Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
LENORMAND Quentin
Mémoire de Master 2
LES REPRESENTATIONS DE LA SOUVERAINETE NUMERIQUE FRANCAISE
Sous la direction du Professeur Frédérick Douzet
Année 2014/2015
Chaire Castex de CyberstratégieCercle des partenaires de l’IHEDNEcole Militaire - 1 place Joffre, 75007 Paris
Institut Français de GéopolitiqueUniversité Paris 8 Vincennes Saint-Denis2 rue de la Liberté, 93526 Saint-Denis Cedex
Jeune chercheur de la chaire Castex de cyberstratégieEtudiant à l’Institut Français de Géopolitique
!
Les enjeux :
Les enjeux concernent la défense des intérêts français dans le cyberespace, d’un
point de vue stratégique, politique, économique et culturel. La souveraineté numérique dénote
en effet des préoccupations croissantes concernant le maintien et le respect des États de droit
sur ce nouvel espace/territoire qu’est le cyberespace. Ce mémoire souhaite ainsi interroger les
représentations dominantes dans le débat portant sur la souveraineté nationale française à
l’heure de la « révolution numérique » afin de comprendre les initiatives mises en œuvre dans
cette optique.
Les acteurs :
Les acteurs sont à la fois issus de la classe politique (sénateurs, députés, ministres)
que du monde militaire et de la communauté du renseignement. Entrent également en jeu les
acteurs privés industriels engagés dans l’économie numérique ainsi que la communauté des
chercheurs universitaires et indépendants. Enfin, l’univers journalistique participe à la
diffusion et à la constitution de certaines représentations dominantes dans ce débat.
Les ensembles spatiaux :
Les ensembles spatiaux pris en compte par ce mémoire concernent aussi bien les
espace physiques (Amérique du Nord/Europe/Asie, France/États-Unis/Allemagne/Royaume-
Uni, etc.) que les cyber-espaces (réseaux physiques, réseaux informationnels, etc.) plus
difficiles à cartographier.
Mots clés :
Représentations, rivalités, souveraineté, numérique, France, États-Unis,
leadership, surveillance, Internet, réseaux, Google, Facebook, Apple, Amazon, GAFA,
fiscalité, solutionnisme, cyberdéfense.
!
2
!
3
REMERCIEMENTS
Je tiens avant tout à remercier Madame le professeur Frédérick Douzet pour
m’avoir donné l’opportunité de travailler sur ce sujet innovant.
Je souhaiterais également que tous ceux qui ont pris le temps de répondre à mes
demandes et de me recevoir dans le cadre de mon enquête de terrain trouvent ici l’expression
de ma gratitude.
Que l’ensemble de l’équipe de l’Institut Français de Géopolitique et de la Chaire
Castex de Cyberstratégie soit assurée de mes remerciements pour le temps qu’elle a consacré
à m’aider, dans le cadre de mes travaux de cartographie principalement.
Enfin, merci à mes relecteurs pour leur patience et leur assistance.
!
4
SOMMAIRE
Remerciements………………………………………………………………………………p.3
Sommaire……………………………………………………………………………………p.4
Introduction…………………………………………………………………………………p.5
Chapitre 1: L’enjeu stratégique de la défense de la souveraineté numérique................……p.19
Chapitre 2 : L’enjeu économique de la défense de la souveraineté numérique................….p.54
Chapitre 3 : L’enjeu informationnel et culturel de la souveraineté numérique.....…………p.92
Conclusion………………………………………………………………………………...p.114
Sources et bibliographie ………………………………………………………………..…p.117
Personnalités interrogées…………………………………………………………………..p.125
Table des cartes…………………………………………………………………………....p.127
Table des matières…………………………………………………………………………p.128
!
5
INTRODUCTION
Le concept de souveraineté a recouvert différentes significations depuis sa
première formalisation théorique au XVIe siècle. Selon Yves Lacoste, la souveraineté est le
« principe de droit international selon lequel un État indépendant […] exerce un pouvoir
éminent et exclusif sur son territoire1 ». À l'heure de ce qu'il est désormais convenu d'appeler
la révolution numérique, le concept s'est renouvelé et relève désormais d'enjeux à la fois
économiques, politiques, stratégiques et culturels qui sont abordés différemment en fonction
de l'échelle et du point de vue adoptés.
Alors que dans des pays comme la Russie des revendications souveraines sur les
réseaux s'expriment depuis les premiers temps de l'Internet, le débat concernant la
souveraineté numérique fait ses premiers pas en France. Les acteurs qui évoquent ce concept
se distinguent par leurs propres évaluations des menaces qui pèsent sur la souveraineté,
abordée à différents niveaux.
Historiquement, selon M. Philippe Wolf (ingénieur général de l'armement et
ancien ingénieur à l’Agence Nationale de la Sécurité des Systèmes d’Information), les
prémisses de la souveraineté numérique remontent à la mise en place de la dissuasion
nucléaire à la fin des années 1960. Les réseaux informatiques se multipliant, des impératifs de
confidentialité et de protection des données se font ressentir et conduisent au développement
d'une industrie nationale de technologies souveraines dans le domaine de la cryptologie, du
matériel informatique et de la cybersécurité, sans pour autant que cela fasse l'objet d'un débat
ou que le concept de souveraineté numérique soit formalisé. Puis, avec la généralisation du
numérique dans la sphère militaire, les besoins d'une pensée stratégique s’imposent. Les
années 2000 marquent de ce point de vue un tournant dans la défense de la souveraineté
numérique française. En effet, avec l'avènement de l'Internet, le numérique achève de
s'introduire dans l'ensemble des structures sociales et dès lors que le cyberespace prend de
l'importance, les questions relevant de sa gestion se politisent. La souveraineté numérique
s'extirpe du seul domaine militaire pour devenir une véritable question de politique publique.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!1 Yves Lacoste, De la géopolitique aux paysages. Dictionnaire de la géographie, Paris, 2003, Armand Colin, p.357.
!
6
Si en dehors des milieux spécialisés, ce débat a une faible exposition médiatique,
force est de reconnaitre qu'il fait l'objet d'une attention croissante depuis quelques années, de
la fin de la première décennie des années 2000 (époque où les questions de souveraineté dans
le cyberespace étaient à peine évoquées en France) à aujourd'hui et le sujet fait désormais
l'objet d'ouvrages, de colloques, d'articles, et il est évoqué par des personnalités politiques lors
de débats à l'Assemblée nationale ou au Sénat.
La première évocation du concept de souveraineté numérique en France date de
mars 2006 lorsque Bernard Benhamou et Laurent Sorbier, tous deux chercheurs
universitaires, publient un article intitulé « Souveraineté et réseaux numériques2 » qu'ils
concluent en ces termes : « Parce que ces technologies rendent l’information plus accessible,
elles doivent aussi être sous-tendues par un projet démocratique : c’est la seule question qui
vaille au regard de l’enjeu de la souveraineté numérique ». Il s'agit de la première utilisation
d'une formule qui va connaitre une popularité croissante. Depuis, Bernard Benhamou
participe activement à la diffusion de ces problématiques dans la société civile. Il devient en
octobre 2014 secrétaire général de l'Institut de Souveraineté Numérique, créé à l'initiative de
Cloudwatt, à qui le gouvernement français avait confié la mise en place d'un cloud souverain.
Cet institut, présidé par Didier Renard (également président de Cloudwatt), est destiné à faire
connaitre les enjeux de la souveraineté numérique au grand public et aux élus3.
Le 13 octobre 2008, Pierre Bellanger, président de Skyrock, publie un article dans
le journal La Tribune intitulé « Contre la crise : Internet, Internet, Internet » dans lequel il
utilise la formule de « souveraineté numérique ». Selon lui, la solution pour sortir de la crise
économique doit passer par les nouvelles technologies et l'Internet : « La crise permet de
réfléchir en grand, la crise permet aux pouvoirs publics de jouer un rôle moteur et structurant.
Il ne faut pas laisser passer cette opportunité. L'enjeu est notre industrie numérique, notre
souveraineté numérique. C'est le moment de faire fort. Dans toutes les grandes nations,
l'économie numérique sera une des raisons du rebond, de la prospérité retrouvée. Et c'est
maintenant que cela se décide4 ». Cet article est le premier d'une longue série d'écrits qui va
permettre à Pierre Bellanger de devenir un interlocuteur à part entière dans le débat sur la
souveraineté numérique.
En effet, Pierre Bellanger multiplie depuis les interventions. Le 30 août 2011, il !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!2 Benhamou Bernard, Sorbier Laurent, « Souveraineté et réseaux numériques », Politique étrangère, 3/ 2006 (Automne), p. 519-530. 3 http://www.souverainetenumerique.fr 4 Bellanger Pierre, « Contre la crise : Internet, Internet, Internet », La Tribune, 13 octobre 2008.
!
7
publie une nouvelle tribune dans Les Échos5 où il reprend la formule de « souveraineté
numérique ». Il considère la souveraineté numérique française comme « abandonnée » à
« l'impérialisme » américain et appelle à sa « reconquête » qui doit passer par une alliance
entre les nations européennes. Il publie en janvier 2014 un ouvrage dont le titre reprend la
formule6 et dans lequel il appelle à l’instauration d’une souveraineté numérique nationale
pour faire face aux enjeux économiques et culturels imposés par le développement des
réseaux informatiques.
Le 14 janvier 2015, Pierre Bellanger publie une nouvelle tribune dans le quotidien
Le Monde intitulée « Défendre la République numérique7 ». Il revient sur les enjeux de la
protection des données personnelles, alors qu'au même moment à l'Assemblée nationale,
Axelle Lemaire, secrétaire d'État chargée du numérique, présente les orientations de son
projet de loi sur le numérique8.
La classe politique s'intéresse aussi à ces questions, sans que le débat soit pour
autant teinté d'une coloration politique particulière. Le 17 juin 2009, la fondation d'entreprises
Prometheus, présidée par Bernard Carayon en tant que député (UMP) du Tarn, organise à
l'Assemblée nationale un colloque consacré à la souveraineté numérique9. À cette occasion, la
ministre de l'Intérieur Michèle Alliot-Marie annonce l'élaboration d'un « Livre blanc sur la
cybersécurité »10. C'est à ce moment là que le gouvernement commence à réfléchir à des
mesures concrètes visant à assurer le respect de la souveraineté nationale dans le cyberespace.
Cette implication se concrétise avec la création en juillet 2009 de l'Agence Nationale de la
Sécurité des Systèmes d'Information (l'ANSSI). La mission de cette dernière, en plus d'assurer
la cybersécurité des organismes étatiques, consiste à conseiller et soutenir les administrations
ainsi qu’à contribuer à la recherche et au développement de technologies de sécurité
informatique11.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!5 Bellanger Pierre, « De la souveraineté en général et de la souveraineté numérique en particulier », Les Échos, 30 août 2011. 6 Bellanger Pierre, La souveraineté numérique, Paris, Stock, 2014, 252 p. 7 Bellanger Pierre, « Défendre la République numérique », Le Monde, 14 janvier 2015. http://www.lemonde.fr/idees/article/2015/01/14/defendre-la-republique-numerique_4555665_3232.html (consulté le 14 janvier 2015) 8 Ibid. 9 « Fondation Prometheus: un colloque sur la souveraineté numérique à l'Assemblée le 17 juin prochain », La Tribune, 10 juin 2009. http://objectifnews.latribune.fr/node/500 (consulté le 27 janvier 2015) 10 « Un "Livre blanc sur la cybersécurité" », Le Figaro, 17 juin 2009. http://www.lefigaro.fr/flash-actu/2009/06/17/01011-20090617FILWWW00569-un-livre-blanc-sur-la-cybersecurite.php (consulté le 18 décembre 2014) 11 ANSSI, Historique de l’ANSSI. http://www.ssi.gouv.fr/agence/presentation/l-historique-de-l-anssi.html (consulté le 10 janvier 2015)
!
8
À l'été 2012, le sénateur Jean-Marie Bockel (UDI) publie un rapport d'information
« fait au nom de la commission des affaires étrangères, de la défense et des forces armées sur
la cyberdéfense »12. Il y évoque les risques d'atteinte à la souveraineté nationale via la sphère
numérique. Son initiative met en lumière les lacunes de la politique de l'État sur le plan de la
cybersécurité13.
En janvier 2013, le conseiller d'État Pierre Collin et l'inspecteur des finances
Nicolas Colin déposent au Conseil d'État un rapport14 sur la fiscalité du numérique, destiné à
plusieurs ministères. Les rédacteurs invitent l'État à formuler « l'argument de la souveraineté
numérique » auprès des instances européennes afin de combattre le « lobbying intense » des
géants du web américain, fiscalement exilés en Irlande15.
De même, la sénatrice Catherine Morin-Desailly (UDI) publie plusieurs rapports
sur ces questions où elle développe un point de vue très engagé sur la question de la
souveraineté numérique. En mars 2013, l'un deux, intitulé « l'Union européenne, colonie du
monde numérique ? » pose en particulier la question de la dépendance, sur le plan de
l'économie numérique, de l'Europe vis-à-vis des États-Unis16.
En mai 2014, les députées Corinne Erhel (PS) et Laure de la Raudière (UMP)
publient un rapport conjoint sur le développement de l'économie numérique française où elles
dénoncent le déséquilibre fiscal qui profite aux géants américains du numérique, au détriment
de l'économie française et européenne et, à terme, de la souveraineté nationale17.
En août 2014, le Secrétariat Général de la Défense et de la Sécurité Nationale,
dépendant du Premier ministre, s'empare du sujet de la souveraineté numérique et publie un
article intitulé « Vers une souveraineté numérique ? »18 qui s'interroge sur la signification du
mot « souveraineté » dans le monde numérique.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!12 Bockel Jean-Marie, Rapport d'information fait au nom de la commission des affaires étrangères, de la défense et des forces armées sur la cyberdéfense, 18 juillet 2012, 158 p. http://www.senat.fr/rap/r11-681/r11-6811.pdf (consulté le 19 janvier 2015) 13 Bellec Stéphanie, « Cyberdéfense : Jean-Marie Bockel demande à François Hollande de l'auditionner », 01net, 5 octobre 2012. http://pro.01net.com/editorial/574947/cyberdefense-jean-marie-bockel-demande-a-francois-hollande-de-lauditionner/ (consulté le 5 février 2015) 14 Collin Pierre, Colin Nicolas, Mission d'expertise sur la fiscalité du numérique, janvier 2013, 198 p. http://www.economie.gouv.fr/files/rapport-fiscalite-du-numerique_2013.pdf (consulté le 5 février 2015) 15 Ibid, p.139. 16 Morin-Desailly Catherine, Rapport d'information fait au nom de la commission des affaires européennes sur l' « Union européenne, colonie du monde numérique ? », mars 2013, 158 p. http://www.senat.fr/notice-rapport/2012/r12-443-notice.html (consulté le 12 février 2015) 17 Erhel Corinne, De La Raudiere Laure, Rapport d'information sur le développement de l'économie numérique française, 14 mai 2014, 163 p. http://www.assemblee-nationale.fr/14/pdf/rap-info/i1936.pdf (consulté le 14 mai 2015) 18 Secrétariat Général de la Défense et de la Sécurité Nationale, Vers une souveraineté numérique ?, 4 août 2014.
!
9
En juin 2015, la formule de souveraineté numérique a été mise à l’honneur par le
député Malek Boutih (PS) dans son rapport intitulé « Génération radicale19 » consacré au
djihadisme. Dans le chapitre intitulé « Internet, la loi du Far-West », celui-ci reprend l’idée de
Pierre Bellanger d’un « Commissariat à la souveraineté numérique20 », estimant par ailleurs
que le PDG de Skyrock est un « spécialiste incontesté des enjeux du réseau, qui a théorisé le
concept de souveraineté numérique » et dont le constat « est basé sur des années
d’expérience21 ». Le thème de la souveraineté numérique suscite également des réunion publiques
(conférences, colloques, etc.). En septembre 2012, l'autorité régulatrice des communications
électroniques (ARCEP) organise un colloque intitulé « Les territoires du numérique ». En
introduction, Françoise Benhamou, membre du collège de l'ARCEP, reprend le concept de
souveraineté numérique tel qu'il a été défini quelques mois plutôt par Pierre Bellanger dans la
revue Débat22.
