quoi tiennent les spécificités de ces nouveaux acteurs et comment

parviennent-ils aujourd'hui à capter la majorité de la valeur financière produite sur les

réseaux ?

La spécificité de ces entreprises tient en premier lieu à leur position d'intermédiaire.

Via leurs plates-formes en ligne, ces acteurs mettent en relation une offre et une demande

d'informations ou d'acquisition de biens (matériels ou immatériels), la coordonnent, la

facilitent, la monétisent, mais la sécurisent également en fournissant des garanties aux usagers

(paiements sécurisés, assurances, etc.) En se situant entre le client et le marchand, ces

quelques entreprises captent la valeur financière en imposant des commissions, quand elles ne

se financent pas grâce à la publicité. La rentabilité de ces modèles d'affaire est donc double :

le financement provient à la fois des clients (qui paient des commissions sur leurs achats) et

des marchands (qui paient des espaces d'exposition ou/et des espaces publicitaires).

La puissance de ces entreprises tient également à la nature des services qu'ils

proposent. Généralement gratuits et accessibles en ligne sans restriction, le principe du

Software As A Service (Saas) est extrêmement rentable. Ce modèle, qui tend à remplacer le

système des logiciels vendus à l'unité sur des supports physiques et protégés par une licence, !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!134 Une licorne est une entreprises du secteur des TIC non-cotée en bourse mais valorisée à plus d'un milliard de dollars. 135 « The Unicorn List : current private companies valued at $1B and above », CBinsights. https://www.cbinsights.com/research-unicorn-companies (consulté le 9 juin 2015).

!

57

est certes coûteux à développer en premier lieu, mais une fois mis au point, il peut être diffusé

à des centaines de millions d'internautes depuis le siège de l’entreprise sans qu'aucune

installation ne soit nécessaire de la part de l'utilisateur. De même, les mises à jour sont

effectuées directement par les développeurs. Les coûts de maintien se trouvent donc

considérablement réduits et cela permet aux prestataires d'effectuer de très importantes

économies d'échelles.

La troisième spécificité tient à la stratégie d'extension de ces acteurs. En effet, ces

derniers ne se considèrent pas comme des spécialistes dans des domaines particuliers, mais

leur projet est au contraire de se positionner comme des acteurs incontournables d'une

économie chaque jour un peu plus dépendante des outils numériques. Google est de ce point

de vue un exemple intéressant : avec 182 acquisitions d'entreprises entre le 12 février 2001 et

le 28 mai 2015, Google est devenu non seulement un acteur incontournable de l'Internet, mais

également de l'ensemble de l'économie136. L'entreprise californienne s'intéresse autant au

secteur de la santé (elle commercialise par exemple une cuillère anti-tremblements destinée

aux personnes atteintes de la maladie de Parkinson137) qu'à celui de l'automobile (la Google

Car), ou au développement de l'intelligence artificielle138 et à l'exploration spatiale (Google a

investi un million de dollars dans le projet SpaceX d'Elon Musk au début de l'année 2015139).

De 2012 à 2014, Google et Facebook ont ainsi dépensé 33 milliards de dollars en fusions-

acquisitions et en investissements dans d'autres entreprises140. Ces acteurs sont donc devenus

des entreprises plurisectorielles, comme le montre le tableau ci-dessous représentant les

différents secteurs économiques où les GAFA sont présents141.

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!136 « Liste des acquisitions de Google », Wikipedia. http://fr.wikipedia.org/wiki/Liste_des_acquisitions_de_Google (consulté le 9 juin 2015) 137 Loumé Lisa, « Maladie de Parkinson : une cuillère anti-tremblements vendue sur internet », Sciences et avenir, 27 novembre 2014. http://www.sciencesetavenir.fr/sante/20141127.OBS6393/maladie-de-parkinson-une-cuilleres-anti-tremblements-vendue-sur-internet.html (consulté le 26 juillet 2015) 138 Tual Morgane, « Une intelligence artificielle de Google capable de discuter du sens de la vie », Le Monde, 29 juin 2015. http://www.lemonde.fr/pixels/article/2015/06/29/une-intelligence-artificielle-de-google-capable-de-discuter-du-sens-de-la-vie_4664158_4408996.html (consulté le 26 juillet 2015) 139 Wall Mike, « Elon Musk’s SpaceX gets $1 billion from Google and Fidelity », Space, 20 janvier 2015. http://www.space.com/28316-spacex-elon-musk-google-fidelity-investment.html (consulté le 26 juillet 2015) 140 Sichel Olivier, « L’échiquier numérique américain. Quelle place pour l’Europe ? » IFRI, septembre 2014, p.10. http://www.ifri.org/sites/default/files/atoms/files/pp20final.pdf (consulté le 3 mars 2015) 141« Gafanomics : new economy, new rules », Fabernovel, 2014, p.11. http://www.fabernovel.com/work/study-gafanomics-new-economy-new-rules/ (consulté le 29 juin 2015)

!

58

Figure 1 : la plurisectorisation des GAFA

Cette stratégie d'extension se décline également selon le principe d'intégration

verticale qui permet de réduire la dépendance de ces entreprises à des acteurs extérieurs. En

amont, les géants du secteur des TIC cherchent à contrôler l'ensemble de leur chaine de

production, ainsi que les infrastructures nécessaires aux transmissions de données. Google

disposent par exemple de ses propres serveurs et souhaitent développer son propre réseau

filaire d'accès à l'Internet142 . En aval, ils contrôlent l'ensemble de l'échelle, jusqu'aux

interfaces d'utilisation (software) et aux terminaux (hardware) qui sont interconnectés, ce qui

a l'avantage de faciliter l'usage de l'internaute.

Mais cette stratégie d'extension s'étend également au principe d'intégration horizontale.

Ces entreprises étendent en effet leurs activités à des services ne relevant pas de leurs

spécialités originelles. Une entreprise comme Google, qui était un simple moteur de recherche

lors de sa création, propose désormais un bouquet de services complémentaires (email,

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!142 https://fiber.google.com/ (consulté le 4 août 2015)

!

59

agenda, cartographie, etc.). Or ces services utilisent les données créées par les utilisateurs lors

de l'usage des différents services. Les ressources sont donc mutualisées, qu’il s'agisse des

données ou des infrastructures, ce qui permet de réduire encore un peu plus les coûts ainsi que

le prix des prestations, et donc de se positionner de manière avantageuse vis-à-vis de la

concurrence.

Les données sont l'élément stratégique de ces nouveaux modèles d'affaires : on

parle d'ailleurs à leur sujet de « nouvel or noir ». Les données désignent l'ensemble des

informations disséminées par un utilisateur lors de sa navigation : nom, prénom, centres

d'intérêts, date et lieu de naissance, lieux fréquentés, dépenses, etc. Elles représentent

désormais une masse d'actifs immatériels qui sont devenus plus importants que les actifs

matériels et immatériels existants (terrains, biens, outils de production, marque, brevets, etc.)

Pour des entreprises de services en ligne, les données sont fondamentales. En

échange de l'utilisation généralement gratuite d'un bouquet de services, l'utilisateur cède ses

données personnelles à l'entreprise concernée, comme indiqué dans les Conditions

d'utilisation. Ces données sont ensuite analysées puis rentabilisées de deux manières. D'un

côté, elles permettent d'effectuer de la publicité ciblée, extrêmement rentable : grâce à

l'analyse des besoins, des désirs, des habitudes des internautes, elles offrent des modèles de

comportements prédictifs. Ces modèles sont ensuite vendus aux utilisateurs-marchands sous

la forme d'espaces publicitaires. De l'autre côté, en étudiant le comportement de leurs

utilisateurs, ces entreprises améliorent l'efficacité et la performance de leurs services et

renforcent donc avec le temps leur position de leader sur le marché. Cette efficacité croissante

leur permet d'abaisser toujours un peu plus leurs coûts, les positionnant de manière toujours

plus avantageuse vis-à-vis de la concurrence. La collecte de données constitue donc la priorité

pour ces acteurs qui cherchent à agglomérer un maximum d'utilisateurs.

Les stratégies mises en œuvre par les entreprises dominant à ce jour le secteur des

TIC ont plusieurs implications. En maîtrisant l'ensemble de la production, de la distribution et

de la diffusion, ces quelques acteurs ont en premier lieu tendance à renforcer la dépendance

des consommateurs à leurs services. Apple propose ainsi tout un environnement de terminaux

avec son Smartphone (Iphone), ses ordinateurs (MacBook), ses tablettes numériques (Ipad) et

depuis peu sa montre connectée (Iwatch). En alliant le matériel et le logiciel, ces entreprises

maintiennent donc les internautes dans des écosystèmes fermés. Par conséquent, nous

!

60

assistons à un « verrouillage technologique143 » de l'utilisateur. En effet, une fois que ce

dernier a adopté une technologie, il a un intérêt pratique à se maintenir dans cet écosystème. Il

s'épargne ainsi de nouveaux coûts d'apprentissage. Les entreprises concernées font également

en sorte qu'il y trouve un intérêt financier.

Ce verrouillage est renforcé par le fait que ces écosystèmes sont étanchéifiés afin

rendre impossible toute interopérabilité entre services d'entreprises concurrentes. Cela

renforce un peu plus la concentration des internautes dans des écosystèmes fermés où la

tablette Kindle d'Amazon ne permet de consulter que les fichiers téléchargés depuis Amazon,

ou encore l'Apple store qui donne accès à des applications utilisables exclusivement depuis

les terminaux de la marque Apple.

Ces stratégies tendent donc à concentrer l'activité des internautes sur quelques

plates-formes. Facebook compte ainsi plus d'un milliard d'utilisateurs. Une fois les utilisateurs

« hameçonnés » par l'entreprise, cette dernière peut étendre ses activités à de nouveaux

produits. Amazon a ainsi utilisé son site de vente en ligne pour se constituer une très large

clientèle, auprès de laquelle elle a ensuite fait la promotion de son service de stockage de

données en ligne (AWS), qui rapporte aujourd'hui plus que le site marchand 144 .

L'agglomération d'utilisateurs est donc dans ce cas désignée comme la priorité devant la

rentabilité, selon la stratégie consistant à « être roi plutôt que riche »145, ce qui en retour a

pour effet d'améliorer sans cesse la performance des services proposés grâce à l'analyse des

données. La position de leader de ces entreprises tend donc à se renforcer avec le temps.

La dépendance ne concerne pas que les utilisateurs/clients, mais également les

utilisateurs/marchands, principalement dans les secteurs de la vente au détail (B2C) comme

de la vente interentrepreneuriale (C2C). L'industrie musicale dépend par exemple aujourd'hui

de quelques services en ligne : l'Apple Store de la marque Apple, qui permet la distribution

des productions, et le site Youtube, appartenant à Google, qui constitue un instrument de

diffusion mondial. Cela est également vrai dans le secteur de la vente de livres en ligne,

aujourd'hui extrêmement dépendant du site marchand d'Amazon.

Le secteur des TIC est ainsi confronté à une situation paradoxale, mise en avant par

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!143 Coutinet Nathalie, « Les technologies numériques et leur impact sur l'économie », Cahier Français : la société numérique, n°372, janvier-février 2013, p.22. 144 Pontiroli Thomas, « Chez Amazon, le cloud est plus rentable que la boutique en ligne », Clubic, 24 avril 2015. http://pro.clubic.com/entreprises/amazon/actualite-764468-resultats-amazon.html (consulté le 7 juillet 2015) 145 Frénot Stéphane, Grumbach Stéphane, « Les données sociales, objets de toutes les convoitises », Hérodote, op. cit., p.52.

!

61

Olivier Sichel dans son article sur la place de l'Europe dans « l'échiquier numérique

américain »146 : alors que le numérique devait permettre l'émergence rapide de concurrents, la

stratégie de captation des GAFA étouffe la concurrence en concentrant l'activité et en

encadrant l'innovation qui se trouve de fait limitée. La parcellisation de l'Internet en

écosystèmes numériques contrôlés par quelques acteurs (dont aucun n'est européen) qui

centralisent l'activité à leurs profits exclusifs, est donc déjà une réalité.

1.3 L'Union européenne : « colonie du monde numérique » ?

En Europe, la domination de quelques acteurs sur le secteur des TIC, et bientôt sur

l'ensemble de l'économie, est perçue comme une menace par une partie de la classe politique

française. Le député Malek Boutih, reprenant les idées développées par Pierre Bellanger, a par

exemple dénoncé dans son rapport consacré au djihadisme147 la prédominance des acteurs

américains sur l’Internet : « derrière l’anarchie supposée de la toile, se cache un ordre, celui

des opérateurs américains qui de fait sont les vrais maitres.148 ».

Mais c’est la sénatrice Catherine Morin-Desailly qui apparait comme la

personnalité politique française la plus au fait de ces enjeux. Selon elle, le risque pour l'Union

européenne de devenir une « colonie » du monde numérique, selon l'expression qu’elle a

utilisée dans son rapport daté du mois de mars 2013149, est bien réel. Le terme de colonie fait

référence à un phénomène historique précis : celui de l'occupation et de l'exploitation par les

puissances occidentales de territoires extérieurs à l'Europe. La particularité de la colonie, c'est

que l'exploitation se fait au bénéfice exclusif du colon, mais à partir des ressources du

colonisé qui profite dans une proportion négligeable de la richesse produite. La répartition de

cette dernière est donc inéquitable. L'utilisation du terme de colonie à propos du numérique

est donc volontairement polémique dans le sens où elle désire attirer l'attention du public sur

la domination abusive des entreprises américaines du secteur des TIC sur le marché européen.

Avec près de 500 millions de consommateurs dotés d'un haut niveau de vie, l'Union

européenne est en effet un marché prioritaire pour les entreprises américaines. Dans le secteur

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!146 Sichel Olivier, « L’échiquier numérique américain. Quelle place pour l’Europe ? », op. cit., p.10. 147 Bouthi Malek, Génération radicale op. cit. 148 Ibid., p.60. 149 Morin-Desailly Catherine, Rapport d'information fait au nom de la commission de affaires européennes sur l' « Union européenne, colonie du monde numérique ? », op. cit.

!

62

des TIC, elles y jouissent d'une position dominante : en mai 2015, 91% des recherches

effectuées sur l'Internet provenaient du moteur de recherche Google (contre 77% aux États-

Unis)150. De même, Facebook occupe 82% du marché des réseaux sociaux151. Si cette

domination repose sur leur capacité d'innovation et sur leur puissance financière, ces acteurs

savent également exploiter certaines vulnérabilités propres à l'Union européenne dans le but

de renforcer leur position dominante.

La première vulnérabilité exploitée concerne les disparités fiscales entre États

membres. Traditionnellement, la politique fiscale au sein de l'Union européenne fait partie des

compétences souveraines des États. Cette situation a engendré de fortes disparités d'un État à

l'autre, en particulier concernant les régimes d'imposition et la taxe sur la valeur ajoutée

(TVA). Du fait de ces disparités, une forme de concurrence s'est mise en place entre les États

européens dans le but d'attirer les multinationales : les Pays-Bas mais aussi le Luxembourg (et

jusque très récemment l'Irlande) proposent un cadre fiscal très avantageux pour les entreprises

qui désirent installer leur siège et/ou déclarer leurs activités sur leur territoire152. Les

entreprises américaines utilisent largement ce système pour limiter leurs frais d'imposition. Le

Luxembourg a ainsi passé des accords secrets avec des entreprises telles qu'Amazon ou Apple

afin que celle-ci jouissent d'une fiscalité quasi-nulle sur leurs activités en Europe. De même

jusqu'en 2014, l'Irlande a offert un système de déclaration et d'imposition très avantageux aux

multinationales, appelé « double irlandais ».

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!150 Pour la période d’avril 2014 à avril 2015. http://gs.statcounter.com/#search_engine-eu-monthly-201404-201504 (consulté le 15 avril 2015). 151 Pour la période d’avril 2014 à avril 2015. http://gs.statcounter.com/#social_media-ww-monthly-201404-201504 (consulté le 15 avril 2015). 152 Davril Marianne, « Bruxelles lance un plan de lutte contre l'optimisation fiscale », Boursier, 18 mars 2015. http://www.boursier.com/actualites/economie/bruxelles-lance-un-plan-de-lutte-contre-l-optimisation-fiscale-27426.html (consulté le 29 juin 2015)

Taux%d’utilisation%du%réseau%social%Facebook%%(en%%)

[70;80[

[80;90[

[90;100]

[60;70[

[75;90[

[95;100]

[60;75[

Sources:%Statcounter,%internetworldstats

Quentin Lenormand - avril 2015

[90;95[

Taux%d’utilisation%du%moteur%de%recherche%Google%%(en%%)

NN

Quentin%Lenormand%;%avril%2015

600%km

600%km

L’hég

émon

ie d

es se

rvic

es e

n lig

ne a

mér

icai

ns

au se

in d

e l’U

nion

Eur

opée

nne

!

64

Les redressements fiscaux auxquels sont soumis ces entreprises peuvent laisser

penser que l'évasion fiscale, ou du moins l'optimisation fiscale, est une pratique systématique

pour ces acteurs : le fisc italien réclame ainsi 320 millions d'euros à la filiale italienne de

Google153. De même la filiale française a reconnu en avril 2014 faire l'objet d'une procédure

de redressement fiscal en France après l'avoir pourtant nié. La facture devrait dépasser les 500

millions d'euros154.

La deuxième vulnérabilité exploitée par les acteurs privés américains provient du

caractère novateur de leurs modèles d’affaires qui laissent les décideurs européens démunis.

La déformation de la structure des coûts, les caractéristiques inédites de leur système de

production et les spécificités du secteur rendent difficile l'identification de la richesse produite

par ces nouveaux acteurs. Ces entreprises reposent en effet sur des marchés multi-faces :

Google est une plate-forme à partir de laquelle l'internaute peut avoir accès à des services

aussi différents qu'un moteur de recherche, une messagerie instantanée, la réservation d'hôtel,

une librairie en ligne, etc. Avec Google Wallet, l'entreprise part également à la conquête du

secteur bancaire ; de même avec la Google Car, le secteur de l'automobile est en passe d'être

révolutionné. Dès lors se pose la question de savoir ce qu’est Google ? Et cette question peut

également se poser avec Apple, qui a étendu son activité première de production d'un terminal

et d'un système d’exploitation à la vente de musique en ligne, à la téléphonie mobile et à

l'horlogerie. Comment appréhender ces modèles économiques qui n'entrent dans aucune

catégorie fiscale ?

De plus, le modèle d'affaires des GAFA repose sur la gratuité, ce qui représente

également une innovation : en échange de ses données, l'utilisateur a accès à un éventail de

services gratuits et toujours plus performants. Or, cette gratuité rend « l’économie numérique

particulièrement difficile à appréhender pour la fiscalité155 ».

Compte-tenu des transformations portées par les acteurs du secteur des TIC dans

l'économie de production de biens matériels ou immatériels, le législateur semble avoir une

difficulté à identifier la richesse produite par ces entreprises et donc à appliquer la fiscalité et

le droit de la concurrence. Il existe ainsi un véritable débat sur la question de savoir sur quelle !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!153 Ferrarella Luigi, « Google, accordo sulle tasse evase paghera 320 milioni all'Italia », Corriere, 25 février 2015. http://www.corriere.it/economia/15_febbraio_25/google-fa-pace-il-fisco-paghera-320-milioni-all-italia-e8bb7dac-bcb1-11e4-ad0c-cca964a9a2a1.shtml (consulté le 29 juin 2015) 154 Ferran Benjamin, « Redressement fiscal : Google finalement prêt à payer », Le Figaro, 25 avril 2014. http://www.lefigaro.fr/societes/2014/04/25/20005-20140425ARTFIG00083-redressement-fiscal-google-finalement-pret-a-payer.php (consulté le 29 juin 2015) 155 Morin-Desailly Catherine, Rapport d'information fait au nom de la commission des affaires européennes sur l' « Union européenne, colonie du monde numérique ? », op. cit., p.35.

!