Le mois de mai 2014 voit ensuite se tenir la première édition des Assises de la
souveraineté numérique, organisée par l'agence de relations publiques Aromates. Le public a
pu assister aux interventions de personnalités très diverses, comme Didier Renard, le
président de Cloudwatt, les députées Corinne Erhel et Laure de la Raudière, la sénatrice
Morin-Desailly, des représentants d'entreprises du numérique (Mappy, Alcatel-Lucent) et du
milieu universitaire (Olivier Babeau) 23. La deuxième édition de ces Assises s'est déroulée au
mois d'avril 201524.
Le 12 septembre 2014, l'université de Rennes organise un colloque intitulé « Droit
et souveraineté à l'âge de l'Internet : quels défis pour l'Europe ? 25 » qui regroupe des acteurs
très divers du monde numérique autour de discussions portant aussi bien sur le droit,
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!19 Bouthi Malek, Génération radicale, juin 2015, 68p. http://www.boutih.fr/wp-content/uploads/2015/07/G%C3%A9n%C3%A9ration-radicale.pdf (Consulté le 10 août 2015) 20 Ibid., p.60. 21 Ibid. p.60. Malek Boutih est par ailleurs directeur des relations institutionnelles de Skyrock. Source : http://www.strategies.fr/guides-annuaires/nominations/r91596W/mamadou-gaye-directeur-des-affaires-publiques-de-skyrock.html (consulté le 9 août 2015) 22 Benhamou Françoise, Introduction de la table ronde Le numérique sans territoire ?, Colloque annuel de l’ARCEP sur « Les territoires du numérique » , 25 septembre 2012. http://www.arcep.fr/index.php?id=2124&tx_gsactualite_pi1[uid]=1545&tx_gsactualite_pi1[backID]=1&cHash=3a5458e8a2e9ce1b5995bae1c70aa884 (consulté le 23 juin 2015) 23 Beki Ariane, « Souveraineté numérique : vers une reconquête française ? », silicon.fr, 13 mai 2014. http://www.silicon.fr/assises-souverainete-numerique-reconquete-francaise-94307.html (consulté le 3 février 2015) 24 http://www.souverainetenumerique.aromates.fr/ 25 Programme du colloque « Droit et souveraineté à l'âge de l'Internet : quels défis pour l'Europe ? »
!
10
l'éducation, la culture ou la défense26.
Historiquement, le Ministère de la Défense est un acteur central de la défense de
la souveraineté numérique française. Si cette implication s'inscrit dans sa mission
traditionnelle de défense des intérêts nationaux, elle a pris ces dernières années une direction
inédite. Sans entrer ici dans les détails, il convient de signaler que le Ministère de la Défense
entend jouer un rôle central dans la formation d'une communauté numérique française qui
regrouperait des chercheurs universitaires, des ingénieurs, des militaires, des industriels, des
élus, etc. Le plan mis en œuvre par le Ministère doit favoriser la recherche de solutions
informatiques françaises, développer une réflexion sur les questions liées au cyber et faire
émerger une industrie nationale qui pourrait répondre à des besoins à la fois civils et
militaires. L'objectif est de relever le défi de l'autonomie stratégique française dans le
cyberespace et d'assurer ainsi la souveraineté numérique française.
L'utilisation de plus en plus fréquente de la formule de « souveraineté
numérique » témoigne donc de préoccupations croissantes concernant la cybersécurité, que ce
soit à l'échelle individuelle ou collective. D'emblée, nous pouvons déterminer trois contextes
dans lesquels le concept de souveraineté numérique est évoqué en France.
Tout d’abord dans le domaine stratégique. La défense de la souveraineté
numérique s'inscrit dans la mission traditionnelle des forces armées. Avec la numérisation
progressive du champ stratégique, la protection de la souveraineté comprend désormais une
part importante de numérique. Cette défense, comme nous avons pu le voir, est cependant
antérieure à la réflexion stratégique concernant la souveraineté numérique.
La formule est également évoquée dans le domaine économique. La souveraineté,
c'est aussi la capacité de l'État à accompagner ses administrés dans les processus de création
de richesse. Or le cyberespace, en tant que support de l'économie du futur, est porteur
d'immenses promesses de croissance. Dans ces conditions, la France saura-t-elle mettre en
place un environnement qui lui permettra de relever les défis de l'économie à venir ? C'est la
question de la fiscalité dont le cadre traditionnel est désormais jugé inadapté à la nouvelle
économie numérique, qui concentre aujourd'hui l'attention des acteurs. Par ailleurs, le débat
concernant la souveraineté économique fait l'objet d'un regain d'intérêt depuis l'affaire
Snowden. En effet, les révélations ayant jeté un certain discrédit sur l'industrie américaine du
numérique (principalement dans le secteur de la cybersécurité, du stockage et de la
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!26 Ibid.
!
11
confidentialité des données), un certain nombre d'acteurs industriels européens se sont
détournés des offres nord-américaines. Un marché de la confiance numérique est ainsi
susceptible d'émerger en Europe, ce qui constitue une formidable opportunité de
développement économique.
Enfin l'évocation de la souveraineté numérique s'inscrit dans le débat concernant
l'influence culturelle des réseaux. Une part de plus en plus importante de nos modes de vie se
structure aujourd'hui autour des outils informatiques. Or, étant donné que l'Internet est
également un réseau informationnel, il constitue un vecteur d'influence culturelle ; défendre la
souveraineté française, c'est donc protéger les valeurs constitutives de la France afin qu'elle
soit en mesure de pérenniser son modèle social et politique.
La formule permet donc d'évoquer des enjeux très différents, mais qui, comme
nous allons le voir, s'imbriquent souvent entre eux. Ces enjeux recouvrent des problématiques
liées à la protection des données, au respect de la neutralité du net afin que ce dernier reste un
espace de liberté, à la fiscalité des entreprises du numérique, à la défense des éléments
stratégiques de la nation, etc.
Les enjeux de la souveraineté numérique sont appréhendés à différentes échelles :
- la première, c'est l'échelle individuelle du citoyen ou de l'internaute. Elle permet d'évoquer la
responsabilité et les droits des internautes considérés individuellement. Ce point est important
car le développement de l'Internet octroie un pouvoir inédit aux individus et fait de chacun
d’eux un acteur stratégique des réseaux27.
- la deuxième échelle, c'est celle de l'entreprise et de manière plus générale celle de la
communauté des entrepreneurs français. Il s'agit non seulement de défendre les données
contre le piratage, d'assurer la transition des entreprises vers le numérique mais aussi de
donner aux entrepreneurs la possibilité de s'étendre sur les marchés en croissance, en majorité
liés au numérique.
- la troisième échelle relève des États. Elle permet de questionner la place et le rôle des entités
étatiques dans les réseaux.
De plus, le débat concernant la souveraineté numérique française s'inscrit dans un
contexte international particulier : celui de la remise en question générale de la puissance
américaine. En effet, il apparait aujourd'hui pour certains que la configuration actuelle des
réseaux informatiques, conçus par les Américains, a été pensé de telle manière à ce qu'ils
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!27 Kempf Olivier, « Stratégie du cyberespace », Diploweb.com,13 février 2013. http://www.diploweb.com/Strategie-du-cyberespace.html (consulté le 10 février 2015)
!
12
servent leurs intérêts quasi-exclusifs. Or, un certain nombre de pays considère aujourd'hui que
cette hégémonie s'est imposée aux dépens de leur souveraineté. C'est pourquoi les
revendications souveraines ne cessent de s'intensifier dans les réunions internationales qui
rassemblent les acteurs concernés par la gestion des réseaux. Néanmoins, ce mouvement de
contestation ne constitue pas pour autant un front uni car la plupart de ses acteurs poursuivent
des objectifs stratégiques différents et défendent des intérêts particuliers.
Il existe deux courants différenciables qui militent pour la défense de leur
souveraineté dans les débats sur la gouvernance de l'Internet. Ils se distinguent en ce qu'ils ont
une base historique différente et servent des intérêts particuliers, voire divergents. Le premier
courant est composé de pays aux régimes politiques autoritaires (la Chine, l'Iran, la Russie
principalement) dont les revendications remontent parfois au début de l'Internet. Malgré des
intérêts divergents, ces pays s'accordent sur l'idée qu'une gouvernance des réseaux par les
États et les gouvernements est nécessaire afin que ceux-ci soient en mesure de défendre leur
souveraineté contre les menaces d'origine informatique. C'est pourquoi ils militent activement
pour un transfert des compétences des organismes de gestion des réseaux vers une
organisation internationale interétatique du type de l'ONU. La raison principale invoquée pour
justifier ces revendications est d'ordre sécuritaire : ces pays souhaitent rétablir leur contrôle
sur les réseaux afin que ces derniers ne véhiculent pas de menaces (espionnage, sabotage,
surveillance) pouvant porter atteinte à leur souveraineté.
Au delà des déclarations officielles, ces prises de position servent différents
intérêts. Le premier est politique : en revendiquant le droit de chaque État à contrôler seul ses
réseaux informatiques au nom de leur cybersécurité et sous couvert de la lutte contre le
terrorisme et la criminalité sur l'Internet, ces pays autoritaires mettent en place des systèmes
de contrôle et de censure des informations sur leurs réseaux. Cela leur permet de renforcer
leur contrôle sur leurs populations.
Le deuxième intérêt est économique : en dénonçant la configuration actuelle des
réseaux et en interdisant l'accès à certaines plates-formes étrangères (Google et Facebook sont
par exemple inaccessibles en Chine) au nom de leur souveraineté, ils favorisent le
développement d'un véritable marché national qui se substitue aux offres étrangères. Il s'agit
donc d'une forme de protectionnisme économique.
Quant au dernier intérêt, il est culturel : ces pays considèrent en effet que les
réseaux tels qu'ils ont été conçus originellement en Amérique du Nord restent un instrument
au service du soft power américain. Le président Poutine n'a par exemple pas hésité à affirmer
!
13
que l'Internet était un projet de la CIA28. Ces pays craignent que leurs identités respectives
soient altérées par la diffusion des valeurs occidentales29. En revendiquant au nom de leur
souveraineté le droit exclusif des États à gérer leurs réseaux, ces acteurs souhaitent donc
maintenir leur unité intérieure30.
Le deuxième courant de revendications souveraines est constitué de pays
émergents tels que l'Argentine, l'Afrique du Sud, l'Inde ou le Brésil, qui ont tous en commun
d'être des démocraties libérales en voie développement économique. Ces pays militent pour
une gestion multipartite (multi-taskholder en anglais) des réseaux informatiques, c'est-à-dire
une gouvernance prenant en compte l'ensemble des groupes d'intérêts impliqués dans les
réseaux : gouvernements, industriels, chercheurs, militaires, politiques, etc. En incluant
l'ensemble des acteurs concernés, ces pays souhaitent s'assurer que l'Internet reste un espace
de liberté. Au départ, la gestion des réseaux a été conçue à l'initiative des États-Unis selon ce
modèle multi-partite. Cependant, il apparait clairement aujourd'hui que cette gestion est
obérée par le contrôle historique que les États-Unis exercent sur les réseaux informatiques,
contrôle qui se caractérise par les liens contractuels qui unissent l'ICANN (Internet
Corporation for Assigned Names and Numbers), principal organisme de gestion des réseaux,
avec le Department of Commerce américain31.
Ici également, ce positionnement sert une fonction économique : les contestations
souveraines ouvrent en effet le champ à un développement économique national. Mais il s'agit
également d'un positionnement sur la scène diplomatique. Pour les pays émergents aspirant à
devenir des acteurs régionaux de poids, c'est un faire-valoir sur la scène internationale, surtout
depuis les révélations d'Edward Snowden.
Deux éléments caractérisent donc ce front de « cybercontestation32 ». Le premier,
c'est l'engagement de ces États dans une politique d'influence régionale (en Asie pour la
Chine, en Amérique du Sud pour le Brésil, dans l'Océan Indien pour l'Inde, dans l'ex-bloc
soviétique pour la Russie, dans le Proche et Moyen-Orient pour l'Arabie Saoudite et les
Émirats Arabes Unis). Le deuxième, c'est la contestation quasi-systématique de l'hégémonie
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!28 « Poutine : "Internet est un projet de la CIA" », Euronews, 26 mai 2014. http://fr.euronews.com/2014/04/26/poutine-internet-est-un-%20projet-de-la-cia/ (consulté le 14 avril 2015) 29 Limonier Kevin, « La Russie dans le cyberespace : représentations et enjeux », Hérodote, 2014/1 n° 152-153, p.145. 30 Flichy De La Neuville Thomas, « Chine-Iran-Russie, la cyberguerre au prisme de la géoculture », Les Grands Dossiers de Diplomatie, n°23, p.45. 31 Ebert Hannes et Maurer Tim, « Revendications sur le cyberespace et puissances émergentes », Hérodote, op. cit., p.279. 32 Ibid. p.280.
!
14
américaine sur la scène internationale. En défendant une réforme de la structure et de la
gestion des réseaux au nom de leur souveraineté, ils militent de facto pour une
désaméricanisation du cyberespace et leurs politiques doivent donc être appréhendées dans
leur contexte diplomatique général.
Il existe par conséquent une ligne de fracture claire entre ceux qui militent pour
une réforme des réseaux afin de protéger leurs souverainetés, selon des modalités différentes,
et les partisans du statu-quo, dominés par les États-Unis. Ces derniers estiment que
l'organisation multipartite actuelle est la meilleure garantie contre le développement d'un
Internet fragmenté, ce qui irait à l'encontre de sa nature originelle. Ils se posent ainsi comme
les garants d'un Internet ouvert, libre et démocratique. Cette fracture est apparue clairement
lors de la Conférence mondiale des télécommunications internationales de Dubaï en 2012.
L’article 1er du traité proclame le droit souverain de chaque État à réglementer ses
télécommunications. 54 États ont voté non, dont la France et les États-Unis, arguant que les
dispositions adoptées ouvriraient la voie à la censure et à la restriction des libertés sur les
réseaux. Parmi les tenants du oui, nous retrouvons l'ensemble des pays susmentionnés (Brésil,
Russie, Chine, Argentine, Iran, etc.) 33
Mais à la suite des révélations de Snowden, la position américaine qui consistait à
s’affirmer comme le défenseur des libertés fondamentales sur les réseaux a été fortement
décrédibilisée, ce qui en retour a légitimé les revendications souveraines. Si l'idée selon
laquelle l'Internet appartient aux États-Unis est encore très prégnante outre-Atlantique, le
président Obama n’en a pas moins annoncé que le contrat qui lie l'ICANN à l'administration
fédérale ne sera pas renouvelé (ce que certains considèrent d'ailleurs comme un abandon de la
souveraineté numérique américaine34), ouvrant à une possible réforme de la gouvernance des
réseaux. Il semblerait donc que malgré la multiplicité des intérêts poursuivis, la gouvernance
de l'Internet se situe à un moment charnière de son histoire avec la montée en puissance des
revendications souveraines.
Dans ce mouvement de contestation, quelle est la place de l'Europe ? Dans les
débats sur la gouvernance de l'Internet, la position européenne, faute de poids politique, n'est
pas claire. Il existe néanmoins une résistance européenne par voie judiciaire, qui, dans le
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!33 Liste de signataires de la déclaration finale. In: http://www.itu.int/osg/wcit-12/highlights/signatories.html. Une cartographie de la déclaration finale peut être trouvée en 3e partie de ce mémoire. 34 Rasley George, « Obama Giving Up America's Digital Sovereignty », Conservativehq, août 2014. http://www.conservativehq.com/article/16696-obama-giving-america%E2%80%99s-digital-sovereignty (consulté le 6 mars 2015)
!
15
cadre de la protection des données avec ledit « droit à l'oubli », s'attaque aux positions
monopolistiques des entreprises américaines du numérique en Europe. Cependant, les
défenseurs actifs de la souveraineté numérique française, envisagée majoritairement dans son
ensemble européen, dénoncent l'absence de vision politique claire à l'échelle européenne.
L'enjeu, c'est qu'à terme, l'Europe soit totalement dépendante des États-Unis sur le plan
économique, que cela entraine une altération du modèle social européen et de ses valeurs
culturelles, alors qu'ailleurs dans le monde, des marchés régionaux sont en plein croissance
dans le domaine du numérique, plus particulièrement en Asie où les acteurs chinois sont en
passe de devenir incontournables.
D'après les parties concernées, la France et l'Europe ont un rôle à jouer dans
l'avenir des réseaux, que ce soit sur le plan de l'industrie souveraine, dans la politique de
gestion des données et du respect de la vie privée. L'Europe est invitée à faire valoir son
industrie et sa culture. En défendant une souveraineté française solidaire de ses partenaires
européens, les acteurs souhaitent assurer une place à la France et à l'Europe dans un monde en
voie de fragmentation. Néanmoins, nous verrons que cette représentation d'une souveraineté
européenne, condition première pour assurer la défense des souverainetés nationales, a des
limites, dans le cas de la cyberdéfense en particulier.
Le débat sur la souveraineté numérique permet donc d'interroger la capacité des
États à exister dans le cyberespace et par exister, il faut entendre ne pas subir les évolutions
prises actuellement par les réseaux. La souveraineté numérique est donc un concept qui ne
doit pas être appréhendé selon sa définition traditionnelle : il ne s'agit pas ici d'une
souveraineté de type westphalienne mais plutôt d'une souveraineté entendue comme le
contrôle des éléments stratégiques (physiques ou immatériels) qui assurent l'existence,
l'intégrité et l'identité d'un État et de ses administrés dans le cyberespace.
Pour autant, certaines questions évoquées dans les débats concernant la
souveraineté numérique (localisation des données, infrastructures souveraines, disparité
fiscale, contrôle étatique, etc.) démontrent que ce phénomène de revendications est
indissociable de logiques territoriales. Ce point est important car pendant longtemps a prévalu
l'idée selon laquelle les réseaux étaient affranchis de toute contrainte physique et qu'à terme le
développement de l'Internet gommerait les frontières physiques et immatérielles qui divisent
les sociétés et rendrait la politique obsolète35. Or, l'affaire Snowden a mis en évidence, s'il en
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!35 John Barlow affirmait ainsi sa déclaration d'indépendance du cyberespace: « Governments of the Industrial World, [...] I ask you of the past to leave us alone. You are not welcome among us. You have no sovereignty
!
16
fallait, le fait que l'Internet n'est pas un objet politique neutre. L'étude des représentations de
la souveraineté numérique, françaises ou autres, démontre que la géographie physique et
politique constitue toujours un élément déterminant dans le développement des réseaux. Une
cartographie des revendications souveraines a donc été possible.
Afin d'identifier les acteurs et les rivalités qui structurent le débat, notre recherche
se base sur trois éléments méthodologiques. Le premier est une veille de l'actualité concernant
les nouvelles technologies. Cette veille concerne tout autant la presse généraliste nationale (Le
Monde, Le Figaro, Les Échos, La Tribune, Rue89, Slate, Le Huffington Post) et internationale
(The Guardian, The New York Times, The Wall Street Journal) que la presse spécialisée. La
majorité de cette presse spécialisée dans les nouvelles technologies publie uniquement en
ligne : Clubic, Zdnet, L'Usine Digitale, L'Usine Nouvelle, Numérama, 01net, Next Inpact,
Global Security Mag, ITespresso pour la presse francophone, MotherBoard, Re/code et Wired
pour la presse anglophone.
Notre recherche se base également sur la lecture d'ouvrages universitaires et par le
suivi des publications dans les revues spécialisées. La revue Hérodote a publié un numéro il y
a quelques mois sur ces questions36. L'Institut Français des Relations Internationales (IFRI)
s'intéresse aussi à ce sujet37. Nous nous sommes également penchés sur les publications des
centres de recherche en cyberstratégie tels que l'Institut Français d'Analyse Stratégique
(IFAS) et la Chaire Castex de Cyberstratégie de l’Institut des Hautes Études de la Défense
Nationale (IHEDN). Le Ministère de la Défense anime également un Observatoire du Monde
Cybernétique qui effectue une veille d'actualité régulière à propos des questions liées à la
géopolitique du cyberespace.
Enfin, la part la plus importante de notre recherche est issue de notre enquête de
terrain. Nous avons effectué des entretiens avec les différents acteurs impliqués dans le débat
en France ; ces acteurs sont issus de la classe politique, du secteur industriel, de la recherche
(qu'elle relève des sciences dite « dures » ou humaines), de la Défense, du journalisme, de
l'administration publique, etc. En sus de ces entretiens, nous avons assisté aux conférences,
débats, colloques et autres interventions publiques ayant un lien avec notre sujet. Enfin, le
suivi d'un certain nombre de blogs de spécialistes, (Laurent Bloch, Louis Pouzin, Daniel
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!where we gather. [...]Cyberspace does not lie within your borders. Do not think that you can build it, as though it were a public construction project. You cannot. It is an act of nature and it grows itself through our collective actions. » https://projects.eff.org/~barlow/Declaration-Final.html (consulté le 20 juin 2015). 36 Douzet Frédérick (dir.), « Cyberespace: enjeux géopolitiques », Hérodote, op. cit., 295 p. 37 « Internet: une gouvernance inachevée », Politique étrangère, 2014-2015/ n° 4.
!
17
Ventre, Olivier Kempf, etc.) dont nous trouverons la liste exhaustive à la fin de ce mémoire,
nous a permis d'affiner notre recherche.
La principale difficulté rencontrée lors de notre étude réside dans le fait suivant :
la formule de souveraineté numérique recouvre des enjeux très différents les uns des autres et
chaque acteur, en fonction de son angle d'approche, en conçoit une représentation particulière.
Quel lien existe-t-il alors entre la représentation d'un militaire qui conçoit la souveraineté
numérique dans le cadre de sa mission traditionnelle de Défense, un industriel qui utilise le
concept pour évoquer la puissance économique française et une personnalité politique qui y
voit des enjeux d'ordre culturel ?
Ce mémoire doit donc nous permettre d'interroger les représentations qui
prévalent dans le débat français concernant la souveraineté numérique. L'intérêt du sujet n'est
pas négligeable puisque le concept est utilisé de manière croissante dans le débat public, sans
que les acteurs qui l'évoquent ne s'accordent sur la signification à mettre derrière ce terme. Or
l'évocation de la formule n'est jamais neutre. Elle sert une fonction politique, qui s'inscrit dans
la remise en question générale de l'hégémonie américaine. Les contestations souveraines
permettent également de militer pour le développement d'une économique nationale et
européenne dans le secteur du numérique. Mais si l'affirmation des souverainetés numériques
sert avant tout des fonctions économiques et politiques, les enjeux n’en sont pas moins
beaucoup plus vastes : il s'agit également de la défense de spécificités françaises et
européennes face aux influences anglo-saxonnes (et peut-être bientôt asiatiques). La France,
partagée entre son attachement à l'atlantisme et la tentation d'une Europe politique forte,
pourrait donc élaborer une position médiane dans une gouvernance des réseaux en voie de
réorganisation. Elle pourrait alors y affirmer les principes d'un Internet ouvert et
démocratique, et en retour de se positionner comme une puissance incontournable sur la scène
internationale.
Notre réflexion s'articulera autour de trois axes. Le premier envisagera le concept de
souveraineté numérique du point de vue de la Défense nationale : quelle est la politique
engagée par la France en vue de protéger la part numérique de sa souveraineté ? À quelles
menaces la souveraineté nationale est-elle exposée dans le cyberespace ? Dans un deuxième
temps, nous nous intéresserons à la souveraineté économique : quelle est la place de la France
et de l'Europe dans l'écosystème numérique international ? Quelle politique a été engagée
pour pallier le retard des acteurs nationaux et européens vis-à-vis de leurs concurrents
étrangers ? Notre dernière partie se concentrera sur les problématiques culturelles de la
!
18
souveraineté numérique : en quoi le développement actuel pris par les réseaux constitue-t-il
une menace pour l'identité française et plus largement européenne ?
!
19
Chapitre 1
L’enjeu stratégique
de la défense de la souveraineté numérique
1. Les États-Unis: une menace pour la souveraineté numérique française ?
1.1 Le cyberespace : un territoire conflictuel
Depuis l'avènement des réseaux informatiques et l'expansion de l'Internet, de
nouvelles menaces contre les souverainetés étatiques ont été dénoncées et le cyberespace est
désormais considéré comme un territoire hautement conflictuel. Plusieurs raisons expliquent
l'intensification des discours des acteurs étatiques dénonçant les malveillances commises via
les réseaux informatiques, sans que la menace qui pèse effectivement sur les États ne soit
clairement évaluée.
L'investissement des États sur ce nouveau territoire est déterminé par la
représentation d'une menace. Or cette représentation sert une fonction : justifier le
renforcement du contrôle étatique sur les réseaux ou l'accroissement des dépenses dans le
domaine du cyber. Mais les « marchands de peur38 » sont également les promoteurs d'un
secteur économique en pleine expansion : celui de la cybersécurité. Une enquête effectuée par
une entreprise de ce secteur a dénombré près de 60 millions de logiciels ou codes malveillants
en circulation en 2010, contre 92 000 en 200539. Or pour Philippe Wolf, ces chiffres, sous
couvert d'objectivité, amplifient la menace réelle afin de stimuler le marché des produits de
sécurité. En effet, « la possibilité de créer facilement des variantes à partir de certains codes
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!38 Expression utilisée par Philippe Wolf lors de la conférence « Les frontières du cyberespace » organisée par les écoles de Saint-Cyr Coëtquidan le 4 juin 2013. http://www.dailymotion.com/video/x16k5nw_20-philippe-wolf-les-frontieres-du-cyberespace-4-juin-2013_news (consulté le 4 avril 2015) 39 Panda Security, The Cyber-Crime Black-Market, 44 p. http://www.pandasecurity.com/mediacenter/src/uploads/2014/07/The-Cyber-Crime-Black-Market.pdf (consulté le 4 août 2015)
!
20
malveillants, c’est- à-dire, pour l’attaquant, de les personnaliser, biaise ce dénombrement.40 »
À défaut de données fiables, il est donc difficile pour un chercheur d'évaluer la menace réelle
qui pèse sur les acteurs du cyberespace.
Les acteurs étatiques trouvent en réalité différentes motivations à investir dans des
cyber-capacités. La non-létalité propre aux attaques informatiques est un élément
fondamental. Du point de vue d'un militaire, une cyberattaque peut en effet produire le même
résultat qu’une arme traditionnelle mais sans les pertes matérielles et surtout humaines qu’une
attaque classique pourrait causer. Cela d’autant plus que le cyberespace offre un avantage
particulier : son opacité. Qui veut lancer une cyberattaque dispose d’instruments
d’anonymisation et de dissimulation permettant de cacher son identité et ses origines.
Certes il serait illusoire de prétendre décrire la multitude des stratégies mises en
œuvre par les pirates informatiques. Comme l'a remarqué Philippe Wolf, dans le cas des
attaques informatiques, trop d'ambiguïtés subsistent concernant la source (qui m'attaque ?), les
dommages (lesquels ?), les moyens (comment ?) et la finalité (pourquoi ?)41. Néanmoins, le
monde du hacking apparait comme un vivier de techniciens où mercenaires au service
d'idéologies (souvent extrémistes), terroristes, lanceurs d'alerte, ONG, cabinets d'intelligence
économique, entreprises de cybersécurité, polices, services de renseignement, criminalité
organisée se côtoient et s'affrontent, poursuivant tous des objectifs particuliers
(enrichissement, prestige, espionnage, etc.) tout en partageant quelques fois certains intérêts
réciproques42. La cyberinsécurité n'apparait donc plus aujourd’hui comme le fait exclusif de
groupes criminels mais une part grandissante concerne désormais les États.
Le cyberespace est ainsi devenu un déterminant dans les rapports de force
internationaux. Les États ne se contentent plus de renforcer leurs systèmes de défense contre
les attaques informatiques, mais ils développent désormais leurs capacités cyber-offensives. À
titre d'illustration, la Corée du Nord a doublé les effectifs de sa « cyberarmée » en 2013 pour
atteindre 6 000 hommes43. De même, une directive présidentielle américaine a détaillé la
politique cyber-offensive des États-Unis en octobre 2012. Dans ce document, Barack Obama
demandait à la NSA de mettre en place une liste de cibles potentielles pour des !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!40 Wolf Philippe, Vallée Luc, « Cyber-conflits, quelques clés de compréhension », Rapport INHESJ / ONDRP, p.787. 41 Wolf Philippe, Vallée Luc, « Cyber-conflits, quelques clés de compréhension », op.cit., p.795. 42 Dejean Philippe, Sartre Patrice « La cybervulnérabilité », Études, revue de culture contemporaine, juillet-août 2015, p.27. 43 « La Corée du Nord : une cyber-armée puissante », Le Figaro, 6 janvier 2015. http://www.lefigaro.fr/flash-actu/2015/01/06/97001-20150106FILWWW00269-coree-du-nord-une-cyber-armee-puissante.php (Consulté le 24 juin 2015)
!
21
cyberattaques44. En France, l'investissement dans les capacités cyberoffensives est resté une
question délicate pendant longtemps. Finalement, le Livre blanc de 2013 a reconnu qu' « au
sein de la doctrine nationale, la capacité informatique offensive, associée à une capacité de
renseignement, concourt de façon significative à la posture de cybersécurité45 ».
Les États ont donc effectué un retour à l'offensive grâce au développement des
outils informatiques. Il s'agit pour eux de maximiser leur puissance respective en utilisant les
possibilités offertes par le cyber. Alors que la généralisation des armes atomiques gèle les
possibilités d’affrontement physiques entre États, les armes cybernétiques ne contreviennent
pour le moment à aucun traité international ni au principe du respect de la vie humaine. Les
pays revendiquant le statut de puissance régionale ou mondiale investissent donc de manière
croissante dans le domaine du cyber et c'est la manière de faire la guerre qui est revisitée avec
le développement du numérique.
Jusqu'ici les attaques informatiques, même les mieux conçues, ont néanmoins eu
un impact limité : les populations n'ont pas été atteintes dans leur intégrité physique et les
ressources vitales des États n'ont jamais été entamées à grande échelle. Ce constat aide à
relativiser les concepts de cyber-conflits et de cyber-guerre. Peut-être ces attaques visent-elles
simplement à tester les capacités et les réactions des adversaires, à lancer un avertissement ou
à exprimer une menace46.
Des projets de régulation ont été proposés par certains États dans le but de
contenir les malveillances informatiques et de limiter les atteintes aux souverainetés via les
réseaux. Surtout que compte-tenu de l'interdépendance des États dans le cyberespace, les
attaques non-maitrisées pourraient avoir des effets en cascade sur les infrastructures critiques
que ces acteurs partagent, ce qui devrait inciter les États à faire preuve de responsabilité47.
En septembre 2008, dans un texte présenté à l'Assemblée générale des Nations
Unies, la Russie s'inquiétait ainsi que le cyberespace soit utilisé « à des fins incompatibles
avec le maintien de la stabilité et de la sécurité internationale et [qu'il puisse porter] atteinte à
l'intégrité de l'infrastructure des États, nuisant ainsi à leur sécurité dans les domaines tant
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!44 Greenwald Glenn, MacAskill Ewen, « Obama orders US to draw up overseas target list for cyber-attacks », The Guardian, 7 juin 2013. http://www.theguardian.com/world/2013/jun/07/obama-china-targets-cyber-overseas (Consulté le 24 juin 2015) 45 Guehenno Jean-Marie (dir.), Livre blanc sur la défense et la sécurité nationale, Paris, La Documentation française, 2013, p.107. 46 Dejean Philippe, Sartre Patrice « La cybervulnérabilité », op. cit., p.29. 47 Coustillière Arnaud, « La défense française et le cyberespace », Les Grands Dossiers de Diplomatie, n°23, octobre-novembre 2014, p.74.
!
22
civils que militaires48 ». Le contenu de la proposition était directement inspiré des traités
internationaux de désarmement encadrant les conflits traditionnels. La résolution fut adoptée à
l'unanimité moins une voix, celle des États-Unis. Des observateurs remarquèrent à l'époque
que si ces derniers votèrent contre ce projet de réglementation internationale, c'est que
l'insécurité du cyberespace devait leur profiter49. En effet, les révélations de Snowden ont
démontré que l'absence de régulation dans le cyberespace, où la « loi du plus fort » domine
actuellement en l'absence de cadre contraignant pour les États, a permis aux États-Unis de
déployer des capacités cyber-offensives destinées à protéger leurs intérêts et à renforcer leur
leadership, mais elles constituent pour de nombreux pays une menace directe pour leur
souveraineté numérique.