65

base imposer ces modèles d'affaire : faut-il les imposer sur leurs bénéfices, leur chiffre

d'affaires, en fonction de leur consommation de données, c'est-à-dire par une taxe sur le débit,

comme l'a proposé Fleur Pellerin au début de l'année 2015156? La question, extrêmement

complexe, n'a pour le moment pas été résolue.

De ce point de vue, l’annonce faite par Google, le 11 août 2015, de la création

d’un holding aidera peut-être à résoudre cette problématique157. En effet, ce holding appelé

Alphabet doit regrouper l’ensemble des activités de la firme, les décomposer en sociétés et

ainsi distinguer les activités sans rapport avec le cœur de métier originel de Google (recherche

en ligne, cartographie, publicité, etc.) : Google Fiber (renommé Fiber), qui est un projet de

fourniture d’accès à l’Internet, ou Google Venture (renommé Venture), le fond

d’investissement créé en 2013, ne seront donc plus que des sociétés parmi d’autres regroupées

au sein d’Alphabet ; Google, qui désigne désormais la société chapeautant les services en

ligne, reste néanmoins l’élément dominant de cette nouvelle structure158. L’avenir proche

nous dira si cette restructuration permettra d’aider les décideurs européens à définir un

système d’imposition plus adéquat aux activités de cet acteur privé.

Les acteurs dominants du secteur des TIC ont donc su tirer profit des particularités

inhérentes à l'Union européenne pour asseoir leur domination sur le marché européen. Or

cette domination a de conséquences jugées néfastes pour la souveraineté économique des

États membres. En effet, l'optimisation fiscale (lorsqu'il ne s'agit pas d'une évasion fiscale

pure et simple), en privant les États d'importantes ressources, sape leurs possibilités d'action.

De plus, ces quelques acteurs privés captent la majorité de la valeur créée sur le marché

européen des services en ligne et empêche l'émergence de concurrents européens en

emprisonnant l'innovation pour leurs propres bénéfices. Les décideurs européens tentent donc

de remédier à cette situation depuis quelques années. Quels sont les aspects et les résultats de

ces politiques destinées à reconquérir la souveraineté économique des États membres de

l'UE?

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!156 Rees Marc, « Fleur Pellerin propose (encore) de taxer la bande passante », Next inpact, 11 février 2015. http://www.nextinpact.com/news/93034-fleur-pellerin-propose-encore-taxer-bande-passante.htm (consulté le 29 juin 2015) 157 « G is for Google », Google Blog, 10 août 2015. http://googleblog.blogspot.fr/2015/08/google-alphabet.html (consulté le 10 août 2015) 158 « Le nouvel “Alphabet” de Google de A à Z », Zdnet, 11 août 2015. http://www.zdnet.fr/actualites/le-nouvel-alphabet-de-google-de-a-a-z-39823454.htm (consulté le 11 août 2015)

!

66

2. La défense du marché numérique européen

2.1 De l'importance d'une économie numérique européenne

Face à la position hégémonique occupée par les entreprises américaines sur le

marché européen des TIC, Bernard Benhamou fait le constat suivant : « L'Europe a raté tous

les virages de l'Internet, avec constance159 ». Cette opinion est partagée par de nombreuses

personnalités interrogées lors de notre enquête de terrain. Dans l'histoire de l'informatique

industrielle, l'Europe a en effet accumulé un important retard. Elle a d'abord raté l'épopée des

premiers micro-ordinateurs et logiciels conçus par IBM, Apple et Microsoft dans les années

1970 et 1980. La France a certes eu son plan Calcul, mais celui-ci s'est soldé par un échec.

L’Europe a ensuite raté les opportunités offertes par l'ouverture de l'Internet en 1990. Enfin,

elle a raté le passage au Web 2.0, et avec lui les opportunités économiques liées aux logiques

de partage et de diffusion caractéristiques de cette époque. C'est en effet sur la période 1995-

2004, durant laquelle se développèrent les Google, Amazon et Apple, aujourd'hui devenues

les entreprises les plus cotées en bourse de l'Histoire, que le taux de croissance de la

productivité des États-Unis a progressivement dépassé celui des Européens160.

Depuis, les États-Unis ne cessent de marquer la distance vis-à-vis de l'Europe. Il

existe certes des acteurs européens dans le secteur des services en ligne : Blablacar en France,

Skype au Luxembourg, Spotify en Suède, Rovio en Finlande, Booking.com au Pays-Bas,

Prezi en Hongrie161. Mais il s'agit d'initiatives isolées sur un marché parcellisé où autant de

politiques nationales sont mises en œuvre. Cette situation a donc favorisé l'implantation et le

développement des entreprises américaines sur le marché européen.

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!159 Entretien avec l'auteur (19 mars 2015). 160 Ben Miller, Atkinson Robert D. (ITIF), Raising european productivity growth through ICT, 2014, p.4. 161 Moiseev Alexander, « En matière de cyber-sécurité, le protectionnisme amplifie les risques », Global Security Mag, mai 2015. http://www.globalsecuritymag.fr/En-matiere-de-cyber-securite-le,20150528,52976.html (consulté le 9 juin 2015)

!

67

Figure 2 : taux de croissance de la productivité entre 1980 et 2013

dans l'Union européenne et aux États-Unis

Pourtant, les révélations de Snowden concernant l’espionnage de l’UE ont

entrainé une perte de confiance du marché envers les acteurs américains. Le recul de ces

derniers est considéré comme une opportunité de développement économique pour les

Européens, d’autant plus que la perte de confiance consécutive aux pratiques de la NSA

concerne les trois couches du cyberespace : la couche physique par la mise sur écoute depuis

les câbles et la corruption du matériel, la couche des logiciels par l'affaiblissement de leur

sécurité, et la couche informationnelle par l'exploitation des données collectées par les

entreprises américaines auprès des internautes du monde entier. Les opportunités concernent

donc tout autant les services en ligne que les infrastructures et les logiciels.

En s'engageant dans une réforme de son cadre législatif, l'Europe souhaite donc ne

pas rater la quatrième phase du développement des réseaux, celle des objets connectés et de

l'intelligence artificielle, domaines qui portent encore d'immenses espoirs de croissance

économique. Alors qu'aux États-Unis l'émergence d'une industrie compétitive dans le

domaine du numérique a procédé d'une vision politique, l'Europe n'a en effet jamais mis en

œuvre de politique cohérente dans ce domaine. Aucun écosystème entrepreneurial pouvant

prétendre tenir tête au marché américain n'a donc pu émerger.

Les projets européens de réforme de l'économie numérique sont donc sous-tendus

par l'idée que le secteur des TIC permettra d'améliorer durablement la production de

!

68

richesses. En France, cet enjeu économique est désormais considéré comme un enjeu de

souveraineté. La députée française Corinne Erhel a ainsi affirmé à ce sujet que « la

souveraineté économique, c'est aussi la capacité à dépendre nous-mêmes des possibilités

offertes par la nouvelle économie [...].162 » D'autant plus que les révélations de Snowden

concernant les accords passés entre les services de renseignement et les entreprises

américaines du secteur des TIC ont démontré que la domination sur l'Europe ne relevait pas

du seul domaine économique, mais qu'elle s'inscrivait dans une stratégie de domination

globale de la part des États-Unis. De ce point de vue, l'affaire Snowden a permis d'accélérer la

prise de conscience de l'importance stratégique de la défense de la souveraineté économique

européenne.

2.2 L'harmonisation du cadre européen

La défense de la souveraineté envisagée à l'échelle européenne ne vise pas à

gommer les spécificités nationales mais avant tout à harmoniser le marché unique européen

en favorisant les échanges entre les pays membres. Cette harmonisation passe par la réforme

du cadre fiscal, la mise en œuvre d'un marché unique européen et le renforcement de

l'application du droit européen de la concurrence.

La défense du cyberespace européen d'un point de vue économique repose en

France sur la représentation du couple franco-allemand. Lors de l'anniversaire des 50 ans du

traité de l'Elysée en février 2014, la France et l'Allemagne ont ainsi réitéré leur volonté de

rester les moteurs économiques et politiques de l'Europe dans une déclaration commune: « La

France et l’Allemagne souhaitent encourager l’innovation dans les deux pays afin de

développer les produits et les services qui créent de la valeur en Europe163 ». Plus loin, la

déclaration affirme les besoins d'une régulation européenne des plates-formes afin de

préserver sa capacité d'innovation. À cette occasion, certains sénateurs français se sont

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!162 Propos recueillis auprès de Mme Corinne Erhel lors des 2es assises de la Souveraineté Numérique, 15 avril 2015. 163 Présidence de la République, Relevé de décisions, conseil des ministres franco-allemands du 19 février 2014, p.9.

!

69

félicités « que l’enjeu de l’autonomie européenne sur Internet soit ainsi soulevé au plus haut

niveau164 ».

Les disparités fiscales entre pays membres de l'UE ont été identifiées par les décideurs

politiques comme un élément profitant aux acteurs non-européens. Le 17 juin 2015 la

Commission européenne a donc présenté son « plan d'action pour une fiscalité des entreprises

plus juste et plus efficace au sein de l'Union165 » visant à mettre un terme aux mesures

nationales non-coordonnées dont profitent activement certaines entreprises. Parmi l'ensemble

des engagements pris, deux éléments font figure de chevaux de bataille pour l'Union : la mise

en place d'un cadre fiscal commun (« l’assiette commune consolidée pour l'impôt sur les

sociétés », ou ACCIS) et d'un cadre d'imposition permettant d'imposer les bénéfices des

entreprises là où ils sont faits et non pas là où ils sont déclarés. Ce plan doit mettre un terme

aux pertes fiscales européennes dues aux comportements d'évitements fiscaux, d'alléger les

charges dans certains secteurs et d'aider ainsi l'Europe à reprendre le contrôle de sa

souveraineté économique.

Face à cette offensive institutionnelle, certaines entreprises ont pris les devants :

Amazon a ainsi décidé en mai 2015 de déclarer ses revenus dans les pays où elle effectue son

chiffre d'affaires (Allemagne, Italie, Espagne, France et Royaume-Uni en Europe), mettant un

terme à sa politique d'optimisation fiscale166. La pression des décideurs européens avait déjà

augmenté d'un cran en novembre 2014 lors des révélations concernant les possibilités

d’évasions fiscales offertes par le gouvernement du Luxembourg. De nombreuses entreprises

américaines, mais aussi européennes avaient profité d'accords secrets leur permettant de payer

un impôt dérisoire sur leurs activités en Europe. Grâce à ces accords, Amazon ne payait par

exemple que 3 millions d'euros d'impôts en Allemagne, pour un chiffre d'affaires de 9

milliards d'euros. Mais en ces temps de crise, les comportements d'évitement des impôts sont

de plus en plus mal perçus167 car le manque à gagner représente une importante perte de

puissance sur le plan économique pour l'Union européenne.

Le deuxième plan de réforme, aux côtés du volet fiscal, vise à appuyer les

compétences clés des États membres au niveau national. Cette conception d'une Europe !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!164 Service de presse du Sénat, Internet, un défi politique pour l’Europe : les sénateurs français souhaitent que la France s’associe à l’initiative de Mme Merkel, 19 février 2014. http://www.senat.fr/presse/cp20140219.html (consulté le 12 juillet 2015) 165 Communication de la Commission au Parlement européen, La Commission présente un plan d'action pour une fiscalité des entreprises plus juste et plus efficace au sein de l'Union, Communiqué de presse, Bruxelles, 17 juin 2015. http://europa.eu/rapid/press-release_IP-15-5188_fr.htm (consulté le 29 juin 2015) 166 Caulier Sophy, « Amazon cède face à Bruxelles sur la fiscalité », Le Monde, 27 mai 2015, p.11. 167 Ibid.

!

70

numérique laisse le soin à chaque pays de développer ses propres acteurs nationaux. Pour

cela, l'UE souhaite favoriser les échanges entre les États membres. C'est dans cette optique

que la Commission européenne a élaboré en juin 2015 une « stratégie pour un marché unique

numérique » (DSM, pour Digital Single Market)168. Le but poursuivi est d'améliorer l'accès

aux biens et aux services numériques, de mettre en place un environnement propice au

développement de ce secteur et d'harmoniser le cadre légal pour rendre le marché européen

plus compétitif à l'international. Pour cela, la Commission invite à un renforcement des

infrastructures à l'échelle européenne et appelle à la mise en place d'un régulateur européen.

De plus, la Commission souhaite lever les blocages géographiques injustifiés qui participent à

la fragmentation du marché et profitent, comme nous l'avons vu, à renforcer la position

dominante des acteurs américains. En effet, seulement 7% des PME de l'UE réalisent des

ventes transfrontalières169. L'objectif de cette réforme est donc de créer un espace d'échange

au sein de l'UE et de donner une chance au marché européen d'émerger au plan international.

La Commission européenne table ainsi sur 250 milliards d'euros de croissance supplémentaire

au cours de son mandat actuel170.

Le troisième élément concerne la régulation, « entendue comme l'encadrement du

fonctionnement d'un marché par la puissance publique ». Celle-ci « s'impose quand un

marché connait des défaillances, en d'autres termes ne se comporte pas comme un marché

concurrentiel171 ». Cette régulation passe avant tout par le renforcement de l'application du

droit de la concurrence. Olivier Sichel estime par exemple que les GAFA ayant jusqu'ici

profité de la faiblesse des sanctions et de la lenteur du système procédural européen, ils s'en

sont souvent sortis à bon compte lors de leur condamnation, qui n'ont donc pas eu l'effet

persuasif voulu172. La sénatrice Morin-Desailly a ainsi proposé que les amendes imposées par

le régulateur national, l'ARCEP, soient fixées à 10% du chiffre d'affaires de l'entreprise

condamnée173.

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!168 Communication de la Commission au Parlement européen, Stratégie pour un marché unique numérique en Europe, Bruxelles, 6 mai 2015, 24 p. http://ec.europa.eu/priorities/digital-single-market/docs/dsm-communication_fr.pdf (consulté le 1er août 2015) 169 Ibid., p.4. 170 Ibid., p.2. 171 Laurent Gilles (dir.), La dynamique d'internet Prospective 2030, Commissariat général à la stratégie et à la prospective, Paris, 2013, p.84. 172 Propos recueillis auprès d’Olivier Sichel, « Que peut faire l'Europe face à l'hégémonie numérique américaine ? », conférence du 19 mars 2015. 173 Champeau Guillaume, « Le sénat vote l'amendement anti-Google », Numerama, 16 avril 2015. http://www.numerama.com/magazine/32819-le-senat-vote-l-amendement-anti-google.html (consulté le 12 juillet 2015)

!

71

Les mesures engagées pour renforcer la souveraineté numérique européenne dans le

domaine économique ne font pas pour autant l'unanimité. En premier lieu, sans poids

politique, comment le marché européen pourrait-il atteindre une taille critique qui lui permette

de rivaliser avec les GAFA et de peser dans l'écosystème numérique mondial ? Car l'enjeu du

développement d'une économie numérique européenne ne vise pas seulement à se défaire de

la dépendance américaine, mais également à faire exister l'Europe sur un marché en pleine

expansion, où les acteurs asiatiques pèseront bientôt autant, voire plus que les acteurs

américains. La sénatrice Morin-Desailly, qui milite activement pour le renforcement des

capacités européennes dans le secteur du numérique depuis son intégration à la Commission

de la Culture, de l'Éducation et de la Communication en 2004174, s'est ainsi prononcée devant

nous pour une réforme du cadre politique européen, avec la mise en place d'une structure

fédérale et l'élection d'un président européen au suffrage universel.

De plus, alors que certains souhaitent en priorité remettre en question la position

hégémonique des GAFA, d'autres souhaitent simplement que les règles du jeu soient

équitables pour tous, quels que soit leur pays d'origine. Selon M. Charly Barthet, rapporteur

au CNNum, la restauration de la souveraineté économique européenne ne passera pas par la

reconquête de positions déjà acquises par les acteurs américains dans les secteurs de la

recherche en ligne ou des réseaux sociaux, mais au contraire en investissant sur les marchés

en croissance175. Les GAFA ont profité d'une situation historique, celle du développement de

l'Internet dans les années 2000, pour s'imposer aujourd’hui comme des acteurs

incontournables de l'économie numérique. Leur position est acquise et il semble illusoire de

rivaliser avec des géants tels que Google. Mais le numérique étant encore porteur de

nombreuses possibilités, il est jugé préférable de se concentrer sur les nouvelles promesses de

développement économique que contiennent par exemple l'Internet des Objets ou la

robotique, ou encore la nanotechnologie. Le cabinet A.T. Kearney estime ainsi que le marché

des objets connectés en France représenterait un potentiel de création de valeur se situant à 74

milliards d'euros en 2020 et à 138 milliards d'euros en 2025176.

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!174 Entretien avec l'auteur (14 avril 2015) 175 Entretien avec l’auteur (22 juin 2015) 176 in : Institut Montaigne, Big data et objets connectés. Faire de la France un champion de la révolution numérique, avril 2015, p.52. (consulté le 9 juin 2015)

!

72

L'amendement dit « anti-Google » voté au sénat en avril 2015177 a de ce point de

vue fait l'objet de nombreuses critiques. Il prévoit en effet qu'un moteur de recherche ait

l'obligation de proposer des services concurrents à ses utilisateurs. Certains ont dénoncé la

contradiction d'une loi obligeant une entreprise à faire le jeu de sa propre concurrence, alors

que d'autres y voient une énième tentative de démantèlement de Google (car avec plus de

90% de part de marché en Europe, c'est clairement l'entreprise californienne qui est visée,

même s'il elle n'est pas directement désignée dans le texte)178. La réponse de l'État français au

défi posé par l'hégémonie américaine sur le cyberespace semble donc être en décalage avec la

réalité des enjeux.

Aux États-Unis, ces initiatives sont jugées avec circonspection. Lorsque nous

avons demandé à l’Amiral Rogers comment il considérait l'émergence et la multiplication des

revendications souveraines en Europe, il a certes reconnu l'existence légitime de

préoccupations concernant la domination des entreprises américaines en Europe, mais il a

considéré qu'évoquer la souveraineté pour dénoncer cette situation renvoyait à une forme de

« protectionnisme », une déclaration qui rejoint la position exprimée par Barack Obama il y a

quelques mois lors d'une interview179. « The world is competition [...] this is the nature of the

world we live in » a ainsi déclaré l’Amiral Rogers. En substance, les Américains considèrent

que les Européens ayant perdu au jeu de la concurrence libre, ils cherchent aujourd'hui à en

modifier les règles dans le but de renforcer leurs propres acteurs.

Face à l'offensive engagée par l'Union européenne, les acteurs privés concernés

par ces politiques ont pris des mesures pour maintenir leurs positions. Google a par exemple

triplé ses dépenses en lobbying entre 2010 et 2013, pour les tripler à nouveau en 2014 et

atteindre 4,8 millions de dollars180. De même, ces entreprises cherchent désormais à recruter

d'anciens membres du parlement européen, régulateur comme législateur, bien au fait des

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!177 Amendement présenté par Mme Morin-Desailly, MM. Retailleau, Bizet, Lenoir, Mme Jouanno, 7 avril 2015. http://www.senat.fr/enseance/2014-2015/371/Amdt_995.html (consulté le 12 juillet 2015) 178 Boogar Liam, « The latest French plot to kill Google is hiding in plain sight », Rude Baguette, 8 juin 2015. http://www.rudebaguette.com/2015/06/08/latest-french-plot-kill-google-hiding-plain-sight/ (consulté le 12 juillet 2015) 179 Swisher Kara, « Obama, the re/code interview », Recode, 15 février 2015. http://recode.net/2015/02/15/white-house-red-chair-obama-meets-swisher/ (consulté le 18 juillet 2015) 180 Hakim Danny, « Google tripled spending on lobbying in Brussels last year », The New York Times, 29 avril 2015. http://bits.blogs.nytimes.com/2015/04/29/google-triples-its-spending-on-lobbying-in-brussels/?_r=0 (consulté le 29 juin 2015)

!

73

questions judiciaires auxquelles ils sont confrontés181. Erika Mann, de nationalité allemande,

ancien membre du Parlement européen a ainsi été recrutée par Facebook182. Cela démontre

l'importance que ces acteurs attachent au marché européen, considéré comme une priorité.

Surtout que ces entreprises n'ont jamais pensé leur développement à l'échelle nationale

américaine, mais au contraire à l'échelle universelle. Ils n'envisageront donc pas de se retirer

du marché européen si la pression devient trop forte. Ainsi, dans le cadre de la mise en place

de la procédure de droit à l'oubli, Google s'est empressé d'obtempérer. Maître Bensoussan

considère cet empressement comme la preuve que les GAFA sont prêts à faire des

concessions et à obtempérer aux mesures qui leurs sont imposées pour se maintenir sur le

marché européen.

Notre analyse a mis en lumière l’imbrication des enjeux d'ordres

économiques/privés avec les enjeux d'ordres stratégiques/publics. C'est pourquoi le débat

concernant la domination économique des GAFA sur le marché européen est porté aussi bien

par des acteurs privés que par des personnalités politiques. En effet, cette domination sert non

seulement la puissance financière américaine, mais elle s'inscrit également dans la poursuite

des objectifs stratégiques définis par le gouvernement américain : les données collectées ou

produites par des acteurs privés ont ainsi été exploitées par les agences de renseignement

américaines, que ce soit dans le cadre de la lutte contre le terrorisme ou de rivalités

économiques. Les actions pour le renforcement de la souveraineté économique européenne

s'inscrivent donc dans une volonté politique plus vaste de réforme de la structure des réseaux

et de leur gouvernance.

2.3 Les propositions techniques pour le renforcement de la souveraineté numérique

européenne

La défense du cyberespace européen constitue en premier lieu un enjeu relevant de

la cybersécurité. La question de l'échelle adéquate se pose également à ce propos : les acteurs

européens l'envisagent-ils à l'échelle nationale ou à l'échelle de l'Union européenne ? Cette

dernière a mis en place des institutions destinées à assurer l'intégrité de son cyberespace. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!181 Scott Mark, « European regulators tackle Facebook over privacy », AFR, 25 mai 2015. http://www.afr.com/technology/social-media/facebook/european-regulators-tackle-facebook-over-privacy-20150525-gh8sq5 (consulté le 29 juin 2015) 182 Ibid.

!

74

L'European Union Agency for Network and Information Security (ENISA) fut créée en 2004

pour aider la Commission et les États membres à atteindre un niveau de sécurité informatique

acceptable. L'agence produit depuis une littérature sur ces questions afin accompagner les

acteurs dans leur gestion du risque, dans le renforcement de leurs infrastructures critiques et

de leur résilience. De même, l'European Cybercrime Center d'Interpole (EC3) vient compléter

les fonctions remplies par l'ENISA en se spécialisant dans la lutte contre la

cybercriminalité183. Mais la cybersécurité européenne se limite à la protection de l'activité

économique et à la défense des valeurs européennes dans le cyberespace. Une institution telle

que l'ENISA ne dispose par ailleurs d'aucun pouvoir de contrainte, ce qui limite la portée de

son action184. Si la cybersécurité semble faire l'objet d'une attention plus importante que la

cyberdéfense de la part des décideurs européens185, elle reste néanmoins le fait des politiques

nationales (nous reviendrons sur l’action de la France dans ce domaine dans la dernière partie

de ce chapitre).

Aux côtés des initiatives institutionnelles entreprises par l'UE dans le domaine de la

cybersécurité, l'idée d'une nécessaire « européanisation » du cyberespace européen a donné

lieu à des initiatives techniques disparates à l'échelle nationale mais visant toutes à défendre

les atouts industriels des États membres de l'Union européenne contre les « indiscrétions »

étrangères.

Suite au sommet annuel Europe/Brésil de 2014, le président du Conseil européen

s'est par exemple déclaré en faveur du projet brésilien de contourner le territoire nord-

américain en tirant des nouveaux câbles sous-marins entre l'Europe et le continent sud-

américain186.

De même, il est apparu avec l'affaire Snowden que la NSA piochait les

informations dont elle avait besoin (quelle que soit l'origine des données concernées) dans les

serveurs des entreprises américaines localisés sur son territoire. La localisation des données

sur le sol européen a donc été rapidement considérée comme une priorité dans la défense des

intérêts économiques et industriels européens.

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!183 Joubert Vincent, Samaan Jean-Loup, « L'intergouvernementalité dans le cyberespace : étude comparée des initiatives de l'Otan et de l'UE », Hérodote, op.cit., p.269 184 Ibid., p.274. 185 Ibid., p.267. 186 Conseil Européen, Press statement by the President of the European Council, Herman Van Rompuy, following the 7th EU-Brazil Summit, Bruxelles, 24 février 2015, p.2. http://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/en/ec/141144.pdf (consulté le 12 juillet 2015)

!

75

Les principes de la Sphère de sécurité (Safe harbor en anglais) dénotent de

l'ancienneté des préoccupations européennes concernant les données personnelles transférées

en direction des États-Unis. Ces accords autorisent en effet depuis la fin des années 1990 plus

de 5 000 entreprises américaines à transférer les données personnelles des internautes

européens en dehors du territoire de l'UE, à condition que ces entreprises respectent la

législation européenne concernant la protection des données. La Federal Trade Commission

(FTC), agence américaine chargé de l'application du droit de la consommation, s'était alors

engagée à faire respecter l'accord. Or, depuis l'affaire Snowden, il est clair que l'accord a été

violé, mais il n'a pas encore été renégocié187. Des initiatives privées souhaitent pallier cette

vulnérabilité. C'est par exemple le cas d’Eurocloud : il s'agit d'une organisation composée de

différents acteurs européens (18 des 28 États membres de l'Union européenne y sont

représentés) dont le projet est de favoriser et de structurer une offre européenne dans le

secteur du cloud et d'assurer une infrastructure viable qui permette de stocker les données

produites au sein de l'UE sur son territoire.

Pour se protéger de l'espionnage étranger, le cryptage des communications est une

solution qui a également été proposée188. La cryptographie désigne les méthodes et les

moyens de transformation des données visant à cacher leur contenu, à en empêcher les

modifications ainsi que leurs utilisations non autorisées. À ce jour, le cryptage des

communications est considéré comme la meilleure manière de protéger la confidentialité et

l'intégrité des informations. D'un point de vue technique, il semblerait que cette proposition

soit la plus cohérente pour se prémunir de la surveillance exercée par les États sur le

cyberespace. En effet, l'idée de contourner le cyberespace américain en tirant de nouveaux

câbles sous-marins est obérée par la nature décentralisée, interconnectée et globale de

l'Internet. Éviter le territoire américain représente donc une fausse solution, car cela ne devrait

pas empêcher les agences de renseignements d'écouter les flux de données circulant dans les

câbles. Surtout qu'il n'est pas nécessaire que les câbles se trouvent sur le territoire national

pour y installer des outils de surveillance.

De même, le projet de localisation des données sur le territoire européen semble

dans la réalité difficile à mettre en œuvre. Cela risquerait en premier lieu de faciliter la

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!187 Serries Guillaume, « Safe Harbor : des régulateurs allemands dénoncent le laxisme de la FTC », Zdnet, 7 février 2015. http://www.zdnet.fr/actualites/safe-harbor-des-regulateurs-allemands-denoncent-le-laxisme-de-la-ftc-39814338.htm (consulté le 7 juillet 2015) 188 Collectif, « Technological sovereignty : missing the point? », Cyber Conflict: Architectures in Cyberspace (CyCon) 7th International Conference on Cyber Conflict, p.63.

!

76

surveillance exercée par les services de renseignement en concentrant les données sur un

territoire identifié. Sur le long terme, le risque est également de porter préjudice à la nature

décentralisée et distribuée de l'Internet en imposant des logiques territoriales et politiques à la

localisation des données189. Les politiques souveraines, en faisant des propositions techniques,

risquent donc, à terme, de morceler le cyberespace en zones plus ou moins étanches dont les

communications avec les autres espaces pourraient faire l'objet d'une surveillance ou d'un

filtrage.

En revanche si le cryptage venait à se généraliser, cela ne protégerait pas les

individus contre des attaques sophistiquées et ciblée mais cela augmenterait considérablement

le coût de la surveillance, qui serait pas conséquent rendue plus difficile, tout en respectant la

nature décentralisée de l'Internet.

Quoi qu'il en soit, les réponses techniques des États face à leur perte de

souveraineté économique dans le cyberespace apparaissent à ce stade encore désordonnées et

techniquement difficiles à mettre en œuvre, ce qui profite aux acteurs industriels étrangers.

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!189 Ibid., p.61.

Pays%ayant%connu%une%crise%diplomatique%avec%les%États5Unis%suite%aux%révélations%d’Edward%Snowden

Parlement%européen%

L’axe%franco5allemand%:%cohérence%de%vue%sur%la%nécessité%d’une%Europe%numérique

La%fin%du%«%Double%Irlandais%»%(janvier%2015)

Siège%de%la%Cour%de%Justice%de%l’Union%européenne%(CJUE)%

L’Union%Européenne%:%«%colonie%du%monde%numérique%»%?

Les%représentations%des%menaces%contre%le%cyberespace%de%l’Union%Européenne%(pays%d’origine%et%nature%de%la%menace)

Membre%des%Five%Eyes%:%partenaire%de%premier%niveau%du%programmede%surveillance%de%la%NSA%

1.%Le%cyberespace%européen%:%un%territoire%vulnérable%?

<30[

[20530]

[10520[

N

600%km

Océan%Atlantique

Mer%Méditerranée

Que

ntin

Len

orm

and

- avr

il 20

15

L’hétérogénéité%des%taux%d’imposition%sur%les%sociétés%au%sein%de%l’UE%(en%%)

États9Unis%:%espionnage%généralisé,%matériel%corrompu

Russie:%cybercriminalité,%espionnage%économique

Chine:%espionnage%économique,%matériel%corrompuIrlande

Russie

Pologne

Italie Roumanie

Royaume9Uni

Suède

Finlande

2.%La%défense%de%la%souveraineté%européenne

Mer%NoireBulgarie

Hongrie

Siège%de%la%Commission%européenne%

AllemagneAllemagne

EspagneEspagne

Sources:%Presse,%Union%Européenne

FranceFrance

GrèceGrèce

!

78

3. Le Made in France: un instrument de la souveraineté numérique ?

3.1 Le cloud souverain

Avec la numérisation de l'économie et l'intensification des attaques, l'espionnage

économique et industriel prend aujourd'hui une mesure inquiétante pour les acteurs politiques

et économiques. Non pas qu'il s'agisse d'une nouveauté (l'espionnage est antérieur au

numérique), mais à mesure que l'économie se numérise, les vulnérabilités s'accroissent. Or,

les acteurs européens ont fait confiance à une offre américaine qui s'est révélée être contraire

à leurs intérêts. L'affaire Snowden a ainsi démontré qu'un État de droit était susceptible

d'utiliser ses lois (ici le Patriot Act) afin de renforcer sa puissance économique en effectuant

un véritable pillage des données dans les serveurs des entreprises étrangères se situant sur son

territoire. La menace est renforcée par le caractère extraterritorial de la législation américaine

qui permet d'imposer le droit des États-Unis à des citoyens étrangers. Les acteurs européens

ont donc pris conscience de l'importance d'inscrire leurs activités sur le territoire politique et

juridique européen, ce qui constitue une opportunité de développement pour les offres

européennes dans le secteur du cloud et de la cybersécurité.

Le cloud computing, également désigné sous le vocable d'informatique en nuage,

est la technologie permettant de stocker des données dans des serveurs accessibles à distance.

Qu'il soit à usage privé et professionnel, l'usage du cloud se banalise. La progression de

l'activité dans le secteur privé en témoigne : entre l'année 2014 et 2015, elle a été l'ordre de

96% pour Microsoft, de 74% pour Google et de 56% pour IBM. Le chiffre d'affaires d'AWS,

le service cloud d'Amazon a également bondi de 51% en un an190. La croissance du cloud

concerne avant tout le commerce interentreprise (B2B). Mais avec la généralisation des objets

connectés, le commerce de détail (B2C) devrait également connaitre une croissance

importante.

Quelles sont les raisons de son succès ? Le cloud réduit les coûts et augmente les

performances des entreprises qui peuvent avoir un accès à distance à une immense quantité

d'informations. Mais pour les prestataires, il ne s'agit pas seulement d'assurer le stockage et

l'accès aux données. Ils proposent également des logiciels à la demande qui analysent les

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!190 Harmant Olivier, « Cloud : Amazon domine le marché mondial, mais Microsoft le rattrape », French Web, 4 février 2015. http://frenchweb.fr/cloud-amazon-domine-le-marche-mondial-mais-microsoft-le-rattrape/182460 (Consulté le 7 juillet 2015)

!

79

données des clients et les assistent dans leur utilisation. Les prestataires fournissent ainsi des

logiciels applicatifs qui permettent aux clients d'exploiter et de mettre à profit leurs données.

On désigne cette activité sous le terme de Software as a Service (SaaS) : le prestataire ne

propose pas qu'une solution de stockage, mais également un environnement d'utilisation. Dans

le cas d'une simple location d'espace de stockage, on parle de IaaS (Infrastructure as a

Service). Le secteur de SaaS reste le premier type de cloud utilisé en France, avec 54% des

parts face aux prestations de type IaaS et PaaS (Platform as a Service)191.

C'est donc naturellement qu'un marché du conseil a émergé. Ce dernier est destiné

à accompagner les entreprises dans leur mutation vers les instruments nouveaux proposés par

la technologie du cloud. Les questions sont en effet nombreuses pour une entreprise opérant

son virage numérique : quel est le service le mieux adapté à ses besoins ? Quelles données

doivent être mises à disposition ? À qui faut-il donner l'accès et à quelles données ? Quels

sont les niveaux de protections nécessaires ? Pour rester compétitifs, les prestataires doivent

être en mesure de proposer à leurs clients un usage flexible, évolutif et optimisé

financièrement. L'enjeu est d'assurer la confidentialité et la sécurité des données et de

proposer une qualité de service compétitive.

Le cloud, malgré son aspect dématérialisé, repose sur les datacenter, une

infrastructure lourde et coûteuse, que ce soit financièrement ou énergétiquement : en France,

ils représentent entre 8 et 10% de la consommation d'électricité nationale192. Autrefois, seules

les grandes entreprises utilisaient des fermes de serveurs. Aujourd'hui, elles se sont

multipliées à mesure que l'usage du cloud s'est généralisé. Le marché du datacenter est divisé

en différentes activités. Certains prestataires sont dits neutres : ils ne font que louer de

l'espace de stockage et n'ont pas de droit de regard sur les données stockées. Mais ils

représentent un marché réduit face à celui du logiciel applicatif. Le modèle le plus rentable

aujourd'hui consiste à proposer un espace de stockage et une plate-forme d'accès à distance

dont les mises à jour et la sécurité sont assurées par le prestataire de service.

En quoi le cloud est-il un enjeu de souveraineté ? Parce que la défense des intérêts

particuliers du secteur privé relève de la défense des intérêts stratégiques de la puissance

française. Nous avons vu que les services de renseignement, dans leur dessein de

renforcement de la puissance étatique qu’ils défendent, ne semblent pas distinguer les !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!191 PAC CloudIndex, « Le niveau de maturité Cloud des organisations françaises a franchi un palier », Cloudindex, 17 juin 2013. http://www.cloudindex.fr/content/tous-les-r%C3%A9sultats (Consulté le 18 juillet 2015) 192 Caulier Sophy, « Les data centers, clés de voûtes du réseau », op. cit., p. 10.

!

80

objectifs industriels de leurs objectifs stratégiques traditionnels. La localisation et la

protection des données ont donc été identifiées comme un enjeu de souveraineté nationale par

l'État français. L'objectif est de répondre en particulier au déficit de sécurité dû au caractère

extraterritorial de la législation américaine. L'affaire Snowden a de ce point de vue renforcé

l'idée selon laquelle la localisation des données n'était pas un objet politique neutre. Bien au

contraire, en tant que nouvel « or noir » de l'économie, les données sont l'objet de convoitises

de la part des cybercriminels, mais également de la part des États dans le cadre de la guerre

économique. Pour les acteurs privés comme publics, le made in France reste d'ailleurs le

premier critère de choix193, preuve que ces risques sont bien identifiés. C'est pour ces raisons

que l'État français s'est impliqué dans une politique industrielle visant à faire émerger des

offres de cloud national.

À la fin de l'année 2009, le président de la République Nicolas Sarkozy décide de

lancer un Grand Emprunt (depuis renommé « Programme d’investissement d'avenir ») visant

à relancer la croissance suite à la crise économique de 2008. L'État prévoit alors d'injecter 1,4

milliard d'euros pour développer des solutions numériques « souveraines », le cloud

computing étant la priorité194 : il s'agit du projet Andromède annoncé à la fin de l'année 2009.

Par ce plan, le gouvernement souhaite favoriser la mise en place d'un « cloud souverain »

destiné d'une part à faire émerger une offre française concurrentielle face aux géants

américains du cloud, et d'autre part à assurer la sécurité et l'intégrité des données produites par

les entreprises françaises. François Fillon, alors Premier ministre, affirme à ce propos que

« force est de constater que les Nord-Américains dominent ce marché [du cloud], qui

constitue pourtant un enjeu absolument majeur pour la compétitivité de nos économies, pour

le développement durable et même, j'ose le dire, pour la souveraineté de notre pays195 ».

En septembre 2012, le projet se concrétise lorsque l'État annonce la création de

deux consortiums, Cloudwatt et Numergy, chargés de développer une solution de cloud

computing national196. Les actionnaires de Cloudwatt sont Orange, Thalès et la Caisse des

dépôts. Mais l'annonce en janvier 2015 de la reprise à 100% de Cloudwatt par Orange marque

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!193 Ibid. 194 « La France met 1,4 milliard d'euros pour le numérique », Clubic, 21 mars 2011. http://www.clubic.com/internet/actualite-405628-france-1-4-numerique.html (Consulté le 9 février 2015) 195 Leblal Serge, « 285 millions d'euros pour Andromède le cloud souverain français », Le Monde informatique, 21 septembre 2011. http://www.lemondeinformatique.fr/actualites/lire-285-millions-d-euros-pour-andromede-le-cloud-souverain-francais-41990.html (Consulté le 9 février 2015) 196 « Le cloud computing prend un nouveau virage », Les Échos, 7 septembre 2012. http://www.lesechos.fr/07/09/2012/LesEchos/21265-132-ECH_le---cloud-computing---prend-un-nouveau--virage-en-france.htm (Consulté le 24 février 2015)

!

81

l'échec de l'initiative qui n'a pas atteint ses objectifs197. Avec 150 millions d'investissement

engloutis et 108 millions d'euros de perte pour un chiffre d'affaires négligeable, l'initiative est

apparu comme un échec au début de l'année 2015198.

Ce projet de cloud souverain a fait l'objet de nombreuses critiques. Nous avons vu

précédemment que localiser les données sur un territoire juridique particulier pouvait donner

un faux sentiment de sécurité, porter préjudice à la nature décentralisée de l'Internet et avoir

des conséquences néfastes sur l'innovation et le développement économique. Bertrand de la

Chapelle a ainsi alerté Mme Morin-Dassailly : « Méfions-nous donc de notre propension à

renouer avec le cadre familier de la frontière ; pousser trop loin la logique de souveraineté,

notamment en militant pour des clouds nationaux, pourrait nous faire perdre une bonne part

des bénéfices que le partage des infrastructures et le cloud peuvent apporter199 ».

En outre, dès l'origine, certains ont dénoncé la création de deux acteurs différents

sur le même créneau, ainsi que l'absence de débat avec les acteurs existants. De plus, le

marché du cloud pour les entreprises connait en France une progression importante mais il ne

concerne que de faibles montants. Or, l'introduction de deux nouveaux acteurs inconnus et à

la stratégie mal-définie ne pouvait pas faire exploser la croissance. Pour Olivier Rafal,

analyste au sein du cabinet Pierre Audoin Consultants (PAC), spécialiste des questions de

cybersécurité, cet échec est « le résultat d'une méconnaissance du marché200 ».