Il faut néanmoins garder à l'esprit que l'affaire Snowden, en mettant les États-Unis
sous les projecteurs des médias, identifie ce pays comme une menace prioritaire pour la
sécurité informatique des États et des entreprises. Pourtant, l'investissement dans le
développement de capacités cyber, qu'elles soient offensives ou défensives, n'est pas une
spécificité américaine, mais au contraire le fait d’un nombre croissant d’États. Ces révélations
sont en tout cas intéressantes puisqu'elles permettent d'affiner notre perception de la puissance
américaine à l'heure des réseaux informatiques.
1.2. Les principaux programmes de surveillance de la NSA
Le 5 juin 2013, Edward Snowden, un sous-traitant de la NSA, commence à faire
fuiter des documents concernant les pratiques des services de renseignement américains.
Depuis, les révélations qui se sont succédées ont permis de mettre en lumière la stratégie
réelle de la première puissance mondiale dans le cyberespace.
Il est important de préciser en premier lieu que seule la surveillance exercée par la
NSA sur le territoire américain s'est faite dans un cadre légal, celui du Patriot Act. Promulgué
le 26 octobre 2001, puis prorogé deux fois (le 9 mars 2006 et le 26 mai 2011), le Patriot Act
est arrivé à échéance en juin 2015 sans que cela signifie pour autant la fin de la surveillance.
Quant à la surveillance exercée en dehors du territoire des Étatq-Unis, elle s’effectue en !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!48 Assemblée générale des Nations Unis, Projet de résolution 63/385, résolution 63/37, adopté le 2 décembre 2008. 49 Fitsanakis Joseph, « La doctrine américaine de cybersécurité: une évaluation basée sur les révélations d'Edward Snowden », Les Grands Dossiers de Diplomatie, n°23, op. cit., p.27.
!
23
dehors de tout contrôle judiciaire.
À plusieurs titres, les pratiques de la NSA constituent un profond changement
de paradigmes dans l'histoire des relations internationales. L'ampleur des moyens mis en
œuvre est le premier élément innovant. Les personnalités issues des milieux spécialisés avec
lesquelles nous nous sommes entretenus n'imaginaient pas que la surveillance ait pu prendre
une telle ampleur. La NSA dispose en effet de plus de 700 serveurs localisés dans différents
pays du monde qui lui permettent de surveiller les réseaux en temps réel. 97 milliards de
données ont ainsi pu être collectées durant le seul mois de mars 201350. Rien qu'au Brésil, 2,3
milliards d'appels téléphoniques et d'email ont été interceptés en janvier 201351. En plus de ce
système d'écoute mondial, la NSA et la CIA collectent des millions d'images destinées à un
programme de reconnaissance faciale auquel s'ajoutent environ 200 millions de SMS chaque
jour52.
Si cette collecte massive a pu être réalisée, cela tient avant tout à la dissémination
croissante des données d'utilisation par les internautes. Avant l’ère numérique, la surveillance
était ciblée pour des raisons matérielles et pratiques. Les données produites en grande quantité
par les internautes lors de leur navigation sur l'Internet (lieux visités, opinions exprimées,
dépenses effectuées, etc.) se concentrent aujourd'hui dans quelques écosystèmes numériques
appartenant à un nombre restreint de prestataires de service en ligne (Google, Facebook,
Amazon et Apple principalement), ce qui a facilité le travail de la NSA. L’avancée
technologique de l’agence a ensuite permis le traitement de cette quantité phénoménale de
données : son directeur, l’Amiral Rogers, a ainsi confirmé lors de notre entretien que la NSA
investissait massivement dans de nouveaux outils technologiques.
L’exploitation et la création de failles dans le matériel informatique, et cela à
grande échelle, constituent le deuxième aspect innovant. Avec le programme GENIE, des
backdoors53 auraient été installés dans des ordinateurs et des logiciels, en particulier dans les
logiciels de protection des données (pare-feu et cryptographie principalement), ce qui aurait
permis à la NSA d'espionner les réseaux sécurisés sur lesquels les utilisateurs font transiter
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!50 Greenwald Glenn, MacAskill Ewen, « Boundless Informant : the NSA’s secret tool to track global surveillance data », The Guardian, 11 juin 2013. http://www.theguardian.com/world/2013/jun/08/nsa-boundless-informant-global-datamining (Consulté le 24 juin 2015) 51 « La NSA a aussi surveillé le Brésil, Snowden fait part de ses craintes », Le Monde, 7 juillet 2013. http://www.lemonde.fr/ameriques/article/2013/07/07/snowden-fait-part-de-ses-craintes_3443766_3222.html (Consulté le 24 juin 2015) 52 Greenwald Glenn, MacAskill Ewen, Ibid. 53 Le terme de backdoors désigne la modification volontaire d'un système informatique afin d'y créer un accès pour espionner l'activité de l'utilisateur à son insu.
!
24
des informations par nature confidentielle. Il existe aussi un programme, nommé BULLRUN,
dédié à la recherche et à l'exploitation de failles dans les systèmes de chiffrements utilisés par
les internautes, à titre individuel ou entrepreneurial. Lors de notre entrevue, Bernard
Benhamou, expert français délégué aux usages de l’Internet au Ministère de la Recherche et
de l’Enseignement supérieur a insisté sur l'importance de ce point : il estime que la NSA a agi
de manière irresponsable en introduisant et en utilisant des vulnérabilités dans les réseaux
pour y exercer sa surveillance, sans se soucier du fait que ces vulnérabilités auraient pu être
utilisées par n'importe quel autre pirate informatique. Les États-Unis ont ainsi mis en jeu
l'intégrité des réseaux et la sécurité des utilisateurs pour leur seul profit.
Enfin, le troisième et dernier aspect particulier des pratiques de la NSA réside
dans l'indifférenciation du choix des cibles. La surveillance américaine concerne tout autant
des institutions (écoute du conseil de l'Europe, des bureaux de l'Union européenne à l'ONU,
du siège de l'ONU, du G20 de Londres), des personnalités politiques (écoutes téléphoniques
de la chancelière allemande Angela Merkel, des trois derniers présidents français, de la
présidente brésilienne Dilma Roussef, etc.) que la « masse » indistincte des utilisateurs. Il ne
s'agit donc pas d'une surveillance ciblée mais au contraire généralisée. Le programme PRISM
donne ainsi à la NSA un accès légal (grâce à la section 215 du Patriot Act) et sans limitation
aux serveurs de grandes entreprises américaines de l'Internet tels que Facebook, Apple,
Amazon, Yahoo, Microsoft, qui agglomèrent chaque jour une masse d'informations
considérable provenant d'utilisateurs disséminés dans le monde entier. La surveillance est
également à visée industrielle : le BND allemand a ainsi espionné Airbus pour le compte de la
NSA54. Cette dernière ne se contente donc pas de surveiller les adversaires idéologiques des
États-Unis ou de prévenir les menaces terroristes. Elle vise indistinctement adversaires et
partenaires, cela au seul profit du renforcement de sa puissance globale.
Ainsi, le but poursuivi par les services de renseignement américains n'est pas de
cibler des ennemis potentiels ou déclarés des États-Unis, mais de mettre en place un système
de surveillance mondial n'épargnant que ceux qui ne représentent aucun intérêt pour eux. En
vue de la réalisation de ce projet, la NSA, et d'autres agences de sécurité telles que le FBI, se
sont publiquement opposées au renforcement des techniques d'anonymisation destinées à
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!54 « Espionnage : le ministre de l’Intérieur allemand auditionné », Le Point, 6 mai 2015. http://www.lepoint.fr/monde/espionnage-le-ministre-de-l-interieur-allemand-auditionne-06-05-2015-1926664_24.php (consulté le 5 août 2015)
!
25
protéger la confidentialité des échanges de données sur l'Internet55. La NSA travaille d'ailleurs
à la mise au point d'un calculateur quantique capable de décrypter les technologies de
chiffrement56.
La NSA n'est pas le seul acteur du système de surveillance américain : il repose
sur la coopération des différentes agences de renseignement intérieures (FBI) et extérieures
(CIA). L'objectif est de s'assurer que les réseaux soient passés au crible, pour mieux lutter
contre la menace terroriste. La justification de la surveillance, en la replaçant dans la lutte
contre le terrorisme, trouve néanmoins des limites aux vues des documents publiés à la suite
des révélations d'Edward Snowden. Il apparait que les outils informatiques décris plus haut
servent autant à lutter contre les terroristes (en Afghanistan, au Pakistan, au Sahel et en Irak
principalement), que contre les réseaux criminels (mexicains principalement). Mais les États-
Unis ne poursuivent pas que des enjeux sécuritaires : ces outils informatiques de surveillance
sont utilisés pour faire de l'espionnage industriel en vue d'obtenir des avantages concurrentiels
pour l'industrie américaine.
L’un des arguments employé par les Américains pour se justifier consiste à
évoquer le fait que la surveillance entre États, qu'ils soient adversaires ou partenaires, remonte
en réalité à des temps antérieurs au cyber. Dans un article du 29 mai 2015 publié dans le Wall
Street Journal, le professeur de relations internationales à Stanford M. Joffe signalait ainsi
que « si, les amis espionnent leurs amis. [...] Dans le monde réel, tout le monde espionne tout
le monde. Demandez à des amis tels que la CIA et le Mossad israélien » et rappelait que le
chancelier allemand Helmut Kohl, qui fut en poste de 1982 à 1998, avait toujours dans sa
voiture un vase rempli de petite monnaie qu'il utilisait pour certaines communications
téléphoniques sensibles depuis des cabines publiques choisies au hasard dans Berlin, afin de
s'assurer que ses communications ne soient pas écoutées. De même, les officiels américains
s’efforcent à replacer les écoutes dans le contexte de la lutte contre un terrorisme global
n'hésitant pas à utiliser les réseaux informatiques pour ses communications ou comme vecteur
de propagande.
Néanmoins, pour les trois raisons que nous avons vues (l'ampleur des moyens mis
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!55 Koebler Jason, « The FBI keeps demanding impossible solutions to its encryption problem », Motherboard, 21 avril 2015. http://motherboard.vice.com/read/the-fbi-keeps-demanding-impossible-solutions-to-its-encryption-problem (Consulté le 24 juin 2015) 56 Barton Gellman, Rich Steve, « NSA seeks to build quantum computer that could crack most types of encryption », The Washington Post, 2 janvier 2014. http://www.washingtonpost.com/world/national-security/nsa-seeks-to-build-quantum-computer-that-could-crack-most-types-of-encryption/2014/01/02/8fff297e-7195-11e3-8def-a33011492df2_story.html (Consulté le 24 juin 2015)
!
26
en œuvre, la corruption du matériel informatique à grande échelle et l'indifférenciation dans le
choix des cibles) et face à ce qui apparait objectivement comme une violation systématique et
répétée des souverainetés étatiques, l'argument de la lutte contre le terrorisme pour justifier le
système de surveillance mis en place reste difficilement soutenable. De fait, les révélations de
Snowden ont permis de mettre en lumière la réalité stratégique qui prévaut dans le
cyberespace.
1.3 Communication politique et réalité stratégique
À la suite des premières révélations d'Edward Snowden le 6 juin 2013, des
personnalités publiques françaises expriment leur indignation face à ce qui apparait comme
une violation flagrante de la souveraineté française : Fleur Pellerin, alors ministre de
l'Économie numérique, se dit « choquée » et appelle à l'instauration d'une Europe
numérique57. Pierre Bellanger publie quant à lui une tribune dans le quotidien Libération
intitulée « La guerre des réseaux est déclarée58 ». L'auteur considère dans ce texte que les
révélations de Snowden marquent la fin du doute concernant la politique américaine dans le
cyberespace et appelle une nouvelle fois à la constitution d'une politique européenne de
cyberdéfense afin de protéger la souveraineté numérique française.
Pourtant, malgré l'indignation générale, les révélations de Snowden n'ont pas
débouché sur une crise diplomatique, ni sur une remise en question des relations franco-
américaines ou de la structure de l'OTAN. De même, l'idée d'une Europe de la cyberdéfense
pour se protéger de l'hégémonie américaine ne semble pas s’être concrétisée en 2015.
Pourquoi, malgré les preuves d'atteinte à la souveraineté numérique française, n'y a-t-il pas eu
de réévaluation des relations franco-américaines ?
De fait, les révélations de Snowden ont mis en lumière la distance entre la réalité
stratégique du cyberespace et les représentations véhiculées par les discours officiels ou les
médias. La faiblesse de la réaction démontre en premier lieu que ces choses étaient connues
dans les sphères dirigeantes françaises. La DGSE, le service de renseignement extérieur
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!57 « NSA : "choquée", Fleur Pellerin veut une "Europe numérique" », Europe 1, 26 octobre 2013. http://www.europe1.fr/international/nsa-choquee-fleur-pellerin-veut-une-europe-numerique-1688011 (Consulté le 9 février 2015) 58 Bellanger Pierre, « La guerre des réseaux est déclarée », Libération.fr, 16 juin 2013. (Consulté le 9 février 2015) http://www.liberation.fr/medias/2013/06/16/la-guerre-des-reseaux-est-declaree_911283
!
27
français, entretient en effet une relation de première importance avec son homologue
américain. Des documents transmis par Snowden au quotidien Le Monde en novembre 2013
démontrent que le service de renseignement extérieur français a construit un partenariat non
pas ponctuel mais pérenne avec ses homologues américains et britanniques de la NSA et du
GCHQ, le service de renseignements électroniques du Royaume-Uni59.
L'année 2006 marque de ce point de vue le début d’une nouvelle ère pour les
services de renseignement français : alors que jusque là la méfiance prévalait entre la NSA et
la DGSE, il semblerait que ces derniers aient, à ce moment là, voulu réévaluer leurs relations
avec l'allié américain. Des contacts avec les services de la NSA et du GCHQ sont alors
amorcés au mois de novembre 2006 dans le but de mettre en place un modèle de coopération
entre les services. Un an plus tard, en 2007, une note du GCHQ se félicite déjà de la relation
établie avec la DGSE et une autre note, provenant elle de la NSA, met en exergue le
pragmatisme et la bonne volonté dont fait preuve le service français en terme de coopération.
En juillet 2009, la DGSE et le GCHQ décident de pousser plus en avant leurs relations et de
mettre en commun leurs efforts dans la lutte contre les systèmes de cryptage sur les réseaux
permettant de dissimuler des informations60.
Cette coopération repose sur le principe du « donnant-donnant ». La DGSE
fournit des renseignements concernant des régions du monde où elle est bien implantée, en
échange de quoi la NSA fournit des informations sur les zones où la France est absente. Face
au succès de la coopération, le périmètre de partage s'élargit entre les deux communautés de
renseignement. Fin 2011, les responsables des services respectifs décident de formaliser leurs
relations avec un accord connu sous le nom de « Lustre » destiné à structurer l'échange de
renseignements. L'ampleur des données partagées connait alors une forte croissance, car la
DGSE est un partenaire privilégié pour la NSA. L’Amiral Rogers, directeur de la NSA, nous a
ainsi confirmé que la collaboration franco-américaine dans le domaine du renseignement était
stable et bénéfique pour les deux partis61. Les services de renseignement français peuvent en
effet faire valoir la position stratégique de la France dans l'architecture du cyberespace. La
France compte de nombreux points d'échange Internet, par comparaison avec ses voisins
proches, ainsi que des câbles sous-marins en provenance de l'Afrique, de l'Afghanistan ou
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!59 Follorou Jacques, « La France, précieux partenaire de l’espionnage de la NSA », Le Monde, 29 novembre 2013. http://www.lemonde.fr/technologies/article/2013/11/29/la-france-precieux-partenaire-de-l-espionnage-de-la-nsa_3522653_651865.html?xtmc=dgse_nsa&xtcr=2 (Consulté le 26 juin 2015) 60 Ibid. 61 Entretien avec l'auteur (16 juillet 2015)
!
28
encore du Moyen-Orient qui aboutissent à Marseille et en Bretagne. Des systèmes d'écoute
auraient été mis en place sur ces câbles et certaines informations captées puis triées par la
DGSE auraient été transmises à la NSA et au GCHQ62.
Ces éléments nous permettent de mettre en lumière la réalité stratégique du
cyberespace. Dans le cadre de la lutte contre le terrorisme, la France et les États-Unis
mutualisent leurs efforts afin de lutter plus efficacement contre une menace commune se
jouant des frontières traditionnelles, comme nous le constatons avec Al-Qaida ou Daesh. Le
partenariat avec la NSA est d'une telle valeur stratégique que malgré les révélations, les
décideurs ne se sont pas risqués à détériorer les rapports de la France avec les États-Unis. Les
coopérations perdurent donc malgré les « indiscrétions » alliées.
La leçon que nous pouvons tirer de ces analyses est la suivante : les coopérations
internationales entre services de renseignement ne sont envisagées que lorsqu'il y a
convergence d'intérêts. Dans la mesure du possible, chaque communauté nationale du
renseignement cherche à développer des coopérations bilatérales avec leurs potentiels
partenaires étrangers. Les États-Unis étant la puissance dominante, la majorité des États ont
ainsi intérêt à développer des accords avec eux. À ce titre, la relation anglo-américaine
constitue la relation idéale dans le domaine du cyber. Le Royaume-Uni constitue en effet,
avec, l'Australie, le Canada et la Nouvelle-Zélande (les « Five Eyes ») un partenaire de
première importance pour la puissance américaine. Grâce à ces partenariats, les États
concernés améliorent leurs performances dans le cyberespace et limitent l'espionnage
réciproque en augmentant le partage de renseignements63. Pour la France, la difficulté à
établir des liens de confiance dans le cyberespace réduit néanmoins « le cercle des partenaires
potentiels64 ».
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!62 Follorou Jacques, « Surveillance : la DGSE a transmis des données à la NSA américaine », Le Monde, 30 novembre 2013. http://www.lemonde.fr/international/article/2013/10/30/surveillance-la-dgse-a-transmis-des-donnees-a-la-nsa-americaine_3505266_3210.html (Consulté le 26 juin 2015) 63 Direction des Affaires Stratégiques, La balkanisation du web : chance ou risque pour l'Europe, 2014, pp.114-115. 64 Ministère de la Défense, Pacte Défense cyber, 50 mesures pour changer d'échelle, 2014, p.17.
Océan&Pacifique
Océan&Atlantique
Océan&Indien
N
Royaume)Uni
Partenaires1de1premier1niveau1
de1la1NSA1(Five1Eyes)1
Partenaires1occasionnels1ou1
réguliers1de1la1NSA
Principaux1centres1d’écoute
de1la1NSA
Sources&:&nsa7observer
Chine
ChineRussie
Russie
Brésil
Brésil
Iran
Iran
20001km
De1l'ambivalence1des1rapports1stratégiques1:
le1cas1de1la1National&Security&Agency
Des1partenaires1stratégiques...
sous1surveillance1
Cibles1prioritaires1
identifiées1par1la1NSA
Cibles1secondaires
Quentin1Lenormand1)1avril12015
Nouvelle)Zélande
États)Unis
États)Unis
Australie
Australie
!
30
Ce sont donc les relations bilatérales et non multilatérales, basées sur des intérêts
communs, et non sur la confiance, qui prévalent dans le cyberespace. Une réalité que le
lieutenant-colonel Tromparent nous a confirmée : « les États n'ont pas d'amis, ils n'ont que
des intérêts » nous a-t-il rappelé en paraphrasant le général de Gaulle. En affirmant que
« nous n’avons ni ennemi ni ami dans le cyberespace », Guillaume Poupard, le directeur de
l’ANSSI, a lui même reconnu cette réalité65. Au sein de la communauté de défense, le cyber
est donc simplement considéré comme un nouvel outil dans des rapports de force
traditionnels. C'est une « nouvelle manière d'appliquer des politiques déjà existantes66 ». Les
rivalités entre les États répondent aux mêmes logiques qui prévalent depuis des décennies ; ce
sont les moyens de leurs politiques qui ont simplement changé. Aucun pays ayant acquis une
force cyber n'a ainsi modifié les principes qui déterminent sa politique intérieure et extérieure.
Certes les spécificités du réseau permettent aux assaillants de se dissimuler plus facilement
que dans le monde « réel » (ce qui a entrainé une intensification des attaques dans le
cyberespace) mais elles n’ont pas remis en question les rapports de force entre les États.
L'espionnage reste par conséquent une pratique courante, même entre partenaires.
Dans les milieux spécialisés, les révélations de Snowden n'ont pas été une
surprise. En octobre 2000, un rapport parlementaire français sur « les systèmes de
surveillance et d'interception électroniques pouvant mettre en cause la sécurité nationale67 »
avait déjà mis en avant la possibilité pour les États-Unis de développer des moyens de
surveillance utilisés à des fins politiques, sécuritaires et industrielles. Dans son rapport intitulé
« L'Union européenne, colonie du monde numérique » et déposé en mars 2013, soit trois mois
avant les premières révélations de Snowden, la sénatrice Morin-Desailly citait une étude
effectuée par l'Institut pour le droit de l'information, un centre de recherche néerlandais,
concernant le cloud computing et le Patriot Act américain. Elle écrivait ensuite, sur les bases
de cette étude, que le Patriot Act « introduit une procédure qui autorise une large acquisition
de données concernant des personnes étrangères sans même qu’il ne soit besoin de les
soupçonner : cette acquisition de données n’est pas nécessairement ciblée sur des personnes
précises ni sur le contenu spécifique de leurs communications, elle doit seulement contribuer !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!65 Establier Alain, « ITW de Guillaume Poupard, Directeur général de l’ANSSI », RP Défense, 16 décembre 2014. http://rpdefense.over-blog.com/2014/12/itw-de-guillaume-poupard-directeur-general-de-l-anssi.html (Consulté le 20 juin 2015) 66 Lewis James A., « Étude préliminaire sur les analyses en cybersécurité : l'affaire Snowden comme étude de cas », Hérodote, op.cit., p.32 67 Paecht Arthur, Rapport d'information déposé par la commission de la défense nationale et des forces armées sur les systèmes de surveillance et d'interception électroniques pouvant mettre en cause la sécurité nationale, 2000, 89 p.
!
31
à la collecte de renseignements étrangers68 ». L'idée que les services de renseignement
américains utilisaient les données collectées par des acteurs privés en vue de renforcer leur
leadership était donc déjà répandue au sein de la classe politique.
De même, lors de notre entretien avec Louis Pouzin (qui a passé une partie de sa
carrière d'informaticien aux États-Unis), ce dernier nous a affirmé que « dans la mesure où les
Américains pouvaient le faire, pourquoi ne l'auraient-ils pas fait ? » « Toute société a vocation
à s'étendre jusqu'à devenir hégémonique et à abuser de sa position dominante69 » nous a aussi
fait remarquer Bernard Benhamou. L'intégralité des spécialistes interviewés dans le cadre de
notre enquête de terrain a ainsi répondu non à la question de savoir si « les révélations de
Snowden ont été une surprise pour vous ». De même, les réactions ou non réactions françaises
peuvent laisser penser que la France investit également, à la mesure de ses moyens, dans des
capacités cyber-défensives et cyber-offensives.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!68 Morin-Desailly Catherine, Rapport d'information fait au nom de la commission des affaires européennes sur l'« Union européenne, colonie du monde numérique ? », op. cit., p.56. 69 Entretien avec l’auteur (13 mars 2015)
!
32
2. La défense de la souveraineté française dans le cyberespace
2.1. Cyber-défense et cyber-offense
Le rôle joué par le Ministère de la Défense dans la défense de la souveraineté
numérique est défini par les Livres blancs de 2008 et de 2013. Si celui de 2008 a élevé le
cyberespace au rang de priorité nationale et l'a ajouté aux « environnements de combat
classiques70 » de l'armée, celui de 2013 l'a davantage considéré en affirmant que la nature
généralisée de l'informatique « [...] nous impose aujourd’hui d’augmenter de manière très
substantielle le niveau de sécurité et les moyens de défense de nos systèmes d’information,
tant pour le maintien de notre souveraineté que pour la défense de notre économie et de
l’emploi en France71 ».
Pour relever ces défis, le Ministère de la Défense s'est engagé dans une politique
ambitieuse s'appuyant sur un effort budgétaire conséquent, malgré ces temps de rigueur
économique. Un Pacte Défense Cyber a ainsi été lancé le 7 février 2014. Constitué de
cinquante mesures distribuées en six axes, ce plan s'appuie sur un budget d’un milliard d'euros
s'étalant sur la période 2014-201972. Le président François Hollande a par ailleurs annoncé en
avril 2015 une « rallonge » pour le budget du Ministère de la Défense de 3,8 milliards d'euros
s'étendant jusqu'en 2019 ; une part importante devrait être investie dans le développement de
capacités cyber73. Cette politique cyber se compose ainsi de deux volets complémentaires :
l'un est défensif ; l'autre, plus récent, est offensif.
Selon la définition de Philippe Wolf, « la cyberdéfense est l’ensemble des
mesures techniques et non techniques permettant à un État de défendre dans le cyberespace
les systèmes d’information qu’il juge essentiels74 ». Pour l'armée, il s'agit donc en premier
lieu de protéger les réseaux informatiques du Ministère de la Défense. Afin de rester
opérationnelle, l'armée doit en effet pouvoir assurer la résilience de ses systèmes de
communication et de commandement. En plus des systèmes d'information du Ministère, la
cybersécurité comprend l'électronique embarquée dans les systèmes d'armes des bateaux, des
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!70 Coustillière Arnaud, « La défense française et le cyberespace », op. cit., p.71. 71 Guehenno Jean-Marie (dir.), Livre blanc sur la défense et la sécurité nationale, op. cit., p.105. 72 Coustillière Arnaud, « La défense française et le cyberespace », op. cit., p.74. 73 Ruello Alain, « Hollande consent un effort budgétaire « considérable » pour l’armée », Les Échos, 29 mai 2015. http://www.lesechos.fr/economie-france/budget-fiscalite/02138502215-le-budget-de-la-defense-sanctuarise-en-2015-1115445.php# (Consulté le 16 juillet 2015) 74 Wolf Philippe, Vallée Luc, « Cyber-conflits, quelques clés de compréhension », op. cit, p.793.
!
33
avions et des chars. Le Ministère de la Défense assure également la protection des
informations classifiées contre les tentatives de vols qui constituent une pratique en voie
d'intensification selon le contre-amiral Arnaud Coustillière75 (les attaques détectées visant le
Ministère de la Défense ont en effet quasiment doublé entre 2012 et 201376). Ce dernier
explique cette intensification par le fait que les agressions informatiques sont financièrement
peu coûteuses et relativement faciles à mettre en œuvre 77. La difficulté à attribuer une attaque
informatique à un acteur identifié peut également motiver des investissements dans le
développement de capacités offensives. Le Ministère estime ainsi que « la récurrence actuelle
de ces intrusions, notamment par des États, donne à penser que des informations sont
méthodiquement collectées pour rendre possible, dans une situation de conflit, une attaque de
grande envergure78 ».
Mais l'implication du Ministère de la Défense ne se restreint pas à la seule défense
de ses réseaux. En effet, étant donné que les systèmes informatiques interconnectés sont
devenus l'élément structurant de notre société, les vulnérabilités se sont accrues et il
appartient désormais à l'armée d'assurer la sécurité informatique du pays. La mission du corps
militaire a donc été étendue au delà de son cadre traditionnel : il a désormais la charge
d'assister les autres administrations dans leurs besoins en terme de confidentialité et de
protection informatique. Le Ministère fait pour cela œuvre de pédagogie grâce à une politique
de sensibilisation des administrations et des infrastructures sensibles aux risques
cybernétiques. L'objectif est d'améliorer la prise de conscience des risques liés au cyber et la
coopération entre les différents services de l'État en vue d'obtenir une meilleure réactivité en
cas d'attaques informatiques.
La loi de programmation militaire (LPM) de décembre 2013, suivie d'un décret
d'application publié le 29 mars 2015, a ainsi étendu le champ d'action du Ministère de la
Défense en désignant 218 entreprises privées ou publiques - dont la liste est gardée secrète
afin qu’elles ne constituent pas de cibles - considérées comme des acteurs stratégiques et
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!75 Le contre-amiral Arnaud Coustillière occupe le poste d'officier général cyberdéfense au sein de l'État-Major des Armées depuis la création du poste en 2011. 76 Guerric Poncet, « Entretien. Les confidences du patron de la cyberguerre en France », Le Point, 30 janvier 2014. http://www.lepoint.fr/chroniqueurs-du-point/guerric-poncet/entretien-les-confidences-du-patron-de-la-cyberguerre-en-france-2-30-01-2014-1785898_506.php (Consulté le 16 juillet 2015) 77 Guehenno Jean-Marie (dir.), Livre blanc sur la défense et la sécurité nationale, op. cit., p.44. 78 Ibid., p.49.
!
34
désignées sous le terme d'Opérateur d'Importance Vitale (OIV) 79 . Il s'agit aussi bien
d’entreprises des télécoms que de réseaux d'énergie, de banques, d'hôpitaux, etc. qui ont
désormais l'obligation légale d'assurer la protection et la résilience de leurs réseaux
informatiques avec le soutien du Ministère de la Défense et de l'ANSSI. L'enjeu est de se
prémunir du risque de paralysie générale par voie informatique en assurant la résilience des
réseaux informatiques essentiels au fonctionnement du pays. À ce propos, le Livre blanc de
2013 franchit un cap en affirmant que puisqu'une attaque informatique serait susceptible de
paralyser des pans entiers de l’activité nationale, « elle pourrait constituer un véritable acte de
guerre80 ». L'État français se réserve ainsi le droit de répondre à une attaque visant sa
souveraineté par les moyens qui lui semblent nécessaires. C'est pourquoi le Ministère de la
Défense travaille désormais au développement de capacités cyber-offensives.
Pendant longtemps, l'armée s'est contentée de développer de simples capacités
défensives. Mais le Livre blanc de 2013, en mettant en avant le fait que certains États utilisent
désormais des armes cybernétiques afin de renforcer leur position stratégique justifie le
développement des capacités offensives françaises81. C'est au cours de l'année 2014 que les
militaires français ont reconnu publiquement que la France disposait d’armes cyber
opérationnelles. Le ministère communique désormais volontiers au sujet de l'existence de ces
armes cyberoffensives : « tout cela est parfaitement compatible avec le droit des conflits
armés, avec le droit d'intervention humanitaire, et nous avons eu des discussions avec le
Comité international de la Croix-Rouge (CICR) : ils ne sont pas choqués par ces choix82 »
s'est ainsi justifié le contre-amiral Coustillière. La recherche et le développement ont été
amorcés par le Livre blanc de 2008 afin que l'armée puisse maintenir ses capacités d'action
sur le terrain. Les « cyber-armes » françaises seraient dorénavant opérationnelles sans que
nous puissions savoir de quoi il s'agit exactement.
De ce point de vue, il semblerait que les capacités cyberoffensives françaises ne
soient pas négligeables. Un document de la NSA dresse ainsi la liste des principales menaces
contre lesquelles les États-Unis devraient renforcer leur protection : si la Chine et la Russie
restent en tête de classement, la France n'en est pas moins désignée comme une menace
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!79 Bergé Frédéric, « Cybersécurité : 218 opérateurs "d’importance vitale" sous pression », 01net.com, 1er mai 2015. http://pro.01net.com/editorial/650917/cybersecurite-218-operateurs-dimportance-vitale-sous-pression/ (Consulté le 8 juin 2015) 80 Guehenno Jean-Marie (dir.), Livre blanc sur la défense et la sécurité nationale, op. cit., p.49. 81 Ibid. 82 Guerric Poncet, « Entretien. Les confidences du patron de la cyberguerre en France », op. cit.
!
35
prioritaire aux côtés d'Israël et de la Corée du Sud83. La NSA s’est ainsi rendue compte que la
France était parvenue à pirater le Département de la Défense américain84. C'est peut-être, en
partie, pour cette raison que 827 employés ont été engagés au sein de la communauté de
renseignement américaine sur la base de leurs aptitudes à parler français85.
Mais la découverte par les services de renseignement canadiens en mars 2014 d'un
programme de surveillance de conception française appelé « babar » (ou « titi » par ses
développeurs) a permis de mettre en lumière la réalité des cyber-capacités françaises. Ce virus
espion, qui, du fait de son niveau de sophistication, n'a pu être développé que par des acteurs
étatiques selon les services canadiens, aurait débuté son activité en 2009. S'il a visé des
institutions impliquées dans le programme nucléaire iranien, « babar » a également été détecté
au Canada, en Espagne, en Grèce, en Norvège, en Côte d’Ivoire, en Algérie et en France. Les
services canadiens estiment que les informations transmises ont permis à la France
d’améliorer les coopérations avec ses alliés en leur fournissant des informations de première
importance, sur l’Iran principalement86.