De plus, cette initiative s'est faite au dépend des acteurs déjà implanté. Cloudwatt et

Numergy ont monopolisé la scène et divisé un peu plus un marché déjà peu important. Le

président d'Ikoulas, prestataire français de services dans le cloud a ainsi affirmé en janvier

2015 que « ces entreprises ont généré du buzz sans réellement éduquer le marché. On revient

deux ans en arrière, sauf que les acteurs américains sont devenus plus puissants et ont mieux

pénétré la France201 ». En effet, bien que Cloudwatt et Numergy aient été pensés comme des

outils concurrentiels face aux géants américains, ils ont porté préjudice aux acteurs français en !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!197 Cassini Sandrine, « Orange va reprendre 100% du capital de Cloudwatt », Les Échos, 11 janvier 2015. http://www.lesechos.fr/tech-medias/hightech/0204071994716-orange-va-reprendre-100-du-capital-de-cloudwatt-1082079.php (Consulté le 9 février 2015) 198 Henni Jamal, « Les résultats calamiteux du cloud à la française », 01.net, 26 mai 2015. http://pro.01net.com/editorial/655640/les-resultats-calamiteux-du-cloud-a-la-francaise/ (Consulté le 18 juillet 2015) 199 Morin-Desailly Catherine, Rapport d’information fait au nom de la mission commune d’information « Nouveau rôle et nouvelle stratégie pour l’Union européenne dans la gouvernance mondiale de l’Internet », 2014, p.291. 200 Auffray Christophe, « Retour vers le futur - Cloudwatt, le souverain descend de son nuage », zdnet.fr, 28 janvier 2015. http://www.zdnet.fr/actualites/retour-vers-le-futur-cloudwatt-le-souverain-descend-de-son-nuage-39813666.htm (Consulté le 18 juillet 2015) 201Ibid.

!

82

divisant un peu plus le marché, alors que la concurrence étrangère était en train d'amorcer le

virage de la proximité des données et prenait en compte les préoccupations de leurs clients

quant à la localisations et la confidentialité de leurs données.

Du point de vue de l'État, cette initiative contient également une contradiction : un

État comme la France ne participe-t-il pas à la menace contre laquelle il prétend lutter avec

son projet de cloud souverain ? Les États, via leurs agences de renseignement, participent en

effet, dans une certaine mesure, au renforcement de l’insécurité dans le cyberespace. Le

piratage de l'entreprise Hacking Team en juillet 2015 a mis en évidence la proximité de

certains États avec des prestataires de services un peu particuliers. Hacking Team est ainsi

engagé dans un débat concernant la nature de sa prestation : certains l'assimilent à un

marchand d'armes, alors que l'entreprise se défend de n'être qu'un prestataire de services

informatiques comme un autre (« un vendeur de sandwich 202 » selon son équipe de

communication). L'existence et la croissance des entreprises de cette nature sont

symptomatiques de l'industrie qui s'est développée pour répondre aux besoins croissants des

États engagés dans une cyber-surveillance203. La NSA sous-traite par exemple une part

importante de son activité à des entreprises privées. Le renforcement de la surveillance

exercée par la France sur les réseaux qui fait suite à la loi sur le renseignement de 2015

devrait également porter le secteur national dans ce domaine.

L'État français s'engage donc de manière paradoxale dans le cyberespace. D'un

côté, il participe au renforcement de la cyber-insécurité et d'un climat de méfiance néfaste

pour l'économie numérique avec la loi sur le renseignement ; de l'autre, il souhaite se

prémunir contre des menaces dont il est partie prenante en mettant en œuvre des politiques

publiques coûteuses destinées à rassurer un marché où la confiance est fondamentale.

L' « épopée » du cloud souverain est ainsi symptomatique de la difficulté de l'État à répondre

de manière cohérente à la multiplicité des défis que lui pose le développement du cyber.

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!202 Renayd Florian, « Les logiciels espions sont ils des armes ? », Le Monde, 10 juillet 2015. http://www.lemonde.fr/pixels/article/2015/07/10/les-logiciels-espions-sont-ils-des-armes_4678993_4408996.html (Consulté le 9 juillet 2015) 203 Ibid.

!

83

3.2 La « French Tech » : pour une culture de l'innovation

L'État s'est engagé depuis quelques mois dans une vaste politique de soutien à

l'économie numérique française. Pour un État confronté à un ralentissement de la croissance,

le secteur des TIC représente en effet une chance de « revitalisation204 » économique. Le plan

gouvernemental de la « French Tech », soutenu par la Banque publique d’investissements

(BPI) est ainsi destiné à promouvoir « l'excellence française » en matière de numérique et à

présenter la France comme nation connectée et innovante. L'objectif est de faire émerger des

acteurs français car, comme l'a estimé devant nous Bernard Benhamou, sans industrie

française « capable de dessiner le futur », pas de souveraineté numérique. Lors du lancement

de la « French Tech » en janvier 2014, Fleur Pellerin, à l'époque ministre déléguée à

l'Économie numérique, a d’ailleurs achevé son discours d'ouverture par exclamation

suivante : « Vive la Startup Republic, vive le French Tech, vive la France! 205 ». C'est

désormais Axelle Lemaire, en tant que secrétaire d'État au numérique, qui porte le projet.

La « French Tech » est en premier lieu un programme gouvernemental de

labellisation destinée aux territoires extérieurs à l’Île-de-France, cette dernière étant déjà

identifiée à l’étranger comme un important pôle d’activité dans le domaine des nouvelles

technologies. Les villes connectées disposant d'un écosystème numérique local et pouvant se

prévaloir d'abriter des start-up ayant réalisé des levées de fonds conséquentes peuvent

recevoir le label « Métropole French Tech ». L'objectif pour le gouvernement est de valoriser

les écosystèmes existants, de créer des « poches d'innovation206 » et de fédérer les initiatives

afin de leur donner une meilleure visibilité à l'international. Pour les détenteurs du label, il n'y

a pas d'argent à la clé, seulement la promesse d'être identifiés comme un territoire compétitif

et innovant. Une première liste des villes labellisées a été rendue publique en novembre

2014207.

La « French Tech » a ensuite été conçue comme un programme d'accélération, doté

d’un budget de 200 millions d'euros208. Ce programme doit favoriser l'émergence de clusters,

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!204 Sadin Éric, La vie algorithmique : critique de la raison numérique, Paris, l’Échappée, 278 p. 205 Tran Pierre, « Fleur Pellerin lance officiellement la French Tech », Zdnet.fr, 30 janvier 2014. http://www.zdnet.fr/actualites/fleur-pellerin-lance-officiellement-la-french-tech-39797480.htm (Consulté le 18 juillet 2015) 206 Belouezzane Sarah, « L'offensive « French Tech » d'Axelle Lemaire », Le Monde, 12 novembre 2014. http://www.lemonde.fr/entreprises/article/2014/11/12/l-offensive-french-tech-d-axelle-lemaire_4522343_1656994.html (Consulté le 18 juillet 2015) 207 Ibid. 208 Entretien de l'auteur avec Klara Peyre (6 août 2015)

!

84

ces lieux qui « rassemblent entrepreneurs, centres de recherche, fonds d'investissement, écoles

numériques, fab labs, etc.209 » et doivent servir d'accélérateur au développement des PME.

L'objectif est d'aider les petites entreprises à se hisser sur le marché international en

solidarisant les efforts des start-up françaises et en les intégrant à un écosystème plus large.

Enfin, la « French Tech » doit permettre de créer et de diffuser une identité

commune et nouvelle. L'objectif consiste à attirer les investisseurs étrangers en présentant la

France comme un « nation innovante210 » et de donner une meilleure visibilité internationale à

l'économie numérique française. Pour cela, la « French Tech » dispose de 15 millions d'euros,

destinés à amplifier la présence française sur les grands salons internationaux du type CES,

Web Summit, SXSW, etc.211 Klara Peyre, responsable des projets de promotion internationale

au sein de la « French Tech », nous a déclaré à ce propos que son plus grand défi est « de

réussir à convaincre les internationaux, et en particulier les Américains, que la France des

startup est à un "tipping point" et que les choses bougent vite212 ».

Avec l'initiative « French Tech », le gouvernement souhaite ainsi favoriser la

création de « start-up d'État ». S'il porte une attention particulière aux PME du secteur des

TIC, c'est parce qu'il sait par expérience que ces petits acteurs sont susceptibles de devenir

rapidement des géants. Le gouvernement souhaite donc créer une dynamique française qui

soit durable et qui puisse porter l'excellence française vers les territoires numériques qui

restent à conquérir. Le gouvernement peut déjà se réjouir : au Consumer Electronic Show

(CES) de Las Vegas213, la France représentait le deuxième délégation la plus importante après

celle des États-Unis214. À cette occasion, la presse américaine n'a pas hésité à vanter les

mérites et les capacités d'innovation des acteurs français215. Pour autant, il faut attendre la fin

de l'année 2015 pour tirer un bilan de l'initiative « French Tech », l'année 2014 ayant été

consacrée à la mise en place du projet216.

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!209 Grallet Guillaume, « Gilles Babinet : "Seules les start-up les plus rapides s'en sortiront" », Le Point, 29 décembre 2014. http://www.lepoint.fr/technologie/gilles-babinet-seules-les-start-up-les-plus-rapides-s-en-sortiront-29-12-2014-1892940_58.php#xtor=CS2-239 (Consulté le 2 juin 2015) 210 Belouezzane Sarah, « L'offensive "French Tech" d'Axelle Lemaire », op. cit. 211 Entretien de l'auteur avec Klara Peyre (6 août 2015). 212 Ibid. 213 Avec 17 500 participants, il s'agit du premier salon mondial consacré à l'innovation technologique. 214 Manenti Boris, « La "French Tech", star du CES de Las Vegas », L'Obs, 13 janvier 2015. http://tempsreel.nouvelobs.com/economie/20150109.OBS9577/la-french-tech-star-du-ces-de-las-vegas.html (Consulté le 18 juillet 2015) 215 Gilbert Jason O., « France is absolutely crushing it at CES », Yahoo!, 5 janvier 2015. https://www.yahoo.com/tech/france-is-absolutely-crushing-it-at-ces-107251174669.html (Consulté le 18 juillet 2015) 216 Entretien de l'auteur avec Klara Peyre (6 août 2015).

!

85

Si la « French Tech » est une manière pour l'État de saisir l'opportunité économique

de la révolution numérique, la persistance d'un régime fiscal inadapté a été dénoncé comme

un frein aux objectifs poursuivis. Gilles Babinet a ainsi dénoncé les handicaps fiscaux dont

souffrent les start-up françaises du numérique. Les investissements dans une résidence

principale ou dans les œuvres d'art sont, par exemple, exonérés à hauteur de 30% pour l'un et

100% pour l'autre, alors qu’il s’agit d’investissements non-productifs, en ce sens où ils ne

créent ni richesse ni emploi. A contrario, l'investissement dans une start-up est légalement

limité à 50 000 euros et le taux d'abattement fiscal est de 50%217. Gilles Babinet pointe ainsi

du doigt les incohérences du régime fiscal français qui défavorise le seul secteur économique

qui soit réellement pourvoyeur de création d'emplois et porteur de croissance sur le long

terme.

Klara Peyre nous a invités à relativiser ces déclarations. Une partie de son travail

consiste à changer les représentations considérant la France comme pays peu compétitif :

« Beaucoup d’idées reçues sont toujours à combattre, comme le fait que les Français ne

travaillent pas beaucoup et que nos taxes sont très élevées (alors que les Français sont parmi

les plus productifs du monde, que notre système fiscal est de plus en plus compétitif et qu’un

grand nombre de subventions et de programmes existent, notamment pour les

entrepreneurs) ». Et d'ajouter que si « certains dénoncent les contraintes fiscales, d’autres

(Niel par exemple) présentent la France comme un paradis fiscal pour les start-up ». Les

différentes mesures prises par le gouvernement ces derniers mois pour soutenir

l'innovation en témoignent : le crédit d’impôt recherche (CIR) grâce auquel un ingénieur

français est aussi productif qu’un homologue de la Silicon Valley, mais pour un budget deux

fois moins important ; l'assouplissement du code du travail ; la possibilité offerte depuis 2013

aux start-up de se financer grâce à une opération de crowdfunding, à hauteur maximale de 1

million d'euros, etc218.

Il faut néanmoins constater que l'État français, sur la période allant du mois de

janvier 2014 à celui de 2015, se sera engagé selon deux axes distincts pour défendre sa

souveraineté numérique. L'un concerne la sécurité nationale avec la loi sur le renseignement ;

l'autre concerne le développement économique avec la « French Tech ». Or ne s'agit-il pas là

de deux investissements contradictoires, compte-tenu des impacts négatifs connus qu'une telle

loi ne va pas manquer d'avoir sur le secteur économique ? Quoi qu'il en soit, ces deux

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!217 Grallet Guillaume, « Gilles Babinet : "Seules les start-up les plus rapides s'en sortiront" », op. cit. 218 Entretien de l'auteur avec Klara Peyre (6 août 2015).

!

86

initiatives aux effets contradictoires dénotent de la difficulté pour les décideurs à adopter une

vue d'ensemble cohérente sur les différents enjeux (sécuritaires, économiques, politiques, etc.)

qu'impose la transformation numérique.

Quentin'Lenormand.'Avril'2015

200

km

N

La'mission'«'French'Tech'»':'

un'programme'national'de'

labellisations'régionales

«'Écosystèmes'thématiques'

remarquables'»'labellisés'en'juin'2015'

«'Métropoles'French'Tech'»'

labellisées'en'novembre'2014

«'Métropoles'French'Tech'»'

labellisées'en'juin'2015...

Brest&Tech&Plus

Normandie&

French&Tech

Lor’NTech

French&Tech&Côte&d’Azur

Bordeaux

Toulouse

Montpellier Aix.Marseille

Nantes

Rennes

Lille

Lyon Grenoble

Océan&Atlantique

Mer&

Méditerranée

Technologies'médicales'

(Med&Tech&Alsace)

Technologies'et'culture'

(CultureTech,'Avignon)

Technologies'et'design'(Design&Tech,'

Saint.Étienne)

'Objets'connectés'(IoTBTech,'Anger)

1. 2. 3. 4.

1.

2.3.

4.

Paris,'siège'de'la'French'Tech

...et'regroupées'en'

«'écosystèmes'numériques'»

1.'Une'initiative'gouvernementale...

2.'pour'mettre'en'valeur'les'acteurs'régionaux...

3.'...et'assurer'l’avenir'technologique'de'la'France

L’Île'de'France'(labellisée'd’office)':'

«'base'avancée'»'des'territoires'labellisés'

Source':'French'Tech

!

88

3.3 La cybersécurité française

Le fonctionnement de l'économie dépendant de plus en plus des capacités de

résistance aux agressions informatiques, la cybersécurité a été élevée au rang de priorité

stratégique par le gouvernement. L'émergence d'une « France connectée » et investie dans

l'économie numérique ne sera possible que si l'État est en mesure d'assurer la sécurité

informatique du pays.

L'investissement de l'État dans la cybersécurité vise aussi bien à soutenir les

administrations que les entreprises et les citoyens. Dans le cyberespace, les logiques publiques

et privées sont en effet entremêlées dans une dimension stratégique. La défense des réseaux

informatiques nécessaires au fonctionnement de l'économie représente ainsi un enjeu de

souveraineté.

En France, c'est l'Agence Nationale de Sécurité des Systèmes d'Information

(ANSSI) qui est chargée d'assurer la cybersécurité nationale depuis sa création en juillet

2009219. Héritière des services du chiffre qui dépendaient autrefois de l'autorité militaire,

l'ANSSI est rattachée au Secrétariat Général de la Défense et de la Sécurité Nationale

(SGDSN), dépendant du Premier ministre. Elle constitue donc une organisation

interministérielle en phase avec la particularité transversale du cyber.

Mais c'est depuis le 11 février 2011 que l'ANSSI occupe la fonction d'autorité

nationale de défense des systèmes d'information. Pour des raisons juridiques, l'État avait alors

besoin d'une entité chargée d'édicter des règles au sein de l'administration, mais également

vis-à-vis des opérateurs privés. Ce fut chose faite avec le décret du Premier ministre du 11

février 2011220. Depuis, l'ANSSI (désormais dirigée par Guillaume Poupard) contribue à la

sécurité de l'ensemble des systèmes d'information couvrant le territoire national contre les

trois types de menace que sont l'espionnage, à visée généralement économique, la

déstabilisation et le sabotage.

L'action de l'ANSSI se déploie autour de trois axes. Le premier est destiné à lutter

contre la cybercriminalité en améliorant la réactivité nationale, fondamentale afin de limiter

une trop grande infection en cas d'attaque informatique. Compte-tenue de la complexité des

attaques, il est nécessaire que l'analyse de l'intrusion soit laissée à des professionnels !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!219 Décret n°2009-834 du 7 juillet 2009 (Journal officiel du 8 juillet 2009). 220 Audition de M. Patrick Pailloux, directeur général de l’ANSSI, Assemblée nationale, Commission de la défense nationale et des forces armées, mercredi 1er juin 2011. http://www.assemblee-nationale.fr/13/ cr-cdef/10-11/c1011041.asp#P6_249 (consulté le 12 janvier 2015).

!

89

expérimentés. L'agence dispose pour cela d'un Centre Opérationnel de la Sécurité des

Systèmes d'Information (COSSI) qui est chargé de la détection et de la surveillance

permanente des réseaux sensibles. Ce centre opérationnel travaille ainsi sur des mécanismes

de défense adaptés aux attaques, ce qui n'est pas toujours facile à mettre en œuvre puisqu'une

attaque bien conçue n'est pas toujours visible.

Les menaces contre lesquelles l'ANSSI est chargée de lutter sont variées. Cela

concerne les sabotages (destinés à empêcher un site Internet de fonctionner), les escroqueries

en ligne (destinées à voler de l'argent), les attaques en déni de service distribué (destinées à

porter atteinte au bon fonctionnement d'un site Internet ou d'une plate-forme de service en

ligne) et les exploitations de failles informatiques (destinées à modifier, introduire, supprimer

ou voler des données).

Le deuxième volet de l'action de l'ANSSI concerne sa contribution à la recherche,

au développement et à la promotion de technologies de sécurité. Cela consiste à identifier des

prestataires de confiance dans le domaine de la cybersécurité et à les assister dans la

conception de leurs produits. Afin que ces choix aient une visibilité, l'ANSSI labellise les

produits qu'elles a testés. Elle explique également aux acheteurs la méthode à adopter pour

sélectionner des produits qualifiés dans le cadre de marchés publics.

En identifiant et en déterminant les besoins de l'administration et de certaines

entreprises, l'Agence permet aux prestataires de développer des produits adaptés aux enjeux et

aux risques auxquels sont confrontés les demandeurs, qu'ils soient privés comme publics.

Certaines PME peuvent ainsi proposer des produits pour les marchés publics, ce qui leur est

par ailleurs bénéfique, puisque cela dote les sélectionnés d'une référence qui peut avoir une

valeur à l'export.

Le troisième et dernier volet concerne la mission de sensibilisation aux risques

d'origine informatique de l'ANSSI auprès de tout ceux qui constituent ou pourraient constituer

une cible pour les pirates informatiques : cela concerne l'État et ses administrations, les

entreprises, les collectivités territoriales, les ONG et les citoyens.

À l'échelle individuelle, les citoyens français sont généralement victimes

d'escroqueries : les pirates informatiques reproduisent les pages Web d'entités administratives

connues afin de mettre en confiance leurs victimes, pour ensuite leur soutirer de l'argent.

L'objectif de l'ANSSI est de détecter ces sites de « filoutage221 », de les fermer lorsque cela

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!221 Wolf Philippe, Vallée Luc, op. cit., p.789.

!

90

est possible, tout en conservant des indices qui permettront aux enquêteurs de remonter aux

commanditaires des ces attaques.