Le développement des capacités qui permettent à la France d'exister dans le
cyberespace (de « planter son drapeau87 ») repose sur une industrie technologique. Celle-ci a
été identifiée comme un élément souverain, compte-tenu des risques à s'approvisionner en
matériel informatique étranger.
2.2 L’industrie nationale au service de la souveraineté numérique
Aymeric Simon, employé de la filiale CyberSecurity du groupe Airbus Defence
and Space, a défini pour nous la souveraineté numérique comme « la capacité à avoir le
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!83 « Documents Show NSA efforts to spy on both enemies and allies », The New York Times, 3 novembre 2013. http://www.nytimes.com/interactive/2013/11/03/world/documents-show-nsa-efforts-to-spy-on-both-enemies-and-allies.html?ref=nationalsecurityagency&_r=1&#doc2 (Consulté le 1er juillet 2015) 84 Greenwald Glenn, Poitras Laura, MacAskill Ewen, « NSA shares raw intelligence including Americans’ data with Israel », The Guardian, 11 septembre 2013. http://www.theguardian.com/world/2013/sep/11/nsa-americans-personal-data-israel-documents (Consulté le 27 juin 2015) 85 « Inside the 2013 US intelligence "black budget" », The Washington Post, 29 août 2013. http://apps.washingtonpost.com/g/page/national/inside-the-2013-us-intelligence-black-budget/420/ (Consulté le 27 juin 2015) 86 Follorou Jacques, Untersinger Martin, « La France suspectée de cyberespionnage », Le Monde, 21 avril 2014. http://www.lemonde.fr/international/article/2014/03/21/la-france-suspectee-de-cyberattaque_4387232_3210.html (Consulté le 27 juin 2015) 87 Dosse Stéphane, « Vers une stratégie de milieu pour préparer les conflits dans le cyberespace ? », Défense et sécurité internationale, n°59, mai 2010, p.82.
!
36
contrôle et la maîtrise des technologies critiques permettant à la France de pouvoir agir
indépendamment dans le monde numérique88 ». La capacité à produire de manière autonome
des technologies dans le domaine de la cybersécurité, de la détection des attaques et de la
cryptologie (pour assurer la confidentialité des données) a ainsi été identifiée comme un
élément constitutif de la souveraineté numérique par le Livre blanc de 2013.
Les révélations de Snowden, en mettant en lumière la proximité des industries
américaines avec les services de renseignement, ont démontré que l'appel à des offres
étrangères dans le domaine du numérique restait une initiative délicate pour les acteurs de la
Défense comme pour ceux du secteur économique. En effet, l'installation de backdoor ou la
compromission par les services de renseignement des pays fabriquant du matériel
informatique semble être une pratique relativement courante. Un programme de la
NSA dénommé QUANTUM a par exemple vocation à déployer des logiciels espions dans des
ordinateurs, y compris dans ceux n'ayant pas accès à l’Internet ; 100 000 auraient ainsi été
infectés89. De même, le programme GENIE, qui s'appuie sur un budget de 652 millions de
dollars, vise à implanter des logiciels espions sur du matériel informatique (ordinateurs,
routeurs, pare-feux, etc.) pour récupérer les données à distance. Ces logiciels ont également
été conçus pour déclencher des cyberattaques (231 en 2011) visant aussi bien des objectifs
militaires qu'industriels90.
C'est pourquoi, lorsqu'en mai 2014 l'Américain IBM a été choisi pour équiper
certains sites critiques du Ministère de la Défense en infrastructures informatiques, Le Canard
Enchainé du 11 juin 2014 a rapporté que certains hauts gradés français qualifiaient ce contrat
de « folie », car « Lenovo est connu pour installer des logiciels espions indétectables dans ses
équipements »91. Le contrat faisait en effet appel à l'activité serveur de l'entreprise IBM
(stockage d'informations sensibles et accès sécurisé), branche qui avait été cédée au chinois
Lenovo quelques mois plus tôt.
Pour toutes ce raisons, l'État cherche à développer une offre française dans le
secteur du numérique afin de limiter les risques contre sa souveraineté. Les besoins de
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!88 Entretien avec l’auteur (9 juin 2015) 89 Sanger David E., Shanker Thom, « NSA devises radio pathway into computers », The New York Times, 14 janvier 2014. http://www.nytimes.com/2014/01/15/us/nsa-effort-pries-open-computers-not-connected-to-internet.html?_r=4 (Consulté le 26 juin 2015) 90 Greenwald Glenn, MacAskill Ewen, « Obama orders US to draw up overseas target list for cyber-attacks », op. cit. 91 « Craintes d’espionnage chinois sur des systèmes informatiques sensibles de l’armée française », Le Monde, 10 juin 2014. http://www.lemonde.fr/pixels/article/2014/06/10/craintes-d-espionnage-chinois-sur-des-systemes-informatiques-sensibles-de-l-armee_4435651_4408996.html# (Consulté le 27 juin 2015)
!
37
protection sont inégaux : alors que certains éléments ne nécessitent qu'une faible attention, la
protection d’autres éléments stratégiques ne peut être confiée à un prestataire ou à une
technologie étrangère. Guillaume Poupard estime qu'il existe trois niveaux de besoins en
terme de technologies souveraines : ce que l'on peut acheter n'importe où, ce qu'il faut
acquérir chez un partenaire de confiance et enfin ce qu'il faut faire fabriquer en France par des
entreprises habilitées ou par des équipes étatiques spécialisées. Les algorithmes
cryptographiques classifiés qu'utilisent les services de renseignement français sont par
exemple élaborés par des équipes de la DGA en Bretagne, puis évalués par l'ANSSI92. Il
existe par ailleurs des acteurs privés de première importance, tels que Thalès et Airbus
Defence and Space, pour répondre aux besoins de protection de l'État contre le sabotage et
l'espionnage d'origine informatique. Mais le secteur du B2G (Business to Governement)
concerne de fait des niches dans des domaines techniques ultra-spécialisés pour lesquels le
gouvernement ne peut faire appel à des offres étrangères93.
La production de solutions informatiques françaises répond à un impératif plus
large que la simple défense des intérêts sensibles. Il s'agit de favoriser le développement du
secteur numérique afin que les acteurs privés comme publics disposent d'outils informatiques
fiables, que ce soit en matière d'hardware (infrastructure) et de software (logiciel). Le
Ministère de la Défense souhaite pour cela s'appuyer sur de nouveaux acteurs économiques,
en particulier les PME/I qui constituent un terreau d'innovations pouvant être mis au service
du gouvernement. C'est l’image « de la start-up posée sur le porte-avions94 » évoquée par
Gilles Babinet95.
Le choix d'une base technologique nationale aussi large que possible dans le
domaine du numérique est une action délibérée de l'État. Lors de notre entrevue avec le
lieutenant-colonel Tromparent, ce dernier nous a rappelé que si la puissance industrielle
française, en comparaison à d'autres pays, était modeste, elle restait cependant française.
D’autres pays qui n'ont pas les moyens d'assurer leur souveraineté en développant une
industrie nationale, l'assurent par la diversité : ils achètent différentes technologies à plusieurs
pays pour ne pas dépendre d'un État en particulier. La France a fait le choix de l'indépendance
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!92 Establier Alain, « ITW de Guillaume Poupard, Directeur général de l’ANSSI », op. cit. 93 Entretien de l’auteur avec Aymeric Simon (9 juin 2015) 94 Barroux David, Georges Benoît, Rauline Nicolas, « Gilles Babinet et Pierre Bellanger : la régulation des données, défi majeur du XXIe siècle », Les Échos, 12 février 2014. http://www.lesechos.fr/12/02/2014/lesechos.fr/0203311413821_gilles-babinet-et-pierre-bellanger---la-regulation-des-donnees--defi-majeur-du-xxieme-siecle.htm#Ql5zAPOLw1jalI2W.99 (Consulté le 30 juin 2015) 95 Gilles Babinet est « digital champion » de la France auprès de la Commission européenne.
!
38
stratégique. Pour cela, elle doit assurer seule la production et l'intégrité de ses technologies
dans le domaine numérique. Il est donc impératif pour l'État de se doter de technologies
souveraines sans faire appel à des offres étrangères.
Mais l'enjeu est également économique dès lors que l'État souhaite faire émerger
une offre nationale destinée à l'export, en favorisant le développement d'un écosystème
numérique français. Cette politique de développement industriel s'est concrétisée par le pôle
de cyberdéfense en Bretagne, un territoire où le Ministère de la Défense est implanté depuis
déjà longtemps. Si cet espace de « fertilisation croisée96 » est au service du Ministère, il a été
pensé comme la base d'où devra naitre une véritable communauté nationale de cyberdéfense
rassemblant des ingénieurs, des militaires, des chercheurs, des juristes, des entrepreneurs, des
industriels, etc. L'objectif est de développer la recherche (à la fois sur le plan conceptuel et sur
le plan capacitaire) et de mettre en place une « communauté de cyberdéfense qui transcende
les intérêts catégoriels au bénéfice mutuel de tous97 ». Le Ministère entend pour cela
développer l'offre de formation et stimuler la recherche autant que l'innovation et la
formation. Cela devrait permettre de développer un réseau d'expertises techniques, de centres
de formation et ainsi « de forger une pensée stratégique et opérationnelle française en
cybersécurité98 ».
D'après des informations fournies par le Ministère, ce pôle d'excellence regroupe,
dans le domaine de la recherche, quelques 160 personnes à temps plein, 2 000 étudiants étant
formés chaque année à la cybersécurité. Cette recherche est coordonnée par le CNRS et
différents instituts de recherche qui relèvent autant du Ministère de la Défense que des
universités publiques. De plus, la recherche se fait en partenariat avec les entreprises
nationales de cyberdéfense et de cybersécurité de grande ou moyenne envergure, telles que
Thalès, Sopra, Cap Gemini pour les premières, Tevalis, Amossys, Diateam pour les secondes.
L'action de ces acteurs de la société civile se fait en partenariat avec l'armée, représentée par
l'École Militaire de Saint-Cyr Coëtquidan et l'École Navale basée à Brest, qui abritent en
outre divers centres de recherche.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!96 Coustillière Arnaud, « La défense française et le cyberespace », op. cit., p.72. 97 Ibid. 98 Ministère de la Défense, Pacte Défense cyber, op. cit., p.11.
!
39
Le Ministère de la Défense communique de plus en plus sur ce pôle d'excellence.
En réalité, le lieutenant-colonel Tromparent nous a affirmé qu'il ne s'agissait pas d'une
nouveauté mais simplement d'une mise en réseau d'éléments existants, réorganisés autour d'un
centre de gravité. La Bretagne présente cette particularité d'abriter des institutions militaires
anciennes et de profiter d'une bonne connectivité avec l'ensemble du territoire national (grâce
à ses lignes de train qui la situe à proximité de Paris) et avec l'international (autant grâce à ses
ports d'envergures que ses câbles sous-marins).
Pour autant, l'objectif n'est pas de se couper des opportunités venant de l'étranger.
Le partenariat de la France avec Cisco signé en février 2015 démontre que les décideurs
français restent ouverts au développement de partenariat avec des acteurs étrangers. Les
entreprises américaines semblent par ailleurs avoir amorcé le tournant imposé par l'affaire
Snowden : ils cherchent désormais à rétablir la confiance en offrant des garanties de
confidentialité et de protection à leurs clients, que ce soit des gouvernements, des entreprises
ou des particuliers. Satya Nadella, le PDG de Microsoft a ainsi affirmé lors d'un voyage en
Inde que « Microsoft souhaite répondre aux besoins de souveraineté numérique des
gouvernements99 ». L'objectif de cette politique française de soutien à l'industrie numérique
viserait donc en premier lieu à structurer l'offre nationale pour à la fois renforcer l'autonomie
stratégique française et faire profiter les acteurs nationaux de ces nouvelles opportunités de
développement économique.
Quels sont les résultats de cette politique de développement industriel ? Prenons
un exemple : un téléphone crypté chiffrant les communications a été mis en place par Thalès,
en coopération avec la DGA à Bruz qui a aidé au développement des algorithmes et des
composants cryptographiques. Ce téléphone s'appelle TEOREM, pour « téléphone
cryptographique pour réseau étatique et militaire ». Mille exemplaires ont été livrés le 7
septembre 2011100. 14 000 autres ont pu être livrés en juin 2015. Compte-tenu de son niveau
de sécurité, un piratage de ce téléphone serait possible mais compliqué ; quoi qu'il en soit les
efforts fournis constitueraient une tentative délibérée de piratage. Pour autant, la lenteur de la
technologie semble limiter son utilisation. De manière générale, la difficulté à proposer des
offres nationales en informatique qui soient fiables et ergonomiques tient à la complexité de
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!99 « Microsoft wants to serve digital sovereignty », The Indian Awazz, 14 septembre 2014. http://theindianawaaz.com/index.php?option=com_content&view=article&id=23240&catid=49 (Consulté le 25 juillet 2015) 100 « La DGA livre les premiers téléphones Teorem », defense.gouv.fr, 23 septembre 2011. http://www.defense.gouv.fr/dga/actualite/la-dga-livre-les-premiers-telephones-teorem (Consulté le 25 juin 2015)
!
40
l'enjeu du développement d'une cybersécurité nationale : le rythme soutenu de l'innovation,
l'évolution rapide des menaces informatiques et l'importance des investissements nécessaires
limitent les résultats. Pour reprendre l'image évoquée par l’Amiral Rogers lors d'une
conférence publique, c'est aussi simple que de construire un avion tout en le faisant voler101.
La France cherche donc à développer ses propres capacités dans le domaine du
cyber afin d'assurer l'autonomie stratégique du pays sans dépendre d'acteurs étrangers. Pour
autant, la défense de la souveraineté numérique française est-elle envisagée à l'échelle
exclusivement nationale ou existe-t-il une représentation européenne de la cyberdéfense ?
2.3 Une impossible cyber-défense européenne ?
Le Livre blanc de 2013 estime qu'au niveau européen, « la France soutient la mise
en place d’une politique européenne de renforcement de la protection contre le risque cyber
des infrastructures vitales et des réseaux de communications électroniques102 ». La prise en
compte de l'espace européen dans la politique de cyberdéfense française tient avant tout à des
raisons techniques. L'imbrication des systèmes informatiques ne permet pas la mise en place
d'une défense fermée de la souveraineté numérique, de type « citadelle assiégée ». La Chine
conçoit la défense de son cyberespace de cette manière. Une « muraille de Chine »
informatique a ainsi été mise en place afin de donner au gouvernement local les moyens de
contrôler la totalité des flux informatiques entrant et sortant de son territoire. Certains
contenus, applications ou services informatiques sont de cette manière censurés. Mais pour
des raisons politiques, économiques et stratégiques, de telles dispositions sont inenvisageables
pour les décideurs français. Au contraire, le défi consiste à assurer l'interopérabilité des
réseaux informatiques avec le reste de l'Europe tout en s'assurant qu'ils ne véhiculent pas de
nouvelles menaces contre la souveraineté numérique française.
Certaines menaces doivent faire l'objet d'un traitement européen, en particulier
dans le cas de la cybercriminalité. À cet effet, le Livre blanc invite les décideurs à mettre en
place des coopérations en priorité avec ses partenaires européens, Allemagne et Royaume-Uni
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!101 Chos Janet H., « US cybersecurity chief Admiral Rogers says NSA obeys the law in fighting online attacks », Cleveland.com, 26 mars 2015. http://www.cleveland.com/business/index.ssf/2015/06/us_cybersecurity_chief_admiral_michael_rogers_says_nsa_obeys_the_law_in_fighting_online_attacks.html (Consulté le 15 juillet 2015) 102 Guehenno Jean-Marie (dir.), Livre blanc sur la défense et la sécurité nationale, op. cit., p.107.
!
41
en tête103. Ces deux pays sont avec la France au cœur du fonctionnement de l'Union
européenne. Ils partagent donc un certain nombre d'intérêts stratégiques et industriels ; une
cyberattaque touchant l'un pourrait gravement toucher l'autre. Sur le plan de la cyberdéfense,
ce sont également les pays les plus avancés au sein de l'UE.
Pour autant, une cyberdéfense entièrement européenne n'est pas envisagée par les
décideurs politiques. Jusqu'ici, ce sont les politiques nationales qui ont prévalu en la matière.
Comme les projets d'une Europe de la Défense n'ont jamais abouti, la vision d'une
cybersécurité européenne est obérée par le manque de volonté des États membres de l'Union
européenne à mettre en commun leurs capacités. Lorsque le Livre blanc invite à renforcer les
relations avec les partenaires européens, cela tient avant tout aux intérêts communs qui lient la
France à ses voisins. Il s'agit donc de relations bilatérales et l'UE n'est pas considérée comme
un acteur central qui coordonnerait les politiques nationales de cybersécurité.
Comment expliquer ce choix d'une cyberdéfense nationale ? Cela tient avant tout
au fait que les États membres les plus avancés dans le domaine de la cybersécurité souhaitent
garder le contrôle des instruments cyber de leurs souverainetés. En effet, ces capacités ont
souvent été développées de manière autonome et aux frais des États. Or, le cyberespace
européen se caractérise par de fortes disparités en terme de cybersécurité. La mise en commun
des capacités de cyberdéfense passerait donc par un transfert de compétences et de
technologies des pays les plus avancés (Allemagne, France et Royaume-Uni principalement)
vers des pays aux faibles capacités. Dans ces conditions, qu'auraient à gagner les États les
plus avancés ? En effet, ce transfert réduirait leur avancée technologique. Pour cette raison, le
partage des capacités dans le domaine du cyber est considéré comme une perte de
souveraineté. De plus, trop d'incertitudes subsistent encore concernant le développement du
cyberespace dans les années à venir. Les acquis sont trop fragiles pour que les États risquent
de les mettre en péril.
Si l'Union européenne ne s'est pas emparée de cette question, c'est aussi parce que
l'OTAN offre aux États qui souhaitent mutualiser leurs capacités dans le secteur de la
cyberdéfense un cadre institutionnel existant. Au delà du risque de redondance avec la mise
en place d'une Europe de la cyberdéfense au sein de l'UE (ce qui aurait des coûts financiers
supplémentaires), l'OTAN propose des structures de coopérations déjà éprouvées dans le
domaine du cyber. Depuis 2008, l'OTAN dispose d'un Centre d'Excellence Coopératif de
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!103 Ibid.
!
42
Cyber Défense en Estonie, créé à la suite de l'attaque informatique contre le cyberespace
estonien qui, quelques mois avant, avait paralysé ses réseaux informatiques pendant plusieurs
jours. Les risques liés au cyber étant clairement apparus aux yeux des décideurs, l'OTAN
avait décidé de mettre en place un centre de formation et de recherche dans le domaine de la
cyberdéfense, à la fois pour renforcer l'interopérabilité des réseaux des membres de
l'organisation que pour faire émerger une doctrine dans le domaine et d'effectuer des
expérimentations ainsi qu'un travail d'analyse de la cyberdéfense d'un point de vue légal104.
Le manuel de Tallinn représente le résultat le plus probant de cette coopération
internationale dans le domaine de la cyberdéfense105. Amorcé dès 2008, il a été rédigé par un
groupe d'experts mandatés par l'OTAN. La version définitive a été publiée en 2013 ; un
deuxième tome est en cours de constitution. L'objectif du manuel est de transposer au
domaine de la cyberdéfense le droit international de la guerre qui régit les conflits entre les
États. En effet, il est apparu à la suite de l'attaque contre l'Estonie que les armes cyber allaient
connaitre un essor important dans le cadre de conflits, qu'ils concernent des États ou des
groupes armés. Or, l'usage des armes cybernétiques n'est encadré par aucun texte juridique,
contrairement à l'utilisation des armes chimiques ou nucléaires par exemple. Le risque est que
cette absence de cadre légal ouvre la voie à une escalade de la conflictualité dans le
cyberespace. Il s'agit donc de donner des garanties aux États présents dans le cyberespace,
qu'ils soient « faibles » ou « forts ». Le manuel de Tallinn donne pour cela des pistes de
réflexion aux décideurs politiques. Les États s'entendent donc lorsqu'il est question de limiter
la cyber-insécurité. Mais l'affaire Snowden a néanmoins montré que la coopération entre
États, mêmes membres de l'OTAN ne peut être que très limitée. De plus, la tendance générale
étant au renforcement par les États de leurs capacités souveraines, nous pouvons nous
demander quelle peut être la portée réelle des initiatives juridiques visant à encadrer l'usage et
le développement des armes cyber. De fait, la défense de la souveraineté numérique française
dans le domaine stratégique apparait avant tout comme une affaire nationale.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!104 NATO Cooperative Cyber Defence Centre of Excellence. https://ccdcoe.org/index.html (Consulté le 3 juillet 2015) 105 NATO Cooperative Cyber Defence Centre of Excellence, Tallinn Manual. https://ccdcoe.org/tallinn-manual.html (Consulté le 3 juillet 2015)
!
43
3. La tentation de la surveillance
3.1. La loi de 2015 sur le renseignement
Aux côtés du développement d' « armes » informatiques (telles que le logiciel
« babar »), la France développe ses capacités de surveillance sur le cyberespace afin de
renforcer son positionnement stratégique sur la scène internationale. La loi sur le
renseignement qui a été adoptée par le corps parlementaire français au mois de juin 2015 (elle
doit encore être soumise à l'approbation du Conseil Constitutionnel) vise en effet à renforcer
les moyens d'action mis à la disposition des services de renseignement français. Cette loi, qui
fait suite aux attentats du mois de janvier 2015, est présentée comme une réaction à la montée
en puissance du terrorisme djihadiste. Un projet de loi était déjà en cours fin 2014, mais les
attentats ont accéléré la mise en œuvre de la réforme. La loi de 2006 avait déjà assoupli le
cadre juridique en rendant possible les écoutes de citoyens français sur le territoire national.
La loi de Programmation Militaire de 2013 a également étendu le périmètre d'action des
services et celle de 2015 doit actualiser la dernière loi antiterroriste datant de 1991.
L'objectif de la loi est de renforcer la surveillance pour détecter les menaces
terroristes tout en respectant les principes constitutifs d'un Internet libre et ouvert. En effet, si
les États, par leur investissement croissant dans le développement de leurs capacités cyber,
sont devenus une menace de premier ordre pour la souveraineté numérique française, le
terrorisme n’en représente pas moins une priorité dans le cadre de la défense de la sécurité
nationale. Afin de prévenir la menace d’attentats terroristes sur le sol français, le
gouvernement a donc fait le choix d’un modèle de surveillance que nous verrons proche de
celui des Américains et de leur Patriot Act.
La particularité de la loi de 2015 tient au fait qu'elle renforce la surveillance sur
l'Internet qui est identifié comme une priorité. En effet, puisque les terroristes utilisent de
manière croissante les réseaux informatiques comme un moyen de communication, mais aussi
de recrutement et d'embrigadement, le gouvernement a souhaité étendre la surveillance au
cyberespace.
Contrairement à ce qui se faisait lorsque les services devaient identifier une cible
précise avant de la mettre sous surveillance, ces derniers auront désormais la possibilité de
récupérer les métadonnées des échanges sur les réseaux informatiques. Les métadonnées
!
44
désignent les informations concernant un message, (qui envoie à qui, à partir de quel support,
à quelle date, à quel endroit, etc.) mais pas le contenu du message en soi.
De plus, les possibilités d'écoute s'étendent désormais jusqu'à la source, c'est-à-
dire directement aux Fournisseurs d'Accès à Internet (FAI) par qui transitent les données
circulant sur les réseaux. Cette surveillance doit s'effectuer à l'aide de « boites noires » (une
terminologie utilisée par le gouvernement lui-même) : il s'agit d'un dispositif électronique qui
doit permettre la détection des comportements suspects sur les réseaux grâce à des systèmes
de traitement automatisé utilisants des algorithmes. Les hébergeurs, c'est-à-dire les
propriétaires de fermes de serveurs (data center en anglais), devaient initialement abriter des
boites noires. Finalement, face à leurs protestations, le gouvernement s'est engagé à limiter la
surveillance au trafic (chez les FAI) et à respecter l'intégrité des données stockées chez les
hébergeurs.
Le projet de loi a soulevé différentes critiques au sein de la classe politique, sans
que cette opposition soit teintée d'une couleur politique particulière. Des critiques ont été
également formulées par les acteurs du secteur économique. Enfin, des associations de
défense des libertés civiques ont exprimé leur inquiétude face à une loi jugée liberticide.
Les critiques portent en premier lieu sur l'étendue de la surveillance que permet ce
texte de loi. Son objectif est de démasquer les menaces terroristes et en particulier les « loups
solitaires », ces terroristes qui agissent de manière autonome. La présence d'individus auto-
radicalisés via l'Internet est en effet très anxiogène pour les services de sécurité, car ils sont
difficilement détectables et lorsqu'ils passent à l'action, nous avons vu que cela pouvait avoir
des conséquences dramatiques. De plus, le texte détermine les domaines relevant de la
défense de la souveraineté nationale : « l’indépendance nationale », « les intérêts majeurs de
la politique étrangère », les « intérêts économiques industriels et scientifiques majeurs de la
France » et « la prévention des atteintes à la forme républicaine des institutions, des violences
collectives de nature à porter atteinte à la sécurité nationale, de la reconstitution ou d’actions
tendant au maintien de groupements dissous ». Les boites noires doivent permettre de détecter
automatiquement les comportements suspectés de porter atteinte à ces intérêts nationaux. Elle
procède pour cela « de manière ciblée à la surveillance des modes de communications
spécifiques utilisés par les terroristes106 ».
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!106 Champeau Guillaume, « L’Assemblée adopte les boîtes noires qui surveilleront votre comportement », Numerama, 16 avril 2015. http://www.numerama.com/magazine/32809-l-assemblee-adopte-les-boites-noires-qui-surveilleront-votre-comportement.html (Consulté le 1er juillet 2015)
!
45
Mais certains considèrent que ces critères sont trop vagues et ouvrent de fait à une
surveillance généralisée. En effet, la définition des termes « terrorisme » et « terroriste » est
considérée comme trop floue sur le plan juridique. Il s'agit de fait d'une représentation
subjective servant des intérêts politiques qui permet ici de justifier la surveillance du
cyberespace. Car qu'est ce qu'un comportement suspect relevant de la lutte antiterroriste ?
N'existe-t-il pas le risque que des individus qui ne représentent aucune menace pour la
souveraineté nationale fassent l'objet d'une surveillance et que les faux positifs se
multiplient ? Si loi a été faite pour lutter contre le terrorisme, le flou qui entoure la définition
de la menace devrait conduire les services à collecter des informations relevant de domaines
très divers.
Ainsi, certains craignent que les dispositions législatives permettent de surveiller
des professions où la confidentialité est essentielle, telles que les avocats et les journalistes, ou
servent à effectuer de l'espionnage politique et industriel. Si le gouvernement s'est engagé à ne
collecter que les métadonnées, et non pas le contenu des messages, la faiblesse de l'argument
est dénoncée puisque les métadonnées renseignent davantage sur un individu que le contenu
même de ses communications. Les motifs de la surveillance sont donc considérés comme trop
vastes. D’autres craignent que les services de renseignement acquièrent un pouvoir démesuré
et que la loi ouvre à une surveillance généralisée, auquel cas les libertés publiques en
paieraient les frais. De ce point de vue, la loi sur le renseignement vient renforcer la
conviction de ceux qui pensent, comme Evgny Morozov, que le cyber renforce l'autoritarisme
des États plutôt que l'émancipation citoyenne107. La députée Laure de la Raudière a ainsi
estimé que cette loi, écrite sous le coup de l'émotion, portait atteinte aux libertés individuelles
et celle-ci déposé une saisine signée par des députés de tout bords politiques lors de l’examen
de la loi par le Conseil Constitutionnel108.
Cette loi devrait aussi avoir des implications sur les comportements individuels.
Les internautes se sentant surveillés, il est à craindre que la pratique de l'autocensure se
généralise109. Comme l’a très justement fait remarquer Glenn Greenwald, l'un des journalistes
qui collabore avec Edward Snowden, « la surveillance de masse crée une prison dans l’esprit
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!107 Evgeny Morozov, The Net Delusion : how to not liberate the world, London, 2011, 394 p. 108 Catherine Petillon, « La loi renseignement est-elle conforme à la Constitution ? », France Culture http://www.franceculture.fr/2015-07-21-la-loi-renseignement-est-elle-conforme-a-la-constitution (Consulté le 25 juillet 2015) 109 « Le point de vue d’OVH.com sur la loi renseignement », OVH.com, 6 mai 2015. https://www.ovh.com/fr/a1766.point-vue-ovh-loi-renseignement (Consulté le 27 juillet 2015)
!
46
qui est bien plus subtile mais bien plus efficace pour favoriser la conformité aux normes
sociales, bien plus effective que la force physique ne pourra jamais l’être110 ».
Le deuxième volet de critiques porte sur les boites noires et sur les conséquences
économiques de leur usage. La relation des hébergeurs (qui stockent les données) et des FAI
(qui assurent l'accès à l'Internet) avec leurs clients repose en effet sur la confiance. Ces
entreprises s'engagent à protéger les données et à maintenir leurs services face aux différentes
menaces, qu'elles soient techniques (assurer que les informations soient accessibles et que
l'Internet fonctionne sans interruption) ou qu'elles relèvent de la sécurité informatique (se
protéger contre l'espionnage et les vols de données). Or depuis les révélations de Snowden,
l'espionnage économique à grande échelle pratiqué par les gouvernements est un fait avéré.
Les États représentent donc une menace supplémentaire aux côtés des cyber-criminels pour
les acteurs économiques.
Lorsque ces pratiques ont été connues du public américain, les conséquences sur
le secteur des Technologies de l’Information et de la Communication (TIC) ont été
particulièrement néfastes. L'Information Technology & Innovation Foundation (ITIF) a ainsi
estimé en août 2013 que l'industrie américaine du stockage des données pourrait perdre 22 à
35 milliards de dollars sur le trois prochaines années111. De même, IBM a connu une baisse de
son activité au troisième trimestre 2013, notamment en Chine (baisse de 22% pour les
softwares, 40% pour les hardwares) et Cisco a signalé un ralentissement de ses activités à la
mi-novembre 2013112.
Les acteurs de l'économie numérique française craignent des conséquences
similaires avec la loi sur le renseignement de 2015. Le PDG de Gandi Stéphan Ramoin a ainsi
déclaré recevoir « tous les jours des clients américains ou asiatiques qui viennent chez nous,
car nous ne sommes pas concernés par Prism ou la NSA. Si le texte passe tel quel, nous
perdrons au moins 40 % de notre chiffre d’affaires113 ». Le mouvement d'entrepreneurs Ni
pigeons ni espions a exprimé le même point de vue : « mettre internet massivement sous
surveillance, c'est aussi sacrifier l'avenir numérique de la France, ses emplois et sa
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!110 Président du Conseil National du Numérique, Note à l’attention des membres du Conseil Constitutionnel sur le projet de loi relatif au renseignement, Paris, 12 juin 2015, p.12. https://cdn.nextinpact.com/medias/note-CNNum-pour-cc-pjl-renseignement.pdf (Consulté le 11 juillet 2015) 111 Castro Daniel, How much will prism cost the US cloud computing industry,ITIF, août 2013, p.1. http://www2.itif.org/2013-cloud-computing-costs.pdf?_ga=1.114276807.1530373815.1435756444 (Consulté le 1er juillet 2015) 112 Président du Conseil National du Numérique, op. cit., p.13. 113 Ibid., p.14. (Consulté le 11 juillet 2015).
!
47
contribution à l'économie française114 ». Surtout que la loi risque de renforcer les positions
dominantes des acteurs américains implantés en Europe qui ont déjà réagi aux révélations de
Snowden et amorcé le tournant de la confidentialité et du respect de la vie privée.
Dans ces conditions, OVH (premier hébergeur de données en France) a menacé de
s'installer à l'étranger s'il n'obtenait pas la garantie que ses données soient protégées et que
celles-ci ne fassent pas l'objet d'un espionnage à visée industrielle ou politique. « Il est
inimaginable de mettre des "boites noires" sur tous les systèmes et de laisser quelqu'un ou
quelque chose "pomper" les données. Vis-à-vis de nos clients, nous nous engageons sur la
confidentialité de leurs informations et de leur propriété intellectuelle115 » a affirmé son
directeur général à cette occasion.