Les entreprises sont quant à elles confrontées à la menace d'un vol massif de leurs

données. Pour accompagner les entreprises dans la gestion du risque, l'ANSSI a publié un

manuel d' « hygiène informatique222 » et plus récemment un guide des bonnes pratiques

destiné aux PME223. Cette littérature doit aider les acteurs privés dans la mise en place d'une

cybersécurité adéquate. En effet, celle-ci représente un investissement particulier pour une

entreprise : il s'agit d'une mesure globale qui concerne l'ensemble des strates de son

organisation et qui doit être constamment entretenue et optimisée.

La sensibilisation à ce risque est fondamentale car les vols de données peuvent

conduire à la disparition pure et simple d'une entreprise, ce qui à terme portera atteinte à la

puissance économique française. La cybersécurité est donc devenue une nécessité. Les acteurs

visés par ces attaques sont prioritairement les start-up technologiques mais également les

entreprises travaillant dans un environnement international. Au delà de la recherche de

renseignements destinés à fournir un avantage concurrentiel, dans le cadre de la guerre

économique, la concurrence déloyale peut être à l'origine d'une attaque visant à désorganiser

ou à endommager les systèmes d'information d'une entreprise concurrente224. Ces risques

représentent donc une perte de compétitivité et une atteinte majeure à la souveraineté

économique française. Pour un État tel que la France, souhaitant relancer l'économie par la

croissance du secteur des TIC, la sécurité informatique représente donc un enjeu stratégique.

Afin d'améliorer la prise de conscience des risques informatiques, l'ANSSI milite

également pour la « judiciarisation » des cyberattaques225. Elle invite pour cela les acteurs

économiques victimes d'attaques informatiques à les signaler et le cas échéant à porter plainte.

La limite de cette démarche tient au fait que le piratage d'une entreprise constitue une atteinte

à son image et donc à sa compétitivité. Les attaques informatiques, lorsqu'elles sont par

ailleurs détectées, ne sont donc souvent pas rapportées.

L'ANSSI est donc avant tout une autorité coordinatrice chargée d'encadrer le

marché de la cybersécurité. Elle définit pour cela les besoins des acteurs concernés, teste les !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!222 ANSSI, Guide d’hygiène informatique, Paris, janvier 2013, 50 p. http://www.ssi.gouv.fr/uploads/IMG/pdf/guide_hygiene_informatique_anssi.pdf (consulté le 4 août 2015) 223 ANSSI, CGPME, Guide des bonnes pratiques de l’informatique, 12 règles essentielles pour sécuriser vos équipements numériques, Paris, mars 2015, 44 p. http://www.ssi.gouv.fr/uploads/2015/03/guide_cgpme_bonnes_pratiques.pdf (consulté le 3 août 2015) 224 Interview de Guillaume Poupard par Jacob Marc et Lamandé Emmanuelle, « PME: 12 règles essentielles pour accroître le niveau de sécurité », Global Security Mag, 2 trimestre 2015, p.16 225 Interview de Guillaume Poupard par Marc Jacob et Emmanuelle Lamandé, op. cit., p.16.

!

91

produits informatiques proposés, les certifie et assiste les acteurs dans la mise en œuvre de

leur cybersécurité. La sécurité des systèmes d'information des entreprises et de la majorité des

administrations est généralement externalisée (c'est-à-dire qu'elle est assurée par des

prestataires privés). Compte-tenu de la sensibilisation croissante aux risques informatiques et

de la structuration du marché de la cybercriminalité, la cybersécurité représente un marché en

expansion : + 8% pour la France en 2013, atteignant un volume de 1,3 milliard d'euros226.

Le marché français de la cybersécurité compte quelques acteurs de poids dans le

secteur des logiciels et des services. Tous ont profité en 2013 de la croissance du marché,

comme le montre le tableau produit ci-après. Nous observons ainsi une croissance générale de

l’activité, même dans le cas d’Atos, dont la baisse du chiffre d'affaires est due à son rachat par

Bull. Néanmoins, ces acteurs peinent encore à sortir de leur cadre national pour se développer

à l'étranger.

Quoi qu'il en soit, le marché de

la cybersécurité devrait être porté, à

moyen et long terme, par le

développement de l'Internet des Objets, de

la robotique et de l'extension générale de

la sphère informatique par la

généralisation des capteurs, ce qui ne

manquera pas de créer de nouvelles

vulnérabilités. Dans les années à venir, la

croissance du risque devrait donc renforcer

les discours revendiquant un renforcement

de la souveraineté numérique française.

Figure 3 : chiffres d'affaires et marges de

progression des entreprises françaises de

cybersécurité pour l'année 2013

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!226 Cassini Sandra, « La cybersécurité, un marché juteux qui fait des émules », Les Échos, 19 février 2014. http://www.lesechos.fr/19/02/2014/LesEchos/21630-096-ECH_la-cybersecurite--un-marche-juteux-qui-fait-des-emules.htm (Consulté le 2 août 2015)

!

92

Chapitre 3

L’enjeu informationnel et culturel

de la souveraineté numérique

1. Les leaders du secteur des TIC : une menace pour le modèle social européen ?

1.1 L'accès à la connaissance

Dans son rapport intitulé « l'Union européenne, colonie du monde numérique ? »

la sénatrice Morin-Desailly écrit que le défi du numérique relève également de « la difficile

sauvegarde de l'esprit européen dans le monde numérique227 ». Certains acteurs européens

considèrent en effet que la domination de certaines entreprises américaines sur le marché des

TIC ne représente pas qu'une menace d'ordre économique, en mettant en péril l'innovation et

la capacité des petits acteurs européens à devenir des champions, mais constitue également un

défi culturel et identitaire pour le Vieux Continent. Sur quels éléments se base la perception

de cette menace ?

Nous avons vu dans notre deuxième partie que l'un des objectifs stratégiques

poursuivis par les entreprises américaines dominant le marché des services en ligne était

d'agglomérer un maximum d'utilisateurs. Cette agglomération est renforcée par le fait que

plus ces services sont utilisés par les internautes, plus ils sont performants ; plus ils sont

performants, plus ces entreprises se positionnent de manière avantageuse face à la

concurrence et sont en mesure d'agglomérer de nouveaux utilisateurs : il s'agit donc d'un

cercle vertueux qui renforce avec le temps la position hégémonique de ces acteurs. Ils

disposent ainsi aujourd'hui de centaines de millions d'utilisateurs qui utilisent leurs services

pour accéder et diffuser des informations. En indexant ces informations sur leurs moteurs de

recherche ou en mettant à la disposition des internautes une importante documentation, ces

entreprises jouent donc un rôle central dans la numérisation et dans la diffusion du patrimoine

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!227 Morin-Desailly Catherine, Rapport d'information fait au nom de la commission des affaires européennes sur l’« Union européenne, colonie du monde numérique ? », op. cit., p.61.

!

93

culturel (le projet de Google est d'ailleurs d'« organiser les informations à l'échelle

mondiale228 »).

Cette position a été dénoncée pour plusieurs raisons. D'abord parce que cette

maitrise de l'information n'est soumise à aucun contrôle. Google propose par exemple des

fiches thématiques sur certaines toiles exposées dans divers musée du monde, dans le cadre de

son Google Art Project229, qui s'inscrit dans l'initiative culturelle de la firme californienne, le

Cultural Institut230. Or ces notices sont écrites par des employés de Google qui n'ont pas eu à

répondre de certaines compétences en Histoire de l'art et ne se référent à aucun courant

universitaire. Pourtant, ces notices sont à la disposition de millions de personnes et pourraient

demain représenter une source majeure d'informations. Google remet ainsi en question les

compétences de corps de métiers autrefois considérés comme des référents : aujourd'hui dans

le domaine de la recherche universitaire, demain dans le domaine médical par exemple, avec

son service de consultation en ligne231.

Ces acteurs sont ensuite en mesure de supprimer des informations quand cela leur

semble nécessaire. Or cette censure est déterminée par des représentations propres à la culture

de ces entreprises : Facebook a par exemple censuré des reproductions photographiques de

peintures classiques représentant des nus232. De même, Apple a refusé de commercialiser la

version numérique de la bande-dessinée Lucky Luke : en remontant le Mississipi au motif que

les Noirs était représentés de manière dégradante233. L'indexation des informations par les

moteurs de recherche, de même que la mise à disposition ou non d'une information, ne

constituent donc pas des actes neutres mais servent au contraire des fonctions économiques :

Page Rank, l'algorithme originel du moteur de recherche de Google, classe par exemple les

résultats en fonction de critères liés à la rentabilité publicitaire. La disponibilité de certaines

informations est ainsi déterminée par les valeurs culturelles particulières de ces entreprises,

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!228 https://www.google.com/intl/fr/about/ 229 https://www.google.com/culturalinstitute/u/0/project/art-project?hl=fr (Consulté le 1er août 2015) 230 https://www.google.com/culturalinstitute/u/0/home 231 « Google se lance dans les consultations en ligne », Pourquoi Docteur, 14 octobre 2014. http://www.pourquoidocteur.fr/Articles/Question-d-actu/8247-Google-se-lance-dans-les-consultations-medicales-en-ligne (Consulté le 2 août 2015) 232 Paulet Alicia, « L'Origine du monde censurée : Facebook au tribunal », Le Figaro, 22 janvier 2015. http://www.lefigaro.fr/arts-expositions/2015/01/22/03015-20150122ARTFIG00410--l-origine-du-monde-censuree-facebook-au-tribunal.php (Consulté le 1er août 2015) 233 Payot Marianne, « "Le déclin de la librairie n'est pas inéluctable" », L'Express, 19 mars 2014. http://www.lexpress.fr/culture/livre/le-declin-de-la-librairie-n-est-pas-ineluctable_1500937.html (Consulté le 1er août 2015)

!

94

devenues des acteurs de première importance dans le processus de transformation culturelle

qui est en cours.

Le risque est donc bien réel pour la France et l'Europe de voir leurs valeurs

culturelles s'altérer face à l'influence des entreprises américaines des TIC. Les représentations

européennes et américaines différent en effet considérablement sur certains sujets. En Europe,

le respect de la vie privée, c'est-à-dire le droit de chaque individu à dissimuler une part de son

existence, est par exemple fondamental, pour des raisons historiques, mais aussi

philosophiques qui différent des représentations américaines. Catherine Morin-Desailly voit

par exemple dans cette vulnérabilité une menace contre l'identité et la diversité culturelle

européennes234.

Cette dernière, en considérant le défi de la transformation numérique selon ses

aspects à la fois politiques, économiques et culturels, semble avoir acté de la nature

transversale de ces changements. De même que Catherine Morin-Desailly a parlé de risque de

colonisation, Laurent Bloch a développé une analogie entre la Guerre de l'Opium qui eut lieu

en Chine au XIXe siècle, et l'actuelle hégémonie de Google en Europe (même si

« comparaison n'est pas raison » selon ses propres termes). À l'époque, la Chine avait refusé

les relations commerciales que l'Angleterre lui avait proposées, car elle ne croyait ni aux

bienfaits ni au bienfondé du système capitaliste dont les Occidentaux étaient alors porteurs.

Ces derniers affaiblirent donc la Chine en diffusant de l'opium parmi la population et c'est sur

cette faiblesse qu'ils bâtirent ensuite leur domination économique, qui, à terme, eut raison du

régime politique impérial chinois235. La domination des GAFA sur une Europe qui ne croyait

pas au progrès induit par le numérique est donc désignée comme une menace prioritaire, car

en plus de perdre sa capacité à créer des richesses, l'UE pourrait voir son avenir politique lui

échapper et être pris en main par des acteurs étrangers.

1.2 Les États face au risque d'obsolescence politique

Au delà du défi culturel, les États sont confrontés à une urgence beaucoup plus

prégnante : il s'agit de leur possible obsolescence face au développement, par les acteurs !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!234 Morin-Desailly Catherine, Rapport d'information fait au nom de la commission des affaires européennes sur l' « Union européenne, colonie du monde numérique ? », op. cit., p.62. 235 « La donnée n’est pas donnée - Stratégie & Big Data », intervention de M. Laurent Bloch, colloque du 23 mars 2015.

!

95

privés de l'Internet, d'outils numériques plus performants que ceux proposés par les États dans

la gestion des affaires publiques.

Google considère que son activité ne vise pas seulement à augmenter sa rentabilité

et à accroitre son chiffre d'affaires, mais pour ces dirigeants, il s'agit également de diffuser

une idéologie. Dans son ouvrage intitulé, « The New Digital Age236 » qu'il a écrit avec Jared

Cohen 237 , Eric Schmidt, président exécutif du conseil d’administration d’Alphabet

(anciennement Google), développe la théorie selon laquelle la technique finira par tout

remplacer. Les États sont dépassés pour résoudre les grands problèmes du XXIe siècle, tels

que le changement climatique, la pauvreté, les pandémies ? Google souhaite apporter des

réponses technologiques à tous ces maux : elle propose de résoudre le problème de la

régulation routière avec sa Google Car, de la pollution avec ses énergies vertes, des défis

relatifs à la santé publique avec ses technologies (elle fabrique par exemple des lentilles de

contacts pour diabétiques qui rétablissent automatiquement le taux de glycémie238). De même,

la start-up Modern Meadow associe des cultures de cellules à une imprimante 3D afin de

produire de la nourriture artificielle, ce qui à terme doit résoudre le problème de la faim dans

le monde239. « Si nous nous y prenons bien, je pense que nous pouvons réparer tous les

problèmes du monde » a ainsi déclaré Eric Schmidt en octobre 2012240.

Les cas mentionnés ne constituent pas des éléments isolés dans la Silicon Valley,

où la majorité des entreprises américaines spécialisées dans les TIC s'est installée. Tout un

courant d'idées considère que les modes de gouvernance sous leur forme actuelle reposent sur

un modèle désuet. En 2011, Peter Thiel, le fondateur de PayPal, a par exemple lancé un projet

visant à créer une colonie maritime libertarienne, pour des raisons écologiques et énergétiques

mais également pour des raisons politiques : Peter Thiel voit dans cette expérience une

occasion de revoir les formes de « gouvernance traditionnelle241 ».

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!236 Schmidt Eric, Cohen Jared, The new digital age, reshaping the future of people, nations and business, New-York, Knopf, 2013, 336 p. 237 Jared Cohen a travaillé au secrétariat d'État américain avant de devenir directeur du think tank de Google, Google ideas. 238 « Youpi ! google va remplacer les États ! », Nouvel Obs, 2 mai 2015. http://bibliobs.nouvelobs.com/essais/20150402.OBS6293/youpi-google-va-remplacer-les-etats.html (Consulté le 28 juillet 2015) 239 Georges Benoît, « La Silicon Valley peut-elle sauver l'humanité », Les Échos, 22 octobre 2014. http://www.lesechos.fr/22/10/2014/LesEchos/21798-035-ECH_la-silicon-valley-peut-elle-sauver-l-humanite--.htm (Consulté le 9 juin 2015) 240 Ibid. 241 Smith Cooper, « Peter Thiel, PayPal founder, funds "Seasteading" libertarian sea colony », The Huffington Post, 18 octobre 2011. http://www.huffingtonpost.com/2011/08/18/peter-thiel-seasteading_n_930595.html

!

96

Au delà de ces déclarations, quels crédits pouvons nous accorder à ces prises de

position ? Les entreprises de la Silicon Valley représentent-elles une menace réelle pour les

formes de gouvernance actuelles ou s'agit-il de simples utopies ?

En réalité, compte-tenu de leur contrôle sur l'accès à la connaissance, ces acteurs

pourraient bien un jour remplacer les États en proposant des solutions plus efficaces et plus

économiques aux problèmes auxquels ils sont confrontés. De même, la puissance financière

dont ils disposent renforce considérablement leur pouvoir vis-à-vis des États.

De ce point de vue, le journaliste Frédéric Charles a effectué une comparaison

intéressante en avril 2013 : avec un chiffre d'affaires de près de 50 milliards de dollars,

Google serait le 76e État du monde par comparaison du PIB, soit à égalité avec l'Uruguay.

Rapporté au nombre de salariés, cela représente près d'un million de dollars produits par

chaque employé, alors que le Qatar est le pays du monde où le PIB par habitant est le plus

élevé avec 88 000 $ par habitant. Google, avec ses données, crée donc onze fois plus de

richesse que le Qatar n'en produit en exploitant ses puits de pétrole242. Avec l'Internet des

objets, la quantité de données devrait exploser ; de même, l'automatisation et la

synchronisation des interactions devraient être améliorées. Les entreprises dont le modèle

d'affaires est basé sur l'exploitation et la monétisation des données peuvent donc, pour le

moment, envisager l'avenir avec optimisme.

Le contrôle de l'accès à la connaissance, que nous avons déjà évoqué dans la

section précédente, constitue le deuxième pilier sur lequel reposent les capacités de gestion de

ces acteurs privés. Le moteur de recherche Google met en relation une offre et une demande

d'information. Utilisé par des centaines de millions d'individus, il offre à l’entreprise

californienne une visibilité sur les préoccupations des internautes. En 2008, sur la base des

requêtes effectuées à partir de son moteur de recherche, Google a par exemple été capable de

prédire une épidémie de grippe aux États-Unis, et cela bien avant les services de santé243.

Avec le développement de l'intelligence artificielle et de la robotique, des données seront

produites partout et toujours et leur analyse permettra de comprendre et de maitriser des

phénomènes toujours plus complexes. Le risque pour les États est donc de voir les entreprises

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!242 Charles Frédéric, « Google, la start-up qui voulait se faire aussi grosse qu'un État », Zdnet.fr, 27 avril 2013. http://www.zdnet.fr/actualites/google-la-startup-qui-voulait-se-faire-aussi-grosse-qu-un-etat-39789878.htm (Consulté le 28 juillet 2015) 243 Huet Sylvestre, « Google détecte les épidémies de grippe plus vite que les réseaux médicaux », Libération, 20 novembre 2008 http://sciences.blogs.liberation.fr/home/2008/11/google-dtecte-l.html. (Consulté le 1er juillet 2015) Les résultats ont néanmoins été revus depuis. La méthodologie adoptée par Google aurait en effet conduit à surestimer le nombre de malades.

!

97

des TIC se substituer à eux dans la gestion des affaires publiques en proposant des outils

technologiques plus performants.

Certaines plates-formes en ligne concurrencent déjà les États en proposant des

services plus efficaces que ceux mis à la disposition des internautes par les administrations

publiques : un moteur de recherche met par exemple gratuitement à la disposition de ses

usagers de la documentation et des capacités de stockage et de calcul. De même, en proposant

des solutions dans le domaine de la santé, ou de l'éducation, ces entreprises remplissent des

fonctions traditionnellement dévolues aux acteurs publics.

Fortes de leur puissance financière, de leurs capacités technologiques et de leurs

connaissances des internautes, les entreprises de la Silicon Valley n'hésitent pas à défier les

États (qu'ils considèrent comme de simples marchés nationaux). Le cas d'Uber illustre le peu

de cas que ces acteurs privés peuvent faire des souverainetés. Avec son application

« UberPop », l'entreprise californienne offre la possibilité à chaque particulier de devenir

chauffeur de taxi sans avoir à payer de licence et sans que l'entreprise ne paie les charges

sociales auxquelles sont soumises les compagnies de taxis professionnels. Cette application

offre donc la possibilité à tout un chacun de pratiquer une activité réglementée en dehors de

son cadre légal244.

De plus, l’entreprise Uber fait le choix de s'affranchir de la loi dans de nombreux

pays où elle s'installe malgré les interdictions. Les chauffeurs/utilisateurs sont par exemple

invités à continuer leur activité, même en cas de poursuite judiciaire. L’entreprise leur garantit

en effet une assistance juridique et s'engage à couvrir leurs frais d'avocat, ainsi que les

possibles amendes. Uber a donc intégré dans son modèle d’affaires les coûts afférents au non-

respect de la loi. Or, comme le remarque Jean-Baptiste Jacquin, cette stratégie « crée un

précédent dans le monde des affaires où le respect du droit est une contrainte censée être

acceptée par tous245 ».

Ces acteurs privés américains considèrent donc que les outils technologiques

peuvent résoudre l'ensemble des problèmes auxquels l'humanité est confrontée : « Nous

refusons les rois, les présidents et les votes. Nous croyons au consensus approximatif et au

code qui marche » a ainsi déclaré David Clark, le créateur du protocole TCP/IP246. Evgeny

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!244 Jacquin Jean-Baptiste, « La stratégie de hors la loi d'Uber », Le Monde, 17 juin 2015, p.12. 245 Ibid. 246 Morin-Desailly Catherine, Rapport d’information fait au nom de la mission commune d’information « Nouveau rôle et nouvelle stratégie pour l’Union européenne dans la gouvernance mondiale de l’Internet », 2014, p.89.

!

98

Morozov a désigné ce courant de pensée sous le terme de « solutionnisme », dont il a par

ailleurs dénoncé « l’aberration » dans son ouvrage « pour tout résoudre cliquez ici247 ».

Dans le domaine de l'éthique, le solutionnisme se décline par le

« transhumanisme ». Grâce aux possibilités offertes par la nanotechnologie, l'intelligence

artificielle, la robotique et la bio-ingénierie, le « transhumanisme » souhaite améliorer la

résistance du corps humain, grâce à des prothèses intelligentes par exemple, et à supprimer les

« bugs » que la nature a imposé à l'espèce humaine tels que la mort, la vieillesse et la maladie.

C'est dans cette optique que Google a recruté au poste de « director of engineering » Ray

Kurzweill, pionnier historique de l'intelligence artificielle248.

Le risque de capture du pouvoir par une élite technophile qui serait en mesure

d'imposer ses règles et ses normes aux sociétés humaines est donc une réalité pour les États.

Comme le fait remarquer Evgeny Morozov dans un article publié dans le journal The

Guardian249 : « si la régulation algorithmique apporte les réponses aux problèmes de la

société, quelle sera alors la place pour les gouvernements ? » Pour les pouvoirs publics, le

risque est de donc devenir inutile au développement et à la régulation de la vie en société, puis

de voir leurs citoyens se détourner d'eux au profit d’acteurs privés mieux à même de répondre

à leurs besoins. À terme, les États-nations tels que nous les connaissons sous leur forme

actuelle pourraient donc bien disparaitre faute d'avoir su s'adapter à la « smartification » du

monde.

Ce défi est identifié comme un véritable enjeu de souveraineté car il remet en question

la capacité des décideurs politiques à maitriser l'avenir des sociétés dont ils ont la

responsabilité. C'est pour appuyer l'importance de ces enjeux que la députée Corinne Erhel a

affirmé publiquement que « la souveraineté numérique se pose à moyen terme et pour les

siècles à venir. La rupture est civilisationnelle. Lorsque notre humanité sera confrontée au

développement des technologies de l’information, à l’intelligence artificielle, aux

technologies du vivant, c’est un autre monde, une autre humanité qui seront devant nous.

C’est peut-être la première fois dans l’histoire de l’humanité que nous pourrons maîtriser un

tant soit peu le processus d’évolution. Nous verrons jusqu’à quel point. C’est le monde de

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!247 Morozov Evgeny, L’aberration du solutionnisme technologique. Pour tout résoudre cliquez ici, Limoges, FYP, 350 p. 248 Georges Benoît, « La Silicon Valley peut-elle sauver l'humanité », op. cit. 249 Morozov Evgeny, « The rise of data and the death of politics », The Guardian, 20 juillet 2014. http://www.theguardian.com/technology/2014/jul/20/rise-of-data-death-of-politics-evgeny-morozov-algorithmic-regulation (Consulté le 1er août 2015)

!

99

Terminator qui nous attend250 », en référence au film de science-fiction mettant en scène un

programme informatique « intelligent » qui devient autonome et décide d’éradiquer l’espèce

humaine.

Dès lors, quelles sont les mesures engagées par les acteurs afin d'assurer la

préservation de l'État de droit face aux défis politiques et culturels imposés par le

développement du numérique ?

2. Les initiatives pour la sauvegarde de l'esprit européen

2.1 La protection des données

Dans le projet de sauvegarde de l'esprit européen, l'Union européenne a été

identifiée comme l'échelle adéquate dans le domaine de la protection des données. Si la

réforme du cadre européen en la matière est apparue comme une nécessité à la suite des

révélations de Snowden, elle constitue une préoccupation ancienne pour les États européens.

En effet, pour des raisons historiques, la collecte à grande échelle de données personnelles

éveille encore en Europe le souvenir des totalitarismes. La protection des données constitue

donc une part importante de l'agenda numérique européen. Aussi en janvier 2012, une vaste

réforme des règles en matière de protection des données a été amorcée avec pour objectif de

renforcer le droit de chacun à contrôler ses données personnelles en uniformisant les

législations nationales251.

L'importance du contrôle des données dans le cyberespace tient d'abord au fait

qu'elles constituent la matière première de l'économie numérique ; ensuite parce qu'elles

constituent un avantage stratégique pour ceux qui les possèdent ou les contrôlent. Cela est

d'autant plus vrai qu'avec l'avènement de l'Internet des objets et la généralisation du Big Data

(c'est-à-dire le traitement automatisé des données), la quantité comme la qualité des données

va considérablement augmenter. Mais l'importance des données tient également à la maitrise

de l'information dans le cyberespace. Or, les acteurs européens ont perdu le contrôle sur ces

éléments stratégiques, que ce soit à l'échelle institutionnelle, entrepreneuriale ou individuelle. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!250 Erhel Corinne, Synthèse des 2es assises de la Souveraineté Numérique, 2015, p.30. 251 Commission européenne, Protection des données à caractère personnel, http://ec.europa.eu/justice/data-protection/index_fr.htm, 4 juillet 2015. http://ec.europa.eu/justice/data-protection/index_fr.htm (Consulté le 1er août 2015)

!

100

Cette situation a été identifiée comme une perte de souveraineté, les risques étant de porter

atteinte aussi bien à la puissance économique européenne qu'à son identité culturelle.

Afin d'assurer leur contrôle sur les données produites par les internautes

européens, les États-Unis disposent d'un instrument : leur législation extraterritoriale. Pour

utiliser les plates-formes de services en ligne, généralement gratuites, (secteur dominé par les

acteurs américains) les utilisateurs doivent s'inscrire et accepter des Conditions Générales

d'Utilisation (CGU) non-négociables. À la lecture des CGU, on observe que l'utilisateur est

soumis au droit américain, plus précisément californien puisque la plupart des sièges sociaux

des entreprises en question y est basée. Un citoyen français peut ainsi devenir un justiciable

américain.

Certes, les règlements européens Bruxelles I et Rome I empêchent une entreprise

de priver un consommateur de la protection de sa législation nationale. La justice française a

ainsi reconnu dans l'arrêt Sébastien R. contre Facebook que les clauses de l'entreprise n'étant

pas claires, son consentement n'était pas valable 252 . Si ces dispositions tempèrent la

domination américaine par le droit, nous avons vu qu'un cadre légal ne constituait pas une

garantie de protection des données produites en Europe à partir du moment où celles-ci étaient

stockées sur le territoire américain. Les services de renseignement américains ont ainsi

largement exploité cette situation pour améliorer leur collecte de renseignement. Mais l'enjeu

de souveraineté vis-à-vis de l'extraterritorialité américaine tient également aux problèmes liés

à l'imposition sur le territoire de l'UE d'une législation étrangère, déterminée par des

représentations autres que celles caractérisant le droit européen.

Pour les décideurs soucieux de renforcer le contrôle des citoyens sur leurs

données, un meilleur encadrement de leurs transferts hors de l'UE constitue donc une priorité.

C'est dans cette optique que la sénatrice Morin-Desailly a émis la proposition d’ « interdire,

dans le futur règlement européen sur la protection des données, le transfert de données hors de

l’Union européenne, sur requête d’une autorité administrative ou judiciaire d’un pays tiers,

sauf autorisation expresse […]253 ».

De même, afin de remédier à la position de faiblesse des internautes soumis à des

CGU souvent difficiles à déchiffrer pour les non-initiés au vocabulaire du droit et qui

permettent aux prestataires de posséder et d'utiliser les données à leurs seuls bénéfices, le !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!252 « Cour d'appel de Pau 1ère chambre Arrêt du 23 mars 2012 », Legalis, 23 mars 2012. http://www.legalis.net/spip.php?page=jurisprudence-decision&id_article=3382 (Consulté le 1er août 2015) 253 Morin-Desailly Catherine, Rapport d'information fait au nom de la commission des affaires européennes sur l' « Union européenne, colonie du monde numérique ? », op. cit., p.107.

!

101

Conseil National du Numérique (CNNum) a appelé dans son rapport remis au Premier

ministre en juin 2015 à l'établissement d'un principe de « loyauté » qui consisterait à imposer

une obligation légale de transparence d'informations aux prestataires de service sur

l'Internet254. De même, Pierre Bellanger s'est déclaré favorable à une réforme donnant la

propriété des données aux utilisateurs qui les produisent255.

À l'échelle nationale française, c’est la Commission Nationale d'Informatique et des

Libertés (CNIL) qui est en charge de la protection des données et de la défense des

internautes. Créée en 1978, la CNIL est une autorité administrative indépendante chargée

d'informer, de réguler, de contrôler et, le cas échéant, de sanctionner en application du droit

concernant la protection des données personnelles. Elle a récemment joué un rôle de première

importance dans le cadre du « droit à l'oubli » imposé à Google.

Néanmoins, à ce jour, les utilisateurs individuels européens apparaissent encore

démunis face à ces politiques de gestion des données déterminées par des acteurs étrangers.

Ainsi le principal cadre de protection négocié avec les États-Unis il y a plusieurs années, le

Safe Harbor, n'a pas été respecté par les Américains malgré les engagements pris à l'époque.

De même, la propriété et la gestion des données ne relèvent pas des internautes,

même si des évolutions notables peuvent être mentionnées. Les plates-formes américaines de

services en ligne ont pris en compte les besoins de confidentialité et de maitrise des données

qui se sont exprimés depuis les révélations de Snowden. Le petit dinosaure bleu apparu sur

Facebook dénote ainsi de la prise en compte de ces changements. L'objectif de cette nouvelle

fonctionnalité est de donner à l'utilisateur la possibilité de gérer lui-même son identité

numérique en déterminant ce qui relève du domaine public ou du domaine privé. Mais si les

capacités de contrôle des utilisateurs ont été accrues, Facebook reste toujours propriétaire des

données qui ne peuvent être extraites définitivement de ses serveurs si un internaute en fait la

demande.

On peut également mesurer les limites des dispositions générales proposées ou

imposées aux plates-formes de services en ligne avec le cas du « droit à l'oubli ». À la

demande d'un internaute, Google est enjoint de déréférencer certains résultats de recherche

qui portent atteinte aux intérêts et à l'image du demandeur. Néanmoins, comme l'ont souligné !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!254 Conseil National du Numérique (CNNum), Ambition numérique, pour une politique française et européenne de la transition numérique, dossier de présentation, 2015, p.15. 255 Georges Benoît, Rauline Nicolas, « Gilles Babinet et Peirre Bellanger : la régulation des données, défi majeur du XXIème siècle », Les Échos,12 février 2014. http://www.lesechos.fr/12/02/2014/lesechos.fr/0203311413821_gilles-babinet-et-pierre-bellanger---la-regulation-des-donnees--defi-majeur-du-xxieme-siecle.htm (Consulté le 30 juin 2015)

!

102

certaines critiques256, l'application de ce droit reste entièrement contrôlé par Google. De

même, le déréférencement ne concerne, dans le cas d'un citoyen français, que l'extension

google.fr du moteur de recherche. Les résultats déréférencés sur cette extension sont donc

toujours accessibles depuis les autres extensions.

Si les préoccupations françaises et européennes concernant la protection des

données personnelles et le respect de la vie privée sont anciennes, les réponses apportées n'ont

pas toujours été à la hauteur des défis. En effet, le contrôle des données relève de la maitrise

de l'information dans le cyberespace ; or, cet enjeu est majeur car, comme l'ont très justement

fait remarquer Philippe Dejean et Patrice Sartre, « l'"information dominance" sera le nouveau

Grand Jeu de la première partie du XXIe siècle dont les vainqueurs sortiront leaders des

décennies suivantes 257 ». Or de ce point de vue, l'Union européenne apparait encore

vulnérable face à la domination américaine sur la société de l'information.

La solution qui consiste à localiser les données sur le territoire national dans le but

de les protéger, dans le cadre du projet de cloud souverain, n'a par exemple pas eu les effets

escomptés. Pourtant, comme nous l'a affirmé Francesca Musiani, chargée de recherche à

l'Institut des sciences de la communication dépendant du CNRS, l'Europe, sur les bases

historiques et philosophiques de sa conception de la vie privée, pourrait proposer un cadre

d'élaboration d'un règlement européen sur la protection des données258. Le projet français de

loi numérique qui est en cours de constitution depuis plus d'un an devrait de ce point de vue

constituer une avancée : en distinguant les « données d'intérêt général » de celles des

entreprises privées (mais d'intérêt public), le texte devrait leur accorder un statut spécifique259.

La vulnérabilité européenne concernant la protection des données produites sur

son territoire est également une conséquence de son absence de poids dans les discussions

internationales portant sur la gouvernance des réseaux. À la suite de l'affaire Snowden,

l'Union européenne dispose néanmoins d'une opportunité pour remédier à cette faiblesse.

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!256 Neuer Laurence, « Qui est juge du droit à l'oubli sur Internet ? », Le Point,1er août 2015. http://www.lepoint.fr/chroniqueurs-du-point/laurence-neuer/qui-est-juge-du-droit-a-l-oubli-sur-internet-01-08-2015-1954035_56.php (Consulté le 2 août 2015) 257 Dejean Philippe, Sartre Patrice, op. cit., p.30. 258 Entretien avec l'auteur (17 mars 2015) 259 Berne Xavier, « Open Data : Axelle Lemaire veut donner un statut aux données d'intérêt général », Next Inpact, 22 février 2015. http://www.nextinpact.com/news/93124-open-data-axelle-lemaire-veut-donner-statut-aux-donnees-dinteret-general.htm (Consulté le 11 juillet 2015)

!

103

2.2 Le rôle de l'Europe dans la gouvernance de l'Internet

Dans le cadre de la défense de la souveraineté numérique européenne, la réforme

de la gouvernance des réseaux a été identifiée comme un nouvel objectif par les décideurs

européens. La gouvernance de l'Internet désigne l'ensemble des dispositions prises au niveau

international pour organiser les ressources et le fonctionnement de l'Internet ; son objectif est

d'assurer le bon fonctionnement du réseau. Elle s’effectue selon un mode distribué, autrement

dit aucune organisation ni aucun pays en particulier ne contrôle aujourd'hui l'Internet. Sa

gestion rassemble dans une multitude d'instances internationales les acteurs étatiques et les

acteurs privés concernés.

L'Union Internationale des Télécoms, (IUT), dépendant de l'ONU, est l'un des

principaux acteurs de la gouvernance des réseaux. Les Sommets mondiaux sur la société de

l'information (SMSI) ont également rassemblé à plusieurs reprises (en 2003 et en 2005) les

acteurs du cyberespace : gouvernements, entreprises, universitaires, militaires, industriels, etc.

selon le modèle de gestion « multi-partie prenante » (ou multitaskholder en anglais) évoqué

en introduction de ce mémoire.

Depuis 1986, l'Internet Engineering Task Force (IETF) rassemble quant à elle la

communauté des développeurs et des concepteurs qui se rassemblent afin de proposer des

standards techniques et de spécifier des protocoles. Mais l'Internet Corporation for Assigned

Names and Numbers (ICANN) reste l'organisme le plus influent dans la gouvernance de

l'Internet. Depuis sa création en 1998, l'ICANN est en charge, d'après ses statuts, de

coordonner le système d'adressage unique qui assure la stabilité de l'Internet. Concrètement,

l'ICANN contrôle et loue les noms de domaine et gère l'annuaire où ils sont rassemblés (un

marché qui pèse cette année pour près de 104 millions de dollars260).

Bien que la gouvernance de l'Internet soit distribuée en différentes organisations,

l'Internet reste à différents égards sous contrôle américain. Les entreprises américaines sont

par exemple très influentes au sein de l'IETF dont le siège se situe par ailleurs aux États-Unis.

De même, en coordonnant les serveurs racines au cœur du fonctionnement des réseaux,

l'ICANN maitrise le seul élément qui ne soit pas décentralisé dans le réseau, ce qui lui confère

un important pouvoir de contrôle. Or, cette organisation est liée au gouvernement américain

par le biais d'une déclaration d'engagements (Affirmation of Commitments) signée avec le

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!260 Prévisions de l’ICANN pour l'année 2015. https://www.icann.org/en/system/files/files/adopted-opplan-budget-fy15-16sep14-en.pdf (Consulté le 13 mai 2015)

!

104

Département du commerce américain en 2009 qui se substitue au précédent Memorandum Of

Understranding de 1998. Le gouvernement américain constitue donc un acteur majeur dans la

gouvernance de l'Internet.

La contestation de l'emprise américaine sur les réseaux a pris un souffle nouveau

depuis le mois de juin 2013. À la suite des révélations de Snowden, il est en effet apparu que

les États-Unis, qui avaient tendance à assimiler les tenants d'une réforme de la gestion des

réseaux aux ennemis de la liberté, poursuivaient leurs propres intérêts géopolitiques dans le

cyberespace en défendant la gouvernance de l'Internet sous sa forme actuelle. Or, cette

stratégie se traduit encore aujourd'hui par une atteinte répétée aux souverainetés étatiques et

aux libertés individuelles et collectives des internautes. L'idée qu'une réforme de la

gouvernance de l'Internet est désormais nécessaire s'est donc généralisée.

Dans cette gouvernance mondiale, l'Union européenne n'est jamais apparue

comme un acteur à part entière aux côtés des États dominants que sont les États-Unis, la

Chine et la Russie. Sa position rejoint généralement celle des Américains, malgré des

divergences de vues entre l'Europe et l'Amérique du Nord sur les sujets liés à la gouvernance

de l'Internet : lors de la conférence de Dubaï, entre les tenants d'une gestion gouvernementale

et les tenants d'un mode de gestion multipartite défendu par les États-Unis, les États membres

de l'UE se sont majoritairement ralliés à cette dernière position, sans pour autant que cela

signifie une exacte similitude de vues sur ces questions. Or, comme l'a signalé Mme Morin-

Desailly261, l'Europe ne doit pas tomber dans le piège de « la guerre froide numérique » qui

opposerait les tenants d'un Internet sous contrôle gouvernemental et les tenants d'un Internet

ouvert. L'affaire Snowden a en effet démontré que cette dernière représentation servait les

intérêts stratégiques américains aux dépens des intérêts économiques, politiques et culturels

européens. La crise de confiance consécutive aux révélations de Snowden représente donc

pour l'Union européenne une opportunité historique de reprendre le contrôle de son

cyberespace et de peser dans la gouvernance de l'Internet.

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!261 Morin-Desailly Catherine, Rapport d’information fait au nom de la mission commune d’information « Nouveau rôle et nouvelle stratégie pour l’Union européenne dans la gouvernance mondiale de l’Internet », 2014, p.120.

Océan&Pacifique

Océan&Atlantique

Océan&Indien

2000&km

NQuentin&Lenormand&;&avril&2015

Pays&signataires&de&l’acte&final&et

favorables&à&un&contrôle&étatique&

du&cyberespace

Pays&non;signataires&de&l’acte&final&et

favorables&au&maintien&du&statu;quo

Pays&non;participants

La&fracture&de&la&conférence&mondiale&des&télécommunications&internationales&de&2012&

Sources:&Union&Internationale&des&télécommunications&

États;Unis

Russie

Chine

Brésil

!

106

La juriste Pauline Türk a ainsi estimé devant la sénatrice Morin-Desailly que la

confrontation consécutive aux révélations de Snowden « pourrait bénéficier sur le plan

politique à l’Union européenne, si elle parvient à se positionner en arbitre entre des États

soucieux de leur souveraineté numérique mais prompts à la restriction et à la censure, et les

États-Unis, désireux de défendre leur maîtrise de l’outil, mais au moins autant de protéger les

principes et valeurs libérales du réseau262 ». La Commission européenne s'est également

proposée comme « médiateur dans les futures négociations mondiales sur la gouvernance de

l'Internet263 ».

En s'investissant dans la gouvernance de l'Internet, l'Union européenne souhaite

défendre ses valeurs, mais également contenir le risque de fragmentation du cyberespace. Ce

risque, du fait de logiques commerciales ou souveraines, est déjà prégnant. Or cette

fragmentation pourrait d'une part porter atteinte à l'innovation et à la liberté d'entreprendre en

concentrant l'activité économique entre les mains d'un nombre restreint d'acteurs privés ;

d'autre part pourrait faciliter, par la division du cyberespace en blocs géopolitiques plus ou

moins étanches, les atteintes aux libertés démocratiques en facilitant la surveillance des États.

Si l'Europe ne reprend pas en main son avenir numérique, les atteintes à sa

souveraineté économique, culturelle et politique risquent donc de se multiplier : « Une autre

politique s’impose. Et elle ne peut se déployer qu’à l’échelle de l’Europe. Une Europe décidée

à n’être pas seulement un marché, mais un centre de culture rayonnante et d’influence

politique sans pareille autour de la planète264. »

En France, c’est dans cet objectif que Bernard Benhamou et Didier Renard, le

PDG de Cloudwatt, ont décidé de créer l’Institut de souveraineté numérique. Ce dernier doit

aider les décideurs à élaborer des propositions pour que « l’Europe fasse vivre ses valeurs » et

« devienne un architecte de notre avenir », l’enjeu identifié étant la survie des valeurs

européennes265.

Cette troisième voie reste néanmoins à définir précisément. De nouvelles

représentations qui puissent donner du sens à l'engagement européen doivent être élaborées.

Evgeny Morozov a ainsi fait remarquer que pour concurrencer l'influence des acteurs privés

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!262 Ibid. 263 Commission Européenne, La Commission se propose comme médiateur dans les futures négociations mondiales sur la gouvernance de l'Internet, Bruxelles, 12 février 2014. http://europa.eu/rapid/press-release_IP-14-142_fr.htm (Consulté le 2 août 2015) 264 « Quand Google défie l’Europe », Le Monde, 27 janvier 2005 265 Entretien avec l’auteur (13 mars 2015)

!

107

américains, il est nécessaire de définir de nouveaux modèles de développement266. En effet,

leur pouvoir d'influence tient en partie à l'absence de vision politique de la part des États dans

le cyberespace. C'est dans ce même esprit que l'étude Prospective 2030, rendue au Premier

ministre par le Commissariat général à la stratégie et à la prospective en 2013, invite à la

création de nouveaux mythes, « de nouvelles dimensions imaginaires d'Internet267 » sur

lesquels pourrait se construire une position française et européenne.

En réalité cette dynamique semble obérée de fait par la poursuite des intérêts

particuliers des États membres de l'Union européenne dans le cyberespace. Défendre une

position européenne cohérente nécessiterait de définir en premier lieu les intérêts communs

des États membres. Or comme nous l'avons vu, ce sont les intérêts particuliers qui

prédominent dans le cyberespace. Certes sur le plan économique, les États membres se sont

entendus dans le cadre de la constitution du marché numérique unique (le Digital Single

Market). Mais sur le plan de la cyberdéfense, le partage des capacités n'est pas à l'ordre du

jour. De même, parmi les trois pays les plus « cyber-développés » de l'UE que sont la France,

l’Allemagne et le Royaume-Uni, ce dernier semble plus attaché à son partenariat stratégique

avec les États-Unis qu'à la cohésion européenne.

De plus, l'investissement croissant de la part des États les plus influents de l'Union

européenne (Allemagne, France et Royaume-Uni) dans des outils de cyber-surveillance laisse

penser que la défense des valeurs démocratiques dans le cyberespace ne constitue pas une

priorité dans l'agenda diplomatique de ces acteurs. Le terrorisme et la guerre économique qui

est en cours sur les réseaux sont au contraire considérés comme des menaces de premier

ordre. Dans ces conditions, l'élaboration d'une position européenne est donc encore freinée

par de nombreux obstacles.

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!266 Morozov Evgeny, « The rise of data and the death of politics », op. cit. 267 Laurent Gilles (dir.), La dynamique d'internet Prospective 2030, op. cit., p.189.

!

108

3. La république numérique

3.1 Les opportunités de l'e-gouvernance

Les changements induits par la transformation numérique sont nombreux dans le

domaine de la gouvernance et de l'action publique. Une transformation est déjà à l’œuvre dans

le cadre de l’e-gouvernance. Comme l'ont souligné les rédacteurs de l'ONU dans leur rapport

annuel de 2014 sur l'e-gouvernance (c'est-à-dire l'utilisation par les gouvernements des TIC et

de ses applications pour apporter des informations et des services à leur citoyens), celle-ci

représente une opportunité d’amélioration de l'action publique : « L’e-gouvernance peut aider

les gouvernements dans leur transition écologique et les accompagner dans la promotion

d'une gestion réellement naturelle des ressources, de même que stimuler la croissance

économique et promouvoir l'inclusion sociale268 ».

Faute de prendre en compte ces changements, les États risquent de voir leur

souveraineté décliner au profit d'acteurs privés mieux à même d'utiliser les possibilités

offertes par le numérique. La transformation digitale constitue donc un véritable défi dans la

mesure où elle peut tout aussi bien mettre en péril les capacités d'action de l'État, c'est à dire

sa souveraineté, que les renforcer. L'enjeu est d'adapter les formes de gouvernance

traditionnelles, tout en créant de nouvelles formes de gestion des affaires publiques. La

formule de « souveraineté numérique » prend donc ici tout son sens.

Le premier chantier de l'e-gouvernance concerne la numérisation de l'action

publique, c'est-à-dire le renforcement de la présence de l'administration dans le cyberespace.

Le deuxième chantier concerne l'e-participation. Cette dernière repose sur l’idée que le

numérique offre des moyens d'action supplémentaires aux citoyens. Dans une démocratie

représentative, le citoyen dispose avant tout d'un pouvoir de contrôle sur la gestion des

affaires publiques ; avec le numérique, il dispose d'un pouvoir d'action direct autre que celui

de son droit de vote dans la gestion des affaires publiques. Le troisième chantier concerne

l'ouverture des données (open data en anglais) qui correspond à la reconnaissance récente du

droit des citoyens, à l'échelle entrepreneuriale ou individuelle, à accéder à certaines

informations détenues par le gouvernement. Si les données et les informations ont toujours été

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!268 Organisation des Nations Unies, E-government survey 2014, p.2.

!

109

des atouts stratégiques, leur intérêt s’est accru avec le développement du Big data, c'est-à-dire

des capacités automatisées de traitement des informations. Les promoteurs de l’open data

insistent donc sur les bénéfices de cette ouverture qui doit permettre « d’augmenter

l’efficacité, d’accroitre la responsabilité, de mieux gérer les ressources au niveau national, de

combattre la corruption, et en même temps de renouveler le débat politique et la

démocratie269 ». L'opération open data du gouvernement français, placée sous l'autorité du

Premier ministre et dirigée par Henri Verdier, se nomme Etalab270.

Dans le domaine général de l'e-gouvernance, la France se positionne très

favorablement vis-à-vis des autres États. Selon le rapport de l'ONU, elle se classe à la

quatrième position au classement mondial dans le domaine de l'e-participation 271. La France a

en effet multiplié les consultations en ligne ces dernières années afin d'améliorer la

participation des citoyens aux affaires publiques : les consultations effectuées ces derniers

mois par le Conseil National du Numérique (CNNum) en témoignent.

De plus, il ressort de ce rapport que la France s'est hissée au rang le leader

mondial dans le domaine des services publics disponibles en ligne avec son site service-

public.fr., destiné aux citoyens, aux entreprises et aux professionnels. Les citoyens ont ainsi

accès à environ 200 formulaires, 2 500 pages de données et à plusieurs centaines de liens vers

des ressources utiles incluant des formulaires, des procédures en ligne, des textes de référence

et des sites du service public. service-public.fr centralise donc les ressources du service public

mises à la disposition des citoyens sur le réseau et organise ces données de manière à

répondre à leurs besoins272 . Le rapport de l’ONU précise ainsi que « toutes les informations

administratives sont présentées simplement et clairement273 ».

La présence de l'administration française dans le cyberespace devrait être

renforcée par le plan French Connect. Cette initiative gouvernementale, mise en œuvre par le

Secrétariat Général pour la modernisation de l'action publique (SGMAP), offrira aux

particuliers comme aux professionnels un mécanisme d'identification similaire à la fonction

Facebook connect qui permet à un internaute de s'authentifier auprès d'une multitude

d'applications, fédérées autour de son compte Facebook. « Il n’y aura donc ni centralisation

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!269 Frénot Stéphane, Grumbach Stéphane, « Les données sociales, objets de toutes les convoitises », op. cit., p.48. 270 « Etalab », Secrétariat Général de la modernisation de l'action publique. http://www.modernisation.gouv.fr/le-sgmap/organisation/etalab (Consulté le 2 août 2015) 271 Ibid., p.65. 272 Ibid., p.88. 273 Ibid., p.47.

!

110

des comptes des usagers, ni système d’identité numérique unique imposé : l’usager choisira

librement les comptes qu’il souhaite fédérer 274 ». Ce projet est considéré comme un

« composant essentiel de la nouvelle stratégie d'État plate-forme » promu par le SGMAP. De

même, en août 2014, le décret275 porté par Thierry Mandon, secrétaire d'État chargé de la

réforme de l'État et de la simplification, est venu abroger le décret de 1986276 qui consacrait

l’autonomie informatique des ministères. Cette abrogation devrait faciliter la gestion des

systèmes d'information ministériels et fluidifier les échanges.

L'e-gouvernance représente donc une opportunité de renforcement du pouvoir des

citoyens en leur donnant un meilleur accès à la connaissance ainsi qu'en mettant à leur

disposition des moyens d'action autrefois impossibles à mettre en œuvre pour des raisons

pratiques : les consultations citoyennes peuvent désormais se faire en ligne, à partir d'un

Smartphone, là où il fallait autrefois se déplacer physiquement. Mais cela n'est possible qu'à

la condition d'améliorer la connectivité : avec l'extension de la sphère numérique, le risque de

déconnexion est de plus en plus prégnant pour les individus. Pour que le numérique ne

n’aggrave pas les inégalités sociales, l'État doit assurer la connectivité nationale en donnant

accès à l'Internet à l'ensemble de ses citoyens.

Si la France semble relever le défi de la numérisation de l'action publique avec

succès, certains ont néanmoins souligné que d'importants changements restaient à effectuer.

Le CNNum a par exemple appelé à un changement de perception dans l'administration

publique vis-à-vis du numérique ainsi qu'à la promotion de la culture de l'innovation au sein

de l'administration française afin d'en faire un levier d'innovation et d'efficacité de l'action

publique. De même, l'Institut Montaigne, dans son rapport intitulé Big data et objets

connectés a appelé au décloisonnement des discussions concernant le numérique et à la

diffusion d' « une certaine culture du numérique277 » au sein de la fonction publique. Au delà

des réalisations dans le domaine de l'e-gouvernance, des résistances à la transformation

numérique sont néanmoins régulièrement dénoncées.

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!274 « L'administration change avec le numérique », Secrétariat Général de la modernisation de l'action publique, 19 décembre 2014. http://www.modernisation.gouv.fr/ladministration-change-avec-le-numerique/par-son-systeme-dinformation/france-connect-un-acces-universel-aux-administrations-en-ligne (Consulté le 3 août 2015) 275 Décret n° 2014-879 du 1er août 2014 relatif au système d'information et de communication de l'Etat. http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000029337021 (Consulté le 3 août 2015) 276 Décret n°86-1301 du 22 décembre 1986 relatif au développement de l'informatique, de la bureautique et des réseaux de communication dans l'administration. http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=9A974D7B5386D49F5CB13A9D257C2D53.tpdila09v_2?cidTexte=JORFTEXT000000334024&idSectionTA=LEGISCTA000006096107&dateTexte=20150612&categorieLien=id#LEGISCTA000006096107 (Consulté le 3 août 2015) 277 Institut Montaigne, op.cit., p.130.

!

111

3.2 La résistance des élites françaises au numérique

Ces dernières années, la classe dirigeante française, par sa réglementation, a pris

en compte le numérique dans ses politiques selon deux perspectives : soit en le considérant

comme un levier de croissance (avec la « French Tech » par exemple), soit en lui imposant

des lois restrictives (tel qu'Hadopi), pas toujours compatibles avec la neutralité du net ou bien

avec les autres principes fondateurs de l'Internet. Ces deux engagements, aux effets parfois

contradictoires, dénotent de la difficulté pour les décideurs politiques à adopter une vision

globale de la transformation numérique qui est en cours. Lors du lancement des 34 plans de la

Nouvelle France industrielle, Benoit Thieulin, président du CNNum, a dénoncé cette carence

politique : « Ils sont dans la logique du guichet : ils vont voir le marché et demandent ce qu’il

faut financer. Or, à un moment donné, il faut faire des choix, ne pas saupoudrer. Il faudrait

déterminer les axes majeurs [...]278 ». Comment cette difficulté à adopter une vue d'ensemble

s'explique-t-elle dans les milieux spécialisés ?

Pour le philosophe Bernard Stiegler, « l'incompréhension des processus

évolutifs279 » par les élites tient en premier lieu à la difficulté à appréhender les changements

induits par la révolution numérique. Dans sa phase d'installation en tant que moteur principal

de l'économie, le numérique a un effet dévastateur puisque cette installation se caractérise par

la disparition ou la mutation de pans entiers de l’activité économique. Ces changements,

quelques fois brutaux, peuvent déboucher sur de violents conflits sociaux, comme nous avons

pu le voir lors du différend qui opposa l'entreprise Uber à l'État en juin 2015. Or, la réaction

du gouvernement dans ce cas est symptomatique de cette difficulté à appréhender les enjeux

de la transformation numérique dans leur ensemble : face à un nouvel usage introduit par le

numérique, la réponse apportée a été l'interdiction. Les décideurs politiques éprouvent donc

une certaine forme de réticence culturelle aux nouvelles technologies pour lesquelles ils ont

de la difficulté à saisir les implications.

Cette réticence tient également au fait que le numérique horizontalise des rapports

sociaux autrefois cloisonnés et hiérarchisés verticalement : l'e-gouvernance vise à rapprocher

le citoyen et le responsable politique. Certains voudraient utiliser les possibilités offertes par

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!278 Fradin Andréa, Noyon Rémi, « La révolution numérique pourrait saper les fondements de l'État », Rue 89, 18 juin 2015. http://rue89.nouvelobs.com/2015/06/18/revolution-numerique-pourrait-saper-les-fondements-letat-259732 (consulté le 2 août 2015) 279 Stiegler Bernard, « La mécroissance et le changement de modèle industriel », in : Pour en finir avec la mécroissance : quelques réflexions d’Ars industrialis, Paris, Flammarion, p.29.

!

112

l'Internet comme des moyens verticaux d'information, à l'image de la télévision, mais ce choix

va à l'encontre de ses usages. Sur Tweeter, un simple citoyen peut ainsi « apostropher » un

homme politique à propos de l'actualité politique, et ce à la vue et au su de dizaines de

milliers de personnes. Accoutumés à des rapports verticaux, certains politiques se trouvent

donc démunis face à ces changements.

La classe politique semble ainsi éprouver des difficultés à prendre acte de ces

changements de paradigmes. En 2011, la création du Conseil National du Numérique

(CNNum) à l'initiative du président Nicolas Sarkozy a été une manière de reconnaitre la

nature transversale du numérique. Mais comme avec la CNIL, les avis formulés n'ont jamais

suivi, que ce soit lors de la Loi de Programmation Militaire de 2013 ou lors de celle sur le

renseignement. Le journaliste Benoit Fabien estime que cette dernière, en tant que tentative de

prise de contrôle du cyberespace français, est l'expression d'une peur et d'une inquiétude face

à la nouvelle forme d'organisation sociale, plus horizontale, que permet l'Internet280. Les

politiques ont le sentiment que ces changements leur échappent, que leurs compétences n'ont

plus d'intérêt et que le monde se restructure sans eux. Ils tentent donc de donner des réponses,

parfois mal coordonnées, à ces nouvelles problématiques281.

L'incompréhension des élites, considérée comme un frein à l'instauration d'une

souveraineté numérique nationale, est une idée également partagée par les personnalités

interrogées lors de notre enquête de terrain. Dès lors, face à ces résistances culturelles, dans

quelles conditions ces préoccupations pourraient-elles se hisser en haut des priorités

gouvernementales ?

3.3 L'importance de l'éducation pour le futur numérique de la France

L'importance de l'éducation a été désignée par les personnalités que nous avons

interrogées comme le principal investissement d'avenir sur lequel le gouvernement devrait se

concentrer. Cela permettrait de renforcer la souveraineté numérique française sur le long

terme en sensibilisant les futurs citoyens à ses risques comme à ses opportunités.

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!280 Benoit Fabien, « "Internet ? Je n’y vais jamais" », Usbek & Rica, juin, juillet, août 2015, p.37. 281 Ibid. p.41.

!

113

Pour être « en capacité de [se] projeter sur les prochaines vagues

d’innovation282 », les générations futures doivent en effet être préparées au monde dans lequel

elles vont vivre et pour que les citoyens deviennent des acteurs actifs des réseaux, ils doivent

être éduqués comme tel.

Benoit Thieulin a souligné le risque lié à l'absence de projet éducatif national

destiné à former les futurs usagers français : « En réalité, le numérique fabrique [aujourd'hui]

des consommateurs. Il faut enseigner le fait numérique pour que les gens comprennent a

minima ce qu’il y a là-dedans et comprennent ce qu’est un algorithme. Car cette manipulation

peut être pire que celle produite par la télé. Là, vous pouvez personnaliser de manière fine et

enfermer des gens dans des bulles.283 ». Afin que le cyberespace reste un vecteur de diffusion

libre de l'information, la manière d'utiliser les outils numériques ne doit donc pas être

déterminée par des acteurs privés, par définition soumis à des impératifs de rentabilité. Au

contraire, « il faut "conscientiser" les élèves à l’école », afin qu'ils deviennent des éléments

actifs, et non passifs, des réseaux.

C'est pourquoi Gilles Babinet estime que nous devons « élever les sujets tels que

l'éducation284 » afin de libérer les initiatives et de favoriser des vocations dans le domaine du

numérique. C'est également la position défendue par Bernard Benhamou : « Pour établir une

meilleure transparence pour les usagers ainsi qu’une meilleure protection de leurs données, il

convient de développer une culture technologique qui aille au-delà de la maîtrise des usages

mais qui prenne en compte les évolutions politiques et technologiques de nos sociétés285 ».

« Bref, [il faut] encadrer ce développement286 ».

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!282 Synthèse de la 2e assise de la Souveraineté Numérique, op. cit., p.16. 283 Fradin Andréa, Noyon Rémi, op. cit. 284 European Commission, The Digital Champion of France. https://ec.europa.eu/digital-agenda/en/digital-champion-france (consulté le 5 août 2015) 285 Benhamou Bernard, « Les démocraties européennes face à la tentation de la "boîte noire" », Le Monde, 2 juin 2015. http://www.lemonde.fr/idees/article/2015/06/02/les-democraties-europeennes-face-a-la-tentation-de-la-boite-noire_4645924_3232.html#LDl2KuLBvZx28J2E.99 (Consulté le 3 juin 2015) 286 Fradin Andréa, Noyon Rémi, op. cit.

!

114

CONCLUSION

Nous avons posé en introduction la question de la nature du lien existant entre la

représentation d'un militaire qui conçoit la souveraineté numérique dans le cadre de sa

mission traditionnelle de Défense, celle d’un industriel qui utilise le concept pour évoquer la

puissance économique française ou encore celle d’une personnalité politique qui y voit des

enjeux d'ordre culturel. Nous sommes maintenant en mesure d’apporter un élément de

réponse : la défense de l’identité et de la puissance française dans le cyberespace, envisagée

comme un enjeu global.

Ainsi, le débat portant sur la souveraineté numérique française se caractérise par

le fait que dans les représentations dominantes, le concept est envisagé soit à l’échelle

nationale, soit à l’échelle européenne. La souveraineté semble partagée entre l’acteur étatique

et l’acteur supranational qu’est l’Union européenne. Si certains pans font l’objet d’un transfert

à cette dernière échelle (dans le domaine économique par exemple), d’autres restent le fait des

politiques nationales (dans le cas de la cyberdéfense principalement).

La particularité du débat tient également au fait qu’il implique des acteurs très

différents (militaires, personnalités politiques, industriels, start-up, citoyens, administration,

etc.) que l’on peut néanmoins distinguer en trois catégories : l’entreprise, l’État et l’individu.

Parmi l’ensemble de ces acteurs, les services de renseignement jouent un rôle central car le

cyberespace, par l'accroissement des capacités de stockage et d'analyse des informations,

contient de nouvelles possibilités pour les acteurs de la surveillance. De même, les entreprises

privées de services en ligne, un marché dominé par les Américains, jouent un rôle de première

importance. Cette dernière position est par ailleurs considérée comme un excès de pouvoir et

a été dénoncée comme une menace pour la souveraineté française et européenne. Enfin,

l’individu apparaît comme un nouvel acteur stratégique. Le cyber offre en effet de nouvelles

possibilités d’expression et d’action aux citoyens, mais contient également des menaces pour

les libertés individuelles.

De même, tous ces acteurs sont impliqués dans un débat qui se caractérise par

l’imbrication des enjeux. En effet, et ce dernier point est caractéristique du cyber, le

numérique brouille et déplace les frontières. Il ne représente pas qu'un défi fiscal ou

!

115

sécuritaire pour l'État : la lutte contre la fracture numérique, le maintien d'infrastructures

adaptées, la mutation des secteurs de la santé et de l'éducation, la protection des données

personnelles sont également des enjeux que l'État doit relever. En cas d’échec, les

implications pourraient être aussi bien culturelles que politiques et économiques. C’est

pourquoi revendiquer sa souveraineté signifie autant affirmer sa puissance économique que

son altérité culturelle face au risque d'uniformisation des formes de vie en société par le biais

des réseaux informationnels. Le débat concernant la souveraineté numérique est donc

révélateur des préoccupations nées du brouillage des repères traditionnels sur lesquels l'ordre

westphalien mondial s'est construit jusqu’à présent.

L’intensification des discours portant sur le concept de souveraineté numérique

tient également au fait que l’Internet actuel a détruit, ou du moins remis en question, un

certain nombre de ses mythes originels : sa représentation comme un espace de liberté a été

bouleversée par la surveillance, son potentiel d'ouverture à la connaissance par l'hermétisation

des écosystèmes numériques et l'accès à l'information par le contrôle d’un nombre restreint

d'acteurs privés.

L’implication de l’État français pour la défense des intérêts nationaux dans le

cyberespace présente certaines limites (dans la politique de localisation des données par

exemple) et son analyse révèle de fortes contradictions (en particulier à propos de la loi sur le

renseignement, aux effets économiques négatifs). La classe politique semble ainsi éprouver

des difficultés à concilier libertés publiques, sécurité nationale, neutralité du net et

développement économique. La France, comme l'Europe, peine donc à mettre en œuvre des

politiques d'ensemble cohérentes face à un Internet qui à la fois génère de l'activité

économique et permet un transfert et une diffusion inédite de la connaissance.

Il ressort en dernier lieu de notre analyse que les représentations dominantes de la

souveraineté numérique française se concentrent sur un acteur en particulier : les États-Unis,

considérés comme une menace globale. Pourtant, le défi de la souveraineté numérique est

beaucoup plus vaste. En effet, alors que les acteurs privés renforcent actuellement leurs

positions, les États investissent de manière croissante dans le cyberespace, considéré à la fois

comme une arme et comme un nouveau territoire où l’autorité publique doit s’imposer. La

montée en puissance de ces nouveaux acteurs étatiques au sein du cyberespace devrait par

conséquent sceller la multipolarisation du monde à laquelle nous assistons aujourd’hui.

Pour ceux qui l’évoquent, le concept de souveraineté numérique permet donc de

souligner le paradoxe auquel les États sont aujourd’hui confrontés avec le développement de

!

116

la sphère cybernétique. En effet, si les changements induis par le numérique pourraient

entrainer la disparition de ces acteurs traditionnels, les possibilités offertes par ces mêmes

changements représentent aussi une formidable opportunité politique et économique pour ces

acteurs. Dans les régimes démocratiques, leur implication relève même de la responsabilité de

l’État afin que le cyberespace, et plus particulièrement l’Internet, reste un espace de liberté et

un outil de renforcement de la démocratie.

!

117

SOURCES ET BIBLIOGRAPHIE

Ouvrages de références

- Bellanger Pierre, La souveraineté numérique, Paris, Stock, 2014, 252 p.

- Carr Jeffrey, Inside Cyber Warfare, Mapping the Cyber Underworld (2nd edition), O’Reilly

Media, Sebastopol (EU), 2011, 318 p.

- Cohen Jared, Schmidt Eric, The new digital age, reshaping the future of people, nations and

business, New-York, Knopf, 2013, 336 p

- Collectif, Pour en finir avec la mécroissance : quelques réflexions d’Ars industrialis, Paris,

Flammarion, 305 p.

- Direction des affaires stratégiques/Institut Français de Géopolitique (Université Paris 8),

« La balkanisation du web : chance ou risque pour l’Europe », Étude Prospective et Stratégie,

Paris, 2015, 187 p.

- Yves Lacoste, De la géopolitique aux paysages. Dictionnaire de la géographie, Paris, 2003,

Armand Colin, 413 p.

- Morozov Evgeny, L’aberration du solutionnisme technologique. Pour tout résoudre cliquez

ici, Limoges, FYP, 2014, 350 p.

- ___ , The Net Delusion : how to not liberate the world, London, 2011, 394 p.

- Sadin Éric, La vie algorithmique : critique de la raison numérique, Paris, l’Échappée, 278 p.

- Ventre Daniel, Cyberattaques et cyberdéfense, Paris, Hermès Lavoisier, 2011, 312 p.

!

118

- _____, Cyberespace et acteurs du cyberconflit, Paris, Hermès Lavoisier, 2011, 288 p.

- _____, Information Warfare, Londres, Wiley-ISTE, 2009, 298 p.

Revues universitaires

- Divina Frau-Meigs (dir.), « Contested Internet Governance », Revue française d’études

américaines, n° 134, 2012/2, 128 p.

- Douzet Frédérick (dir.), « Cyberespace : enjeux géopolitiques », Hérodote, 2014/1 n° 152-

153, 313 p.

Revues généralistes

- « Géopolitique du Cyberespace », Les Grands Dossiers de Diplomatie, n°23, octobre-

novembre 2014, 100 p.

- « Géopolitique de l’Internet », Politique étrangère, IFRI, 3/ 2006 (Automne), 232 p.

- Massif-Folléa Françoise, Delmas Richard, « La gouvernance d’Internet », Les Cahiers du

numérique, 2002/2 (Vol. 3), 266 p.

- Nocetti Julien (dir.), « Internet : une gouvernance inachevée ? », Politique Étrangère, n°4,

IFRI, hiver 2014-2015, 30 p.

- Tronquoy Philippe (dir.), « La société numérique », Cahier Français, n°372, janvier-février

2013, 96 p.

!

119

Rapports parlementaires

- Bockel Jean-Marie, Rapport d'information fait au nom de la commission des affaires

étrangères, de la défense et des forces armées sur la cyberdéfense, 18 juillet 2012, 158 p.

- Erhel Corinne, De La Raudiere Laure, Rapport d'information sur le développement de

l'économie numérique française, 2014, 163 p.

- Morin-Desailly Catherine, Rapport d'information fait au nom de la commission des affaires

européennes sur l' « Union européenne, colonie du monde numérique ? », mars 2013, 158 p.

- ____, Rapport d’information fait au nom de la mission commune d’information « Nouveau

rôle et nouvelle stratégie pour l’Union européenne dans la gouvernance mondiale de

l’Internet », 2014, 398 p.

- Paecht Arthur, Rapport d'information déposé par la commission de la défense nationale et

des forces armées sur les systèmes de surveillance et d'interception électroniques pouvant

mettre en cause la sécurité nationale, 2000, 89 p.

Rapports publics

- ANSSI, Guide d’hygiène informatique, Paris, janvier 2013, 50 p.

- ANSSI, CGPME, Guide des bonnes pratiques de l’informatique, 12 règles essentielles pour

sécuriser vos équipements numériques, Paris, mars 2015, 44 p.

- Bouthi Malek, Génération radicale, juin 2015, 68 p.

- Collin Pierre, Colin Nicolas, Mission d'expertise sur la fiscalité du numérique, janvier 2013,

198 p.

!

120

- Communication de la commission au parlement européen, Stratégie pour un marché unique

numérique en Europe, Bruxelles, 6 mai 2015, 24 p.

- Conseil National du Numérique (CNNum), Ambition numérique, 2015.

- European Cybercrime Center, Europol Report cybercrime, 2014, 92 p.

- Eurostat, Taxation trends in the European Union. Data for the EU member, Iceland et

Norway. 314 p.

- Guehenno Jean-Marie (dir.), Livre blanc sur la défense et la sécurité nationale, Paris, La

Documentation française, 2013, 160 p.

- Lettres mensuelles de l’Observatoire du Monde Cybernétique par la Compagnie Européenne

d’Intelligence Stratégique (CEIS).

- Laurent Gilles (dir.), La dynamique d'internet Prospective 2030, Commissariat général à la

stratégie et à la prospective, Paris, 2013, 2013 p.

- Mallet Jean-Claude (dir.), Livre blanc sur la défense et la sécurité nationale, Paris, Odile

Jacob, 2008, 350 p.

!- Organisation des Nations Unies, E-government survey 2014, 284 p.

Rapports privés

- Babinet Gilles, Vassoyan Robert (dir.), Big data et objets connectés. Faire de la France un

champion de la révolution numérique, Institut Montaigne, 2015, 217 p.

!

121

- Ben Miller, Atkinson Robert D., Raising european productivity growth through ICT, ITIF,

2014, 43 p.

- Panda Security, The Cyber-Crime Black-Market, 44 p.

- Pélissié du Rausas Matthieu, Industrie 2.0, 5 pistes pour permettre aux industriels français

de tirer partir de la mondialisation, McKinsey France, 2012, 68 p.

- ______, Industrie 2.0, jouer la rupture pour une Renaissance de l’industrie française,

McKinsey France, 2013, 76 p.

- ______, Accélérer la mutation numérique des entreprises : un gisement de croissance et de

compétitivité pour la France, McKinsey France, 2014, 142 p.

Conférences et colloques

- « Comprendre la cryptologie et ses applications », conférence du 15 juin 2015 organisée par

le Cercle d’Intelligence Économique du MEDEF Île-de-France.

- « La donnée n’est pas donnée - Stratégie & Big Data », colloque du 23 mars 2015 organisé

par le Centre de Recherches de l’Ecole des Officiers de la Gendarmerie nationale.

- « Menaces sur tous les fronts : de la piraterie maritime à la cybercriminalité », colloque du 8

avril 2015 organisé par le comité Cyberdéfense de l’ANAJ-IHEDN en collaboration avec le

Master 212 Affaires internationales de Dauphine.

- « Souveraineté numérique », 2es Assises de la Souveraineté Numérique organisée par

l’agence en relations publiques Aromates le 14 avril 2015.

- Bellanger Pierre, « Enjeux et moyens de notre souveraineté numérique », conférence du 13

avril 2015 organisée par l’IHEDN.

!

122

- Libicki Martin, « Major Events in Cyberspace: What We Learned and What We Should

Have Learned » conférence du 28 octobre 2014 organisée par la Chaire Castex de

Cyberstratégie, partenaire de l’IHEDN.

- Rencontre du 4 février 2015 autour du dossier « Internet : une gouvernance inachevée » du

numéro d’hiver 2014-2015 de la revue Politique étrangère, organisée en collaboration avec Le

Tank.

- Sichel Olivier, « Que peut faire l'Europe face à l'hégémonie numérique américaine ? »,

conférence du 19 mars 2015 par le comité Cyberdéfense de l’ANAJ-IHEDN.

Blogs

- Diploweb (http://www.diploweb.com/)

- Internet et juridiction (http://www.internetjurisdiction.net/)

- Lois des réseaux (http://reseaux.blog.lemonde.fr/)

- Oxford Internet Institute (http://www.oii.ox.ac.uk/)

- RP Défense (http://rpdefense.over-blog.com/)

Bases de données

- Base de données de la banque mondiale (http://data.worldbank.org/)

- Eurostat, base de données de l’UE (http://ec.europa.eu/eurostat/help/new-eurostat-website)

- Internet World Stats (http://www.internetworldstats.com/)

!

123

- Net Market Share (https://netmarketshare.com/)

- StatCounter (http://gs.statcounter.com/)

Presse généraliste

- Les Échos

- L'Express

- Le Figaro

- Le Huffington Post

- Libération

- Le Monde

- Le Point

- La Tribune

- Rue 89

- Slate

Presse spécialisée

- 01.net

- Boursier

- Clubic

- Global Security Mag

- ITespresso

- Le Monde informatique

- L'Usine Digitale

- L'Usine Nouvelle

- Next Inpact

- Numerama

- Space

!

124

- Zdnet

Presse étrangère

- Corriere

- The Guardian

- The New York Times

- Recode

- The Wall Street Journal

!

125

PERSONNALITÉS INTERROGÉES

- Charlie Barthet : rapporteur au Conseil National du Numérique (CNNum)

- Laurent Bloch : statisticien et informaticien, co-fondateur de l’un des premiers fournisseurs

français d’accès à l’Internet. Aujourd’hui chercheur en cyber-stratégie à l'Institut français

d'analyse stratégique (IFAS)

- Bernard Benhamou : chercheur, secrétaire général de l’Institut de Souveraineté Numérique

et Délégué aux usages de l’Internet (DUI) au Ministère de l’Éducation

- Alain Bensoussan : avocat spécialisé dans le droit des technologies avancées

- Contre-Amiral Arnaud Coustillière : Officier général à la cyberdéfense - État-Major des

Armées

- Erwan Le Noan : journaliste et avocat spécialisé en droit de la concurrence

- Catherine Morin-Desailly : Sénatrice de la Seine-Maritime

- Francesca Musiani : chargée de recherche au CNRS à l'Institut des sciences de la

communication

- Klara Peyre : responsable des projets de promotion internationale pour la mission « French

Tech »

- Admiral Michael S. Rogers : directeur de la National Security Agency (NSA) et

commandant de l’United State Cyber Command (USCYBERCOM), interrogé dans le cadre

d’une rencontre organisée par la Chaire Castex de Cyberstratégie.

!

126

- Louis Pouzin : ingénieur français en informatique dont les travaux ont largement participé à

la mise au point de l’Internet

- Laure de la Raudière : députée d’Eure-et-Loir

- Aymeric Simon : spécialiste des questions politico-juridiques relatives à la cyber-sécurité,

employé de la filiale CyberSecurity d’Airbus Defence and Space

- Lieutenant-colonel Patrice Tromparent : membre de la délégation aux affaires stratégiques

du Ministère de la Défense

- Philippe Wolf : ancien conseiller du Directeur général de l’Agence Nationale des Sécurité

des Systèmes d’Information (ANSSI)

Demandes d’entretien sans réponses ou refusées :

Jean-Marie Bockel (Sénateur)

Barbara Cassini (journaliste)

Christian Paul (Député)

Didier Renard (PDG de Cloudwatt)

!

127

TABLE DES CARTES

Carte 1: De l’ambivalence des rapports stratégiques : le cas de la National Security Agency ................................................................................................................................................p.29 Carte 2: Les infrastructures du cyberespace français dans leur environnement....................p.54 Carte 3: L’hégémonie des services en ligne américains au sein de l’Union européenne......p.64 Carte 4: L’Union européenne : « colonie du monde numérique » ?......................................p.78 Carte 5: La mission « French Tech » : un programme national de labellisations régionales. ................................................................................................................................................p.88 Carte 6: La fracture de la conférence mondiale des télécommunications internationales de 2012..................................................................................................................................... p.106

!

128

TABLE DES MATIÈRES

Remerciements………………………………………………………………………….……p.3

Sommaire…………………………………………………………………….………………p.4

Introduction…………………………………………………..………………………………p.5

Chapitre 1: L’enjeu stratégique de la défense de la souveraineté numérique ...............……p.19

1. Les États-Unis: une menace pour la souveraineté numérique française ?…….............…p.19

1.1 Le cyberespace : un territoire conflictuel……………………………………….............p.19

1.2. Les principaux programmes de surveillance de la NSA…………………………….....p.22

1.3 Communication politique et réalité stratégique………………………………….......…p.26

2. La défense de la souveraineté française dans le cyberespace……………………………p.32

2.1. Cyber-défense et cyber-offense…………………………………………………..........p.32

2.2 L’industrie nationale au service de la souveraineté numérique……………...…………p.35

2.3 Une impossible cyber-défense européenne ? …………………………………………..p.40

3. La tentation de la surveillance……………………………………………………...........p.43

3.1. La loi de 2015 sur le renseignement………………………………………...…………p.43

3.2. De l'utilité de la menace terroriste……………………………………………..........…p.48

Chapitre 2 : L’enjeu économique de la défense de la souveraineté numérique.................…p.54

1. La domination économique des acteurs américains……………………………...………p.54

1.1 Une domination procédant d’une volonté politique…………………………….....……p.54

1.2 Un modèle économique innovant……………………………………………............…p.56

1.3 L'Union européenne : « colonie du monde numérique » ?……….…….………………p.61

2. La défense du marché numérique européen………………………………………...……p.66

2.1 De l'importance d'une économie numérique européenne……………………….………p.66

2.2 L'harmonisation du cadre européen…………………………………….………………p.68

!

129

2.3 Les propositions techniques pour le renforcement de la souveraineté numérique

européenne…………………………….…………………………….……………...………p.73

3. Le Made in France: un instrument de la souveraineté numérique ?……….………….…p.78

3.1 Le cloud souverain………………………………………………………………..…….p.78

3.2 La « French Tech » : pour une culture de l'innovation…………….…….……….…….p.83

3.3 La cybersécurité française………………………………………………………………p.88

Chapitre 3 : L’enjeu informationnel et culturel de la souveraineté numérique………….....p.92

1. Les leaders du secteur des TIC : une menace pour le modèle social européen et

français ?………………………………………………………………………....…………p.92

1.1 L’accès à la connaissance………………………………………………………………p.92

1.2 Les États face au risque d'obsolescence politique………………………………………p.94

2. Les initiatives pour la sauvegarde de l'esprit européen…… ………………….…………p.99

2.1 La protection des données…………………………………………….…………….…..p.99

2.2 Le rôle de l'Europe dans la gouvernance de l'Internet……….………….………….…p.103

3. La République numérique.….……………….……………………………….…………p.108

3.1 Les opportunités de l'e-gouvernance…………………………………….……….……p.108

3.2 La résistance des élites françaises au numérique…………………………….….….…p.111

3.3 L'importance de l'éducation pour le futur numérique de la France……………………p.112

Conclusion………………….………………………………….……………………….…p.114

Sources et bibliographie ……………………………………………………….….………p.117

Personnalités interrogées………………….……………………………….………………p.125

Table des cartes……………………………………………………………………………p.127

Table des matières…………………………………………………………………………p.128