Finalement, il semblerait que le gouvernement ait identifié le risque de perte
financière pour le marché français. Il a donc été décidé de limiter l'installation de ces
dispositifs aux fournisseurs d'accès à Internet. Seul le trafic fera l'objet d'une surveillance, et
non pas les données stockées sur le territoire français. De plus, le gouvernement s'est engagé à
laisser les FAI mettre en place eux-mêmes la surveillance lorsque cela leur sera demandé. Ils
recevront des demandes ciblées et justifiées et aucun agent extérieur n'interviendra116.
Malgré l'accord passé entre les hébergeurs et le gouvernement, cela n'empêchera
un climat de méfiance de s'installer sur le marché. De ce point de vue, il y a une contradiction
entre l'investissement de l'État dans le développement d'une industrie de confiance destinée au
marché international et la mise en place d'une surveillance généralisée qui s'appuie sur les
industries nationales du numérique. Dans ces conditions, la fuite des capitaux et la baisse des
investissements que cette loi risque d'entrainer ne va-t-elle pas à terme fragiliser l'économie
française et par voie de conséquence la souveraineté économique nationale ? Il semblerait
donc que pour le gouvernement la menace sécuritaire prime sur certaines considérations
d'ordre économique ou politique.
L'ensemble des garanties données par le gouvernement, que ce soit du point de
vue de la défense des libertés publiques ou de celui du respect du secret industriel, ne
prennent de sens que s'il existe une institution indépendante capable de contrôler et d'encadrer
la surveillance. Si une Commission Nationale de Contrôle des Techniques de Renseignement
(CNCTR) a été créée à cet effet, des critiques se sont exprimées. Cette commission ne dispose
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!114 https://ni-pigeons-ni-espions.fr/fr/ (Consulté le 11 juillet 2015) 115 Caulier Sophie, « "Nous allons investir 400 millions d'euros en trois ans" », Le Monde, 27 mai 2015, p.10. 116 « Le point de vue d’OVH.com sur la loi renseignement », op. cit.
!
48
que d'un simple avis consultatif et dépend du Premier ministre qui doit en théorie demander
l'autorisation de la CNCTR avant d'engager une surveillance. Mais en cas d'urgence, la
décision n'appartient qu'à lui. Il semble donc n'y avoir que peu de contrôle de l'activité des
services de renseignement. Le texte réduit aussi les possibilités de dénonciation de
comportements illégaux ou contraires à l'éthique. Les services de renseignement se protègent
ainsi contre un possible « Snowden français ». Par conséquent, ce texte de loi donne aux
services de renseignement une importante visibilité sur le cyberespace et, malgré les garanties
données par le gouvernement, les observateurs et les acteurs indépendants restent réservés
face à la faiblesse des contre-pouvoirs et face à la limitation des recours.
3.2. De l'utilité de la menace terroriste
Comme nous l'avons vu, c'est la menace terroriste qui justifie l'élargissement des
possibilités de surveillance des services de renseignement. Mais ce n'est pas tant l'objectif de
la loi que son contenu qui est critiqué, car le flou qui entoure la définition même du
« terrorisme » justifie l'amplitude la surveillance117. Dès lors, s'agit-il de lutter exclusivement
contre le terrorisme ? En réalité, il semblerait que la représentation de la menace terroriste soit
invoquée pour justifier le renforcement de la présence française dans le cyberespace, dans un
contexte international de fortes rivalités économiques et industrielles entre États.
De ce point de vue, le parallèle entre la loi sur le renseignement de 2015 et le
Patriot Act américain est intéressant. Notons avant tout que la mise en œuvre de ces
dispositions législatives s’est faite dans le même contexte historique : c'est à la suite d’un
attentat terroriste qui a libéré une charge émotionnelle extrêmement forte au sein de la société,
que les gouvernements ont décidé d'étendre la surveillance exercée par leurs services de
renseignement. Lors de notre entrevue, Maître Alain Bensoussan nous a ainsi affirmé qu’il
était favorable à l'instauration d'un Patriot Act à la française, car il s'agit selon lui du meilleur
dispositif sécuritaire mis en place jusqu'ici pour se prémunir de la menace terroriste118. À
l'opposé, d’autres ont dénoncé dans la loi française sur le renseignement ce même « Patriot
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!117 Rees Marc, « Loi Renseignement : ce que dit le mémoire de la Quadrature, FDN et FFDN », NextInpact.com, 24 juin 2015. http://www.nextinpact.com/news/95538-loi-renseignement-ce-que-dit-memoire-quadrature-fdn-et-ffdn.htm (Consulté le 11 juillet 2015) 118 Entretien avec l’auteur (6 mars 2015)
!
49
Act à la française »119, considéré cette fois ci comme un contre-exemple. Quoi qu’il en soit, il
appert qu'avec la loi sur le renseignement, les services de renseignement français s'engagent
dans la même direction que celle prise la communauté américaine du renseignement au
lendemain du 11 septembre 2001.
Le Patriot Act sert-il uniquement à lutter contre la menace terroriste ? L’Amiral
Rogers nous a affirmé lors de notre entretien que « nous [la NSA] n'utilisons pas nos
capacités de renseignement pour générer des avantages compétitifs 120 ». Pourtant, un
document publié sur le site Wikileaks montre que certains objectifs poursuivis par la NSA
n'ont aucun lien avec le terrorisme et qu’ils relèvent clairement de l'espionnage industriel. Ce
document identifie les cibles économiques de la NSA en France ; or, cela concerne l'ensemble
des secteurs de l'économie nationale : les télécommunications, les ressources naturelles, les
infrastructure de transports, les technologies environnementales et les infrastructures et
technologies dans le domaine de la santé121.
Si ce document concerne la France, il est néanmoins raisonnable de penser que
l'ensemble des pays développés est visé par cette surveillance. Certains médias ont désigné
cet espionnage comme un « abus » de la part des services américains. Ces actions s'inscrivent
au contraire dans la politique d'influence internationale des États-Unis définie par le pouvoir
exécutif.
L'argument de la surveillance américaine sur le cyberespace au nom de la lutte
contre le terroriste peut être relativisé par l'analyse de son efficacité dans la prévention des
attentats. Lors d'une visite à Berlin, peu après les premières révélations de Snowden, Barack
Obama a en effet affirmé : « nous savons qu'au moins cinquante menaces ont été prévenues
aux États-Unis grâce à ces informations collectées, mais également, dans certains cas, des
menaces ici, en Allemagne. Des vies ont donc été sauvées122 ». Cette déclaration a été
confirmée par le général Keith Alexander, alors directeur de la NSA, qui a ajouté que ces
menaces provenaient de vingt pays différents123.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!119 Follorou Jacques, Johannès Franck, « La tentation d’un « Patriot Act » à la française », Le Monde, 12 janvier 2015. http://www.lemonde.fr/police-justice/article/2015/01/12/la-tentation-d-un-patriot-act-a-la-francaise_4554308_1653578.html (Consulté le 11 juillet 2015) 120 Entretien ave la Chaire Castex de Cyberstratégie (16 juillet 2015) 121 « Espionnage Élysée », Wikileaks.org, 2012. https://wikileaks.org/nsa-france/spyorder/ (Consulté le 11 juillet 2015) 122 Cahall Balley, Sterman David, Schneider Emily, Bergen Peter, « Do NSA’s bluk surveillance programs stop terrorists ? », New America, 13 janvier 2014. https://www.newamerica.org/international-security/do-nsas-bulk-surveillance-programs-stop-terrorists/ (Consulté le 3 août 2015) 123 Ibid.
!
50
L'argument de l'efficacité a été remis en question par des observateurs
indépendants. Une enquête de la New America Foundation s'est par exemple penchée sur les
cas de 225 individus recrutés depuis le 11 septembre par al-Quaida ou par des groupes
similaires inspirés de son idéologie et poursuivis par la justice américaine pour actes de
terrorisme. Il ressort que les techniques d'enquête traditionnelles (informateur, enquête
d'entourage, etc.) ont d’abord justifié l'ouverture de ces investigations et que la contribution
des outils de surveillance de la NSA a été minime. Le programme très controversé de collecte
des métadonnées provenant des communications téléphoniques passées depuis le territoire
américain n’a justifié l'ouverture d'une enquête que dans 1,8% des cas et le programme de
surveillance internationale visant des citoyens non-américains dans 4,4% des cas124. Les
mesures législatives et sécuritaires prises à la suite des attentats du 11 septembre et destinées
à renforcer les capacités des services de renseignement se situent donc dans une logique plus
large que la seule guerre contre le terrorisme : l'objectif est également de renforcer le
leadership général des États-Unis.
De même, la loi sur le renseignement de 2015 s'inscrit dans une politique de
renforcement des positions françaises sur la scène internationale et ce renforcement, qui
procède d'une volonté politique, a été identifié il y a déjà quelques années comme une priorité
stratégique. Nous avons évoqué les dispositions prises par le gouvernement dans les Livres
blancs de 2008 et de 2013 pour le renforcement des cyber-capacités offensives et défensives
françaises.
À ce titre, il semblerait que la France ait également développé des capacités de
surveillance dans le cyberespace, selon des modalités similaires à l'action de la NSA. En
2008, à l'initiative du président Nicolas Sarkozy, les services de renseignement français
auraient en effet mis en place de systèmes d'écoutes sur les câbles sous-marins arrivant à
Marseille et en Bretagne. 700 millions d'euros auraient été alloués à ces dispositifs entre 2008
et 2013. Un nouveau plan quinquennal aurait ensuite été mis en place par François Hollande
en 2014 afin d'étendre la surveillance à d'autres câbles. Ces écoutes s'effectueraient avec la
coopération des entreprises françaises de télécommunications tels qu'Orange ou Alcatel-
Lucent125.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!124 Ibid. 125 Jauvert Vincent, « Comment la France écoute (aussi) le monde », L’Obs, 1er juillet 2015. http://tempsreel.nouvelobs.com/societe/20150625.OBS1569/exclusif-comment-la-france-ecoute-aussi-le-monde.html (Consulté le 1er juillet 2015)
!
51
La loi sur le renseignement inclut justement un article qui autorise cette
surveillance internationale. Il s'agit de l'article 854-1, compris dans le Chapitre IV de la loi et
intitulé « des mesures de surveillance internationale » : « Le Premier ministre ou les
personnes spécialement déléguées par lui peuvent autoriser, aux seules fins de protection des
intérêts fondamentaux de la Nation mentionnés à l'article L. 811-3, la surveillance et le
contrôle des communications qui sont émises ou reçues à l'étranger126 ». La surveillance sur
les réseaux n'est donc pas une spécificité américaine. À la mesure de ses moyens, la France
l'exerce également afin de renforcer sa puissance.
Avec la loi de 2015, la France légalise donc certaines pratiques de surveillance et
dote ses services de renseignement des même moyens dont disposent quelques uns de ses
homologues étrangers. La possibilité d'effectuer des écoutes au niveau international devrait
renforcer l'autonomie des services. En effet, en développant leurs propres moyens de recueil
et d'analyse du renseignement, les services devraient de moins en moins dépendre de leurs
relations extérieures. Les services de renseignement restent donc un instrument de première
importance dans la poursuite des projets politiques de la France sur la scène internationale.
Puisque le renforcement des possibilités offertes aux services de renseignement
concerne des pratiques difficilement avouables, les objectifs prioritaires poursuivis par l'État
avec la loi sur le renseignement ne peuvent faire l'objet d'un débat transparent au sein du
corps parlementaire. L'extension des prérogatives des services a donc été justifiée dans le
cadre de la guerre contre le terrorisme, la définition de la « menace terroriste » étant
suffisamment vague pour recouvrir les diverses menaces qui pèsent sur la souveraineté
numérique française.
La dissimulation des mobiles réels répond de fait à des impératifs stratégiques.
Avec l'intensification de la guerre économique dans le cyberespace, le défi pour les services
de renseignement est de garder une marge de manœuvre sur les réseaux et d'éviter de devenir
« sourd », au risque de voir la puissance économique française décliner face au pillage
industriel qui s'effectue via les réseaux. Le gouvernement a bien conscience que cette loi
risque d'avoir des conséquences néfastes sur l'industrie nationale, en particulier dans le secteur
du cloud. Mais puisque les intérêts politiques, économiques, sécuritaires et stratégiques sont
entremêlés dans le cyberespace, la réponse apportée par l'État français à ce défi a été voulue
comme globale. Cette tentative de reprise en main du cyberespace français est donc destinée à
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!126 Projet de loi relatif au renseignement, 20 mai 2015. http://www.senat.fr/leg/pjl14-461.html (Consulté le 3 juillet 2015)
!
52
affirmer la position de la France dans le rapport de force qui se joue entre les États via les
réseaux informatiques. La loi sur le renseignement doit dans ces conditions donner à la France
les moyens de sa survie sur ce nouveau territoire qu'est le cyberespace.
Dans un contexte de dépendance croissante au réseau des réseaux, l'Internet, la
souveraineté numérique française fait l'objet d'une attention croissante de la part des
décideurs. Ces derniers mois, des initiatives fortes ont été prises afin de renforcer la position
de la France dans le cyberespace. Or, ces initiatives représentent un fort changement de
paradigme pour le monde de la défense car l'interopérabilité des réseaux ne permet pas la
mise en place d’une défense selon un modèle fermé, de type « citadelle assiégée ». Au
contraire, la particularité du cyber est de brouiller les frontières traditionnelles et d'entremêler
les enjeux. Le débat concernant la souveraineté numérique s'est donc naturellement étendu au
domaine économique.
Mer$Méditerranée
Vers$la$Méditerranée$orientale$et$l’Asie
Vers$l’Amérique$du$Nord$et$l’Afrique
Quentin'Lenormand.'Avril'2015
Océan$Atlantique
200 km
[10'Gbps'.'1'Tbps[
[1'Tbps.10'Tbps[
[10'Tbps'.'50'Tbps]
Fermes'de'serveurs
Points'd’échange'internet'(GIX)
1
35
Cables'sous.marins'de'
télécommunication
Les'infrastructures'du'cyberespace'français'
dans'leur'environnement
Sources:'cablemap.info,'datacentermap.com,'internetexchangemap.com
en$construction
5
La$localisation$des$données La$connectivité
Nantes
Paris
Grenoble
MarseilleToulouse Nice
Lyon
Strasbourg
Lille
Bordeaux
Ajaccio
Rennes
Zurich
Frankfurt
Luxembourg
Milan
Portsmouth
!
54
Chapitre 2
L’enjeu économique
de la souveraineté numérique
1. La domination économique des acteurs américains
1.1 Une domination procédant d’une volonté politique
Le marché du numérique est aujourd'hui massivement dominé par les acteurs
américains. 83% de la capitalisation boursière mondiale du secteur des Technologie de
l'Information et de la Communication (TIC) sont représentés par des entreprises américaines,
contre 2% par les entreprises européennes127. Comment ces entreprises sont-elles parvenues à
cette position dominante ?
Historiquement, cette domination procède d'une volonté politique. Dès l'ouverture
de l'Internet au grand public au début des années 1990, le gouvernement américain identifie
l'industrie du numérique comme un objectif stratégique. À cette époque, les États-Unis sont
en train de perdre leur leadership sur l'industrie du numérique au bénéfice du Japon. Le
sénateur Al Gore propose alors des dispositions législatives et fiscales destinées à donner aux
entrepreneurs américains les moyens de devenir des leaders sur le marché des TIC. L'objectif
est de faire du numérique l'industrie de référence des États-Unis et d'assurer ainsi l'avenir de
la puissance économique américaine.
Le premier texte législatif, rédigé en 1991 à l'initiative d'Al Gore, est intitulé
High-Performance Computing Act128. Ce texte doit assurer la prédominance américaine sur le
développement du numérique, comme cela est explicitement déclaré dans son sous-titre : « An
Act to provide for a coordinated Federal program to ensure continued United States
leadership in high-performance computing ». Le président George Bush affirme à cette !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!127 Propos recueillis auprès d’Olivier Sichel, « Que peut faire l'Europe face à l'hégémonie numérique américaine ? », conférence du 19 mars 2015 organisée à l’École Militaire par le comité Cyberdéfense de l’ANAJ-IHEDN 128 « Internet history », Computer history, 2004. http://www.computerhistory.org/internet_history/ (consulté le 2 août 2015)
!
55
occasion qu'il « n’est pas surprenant que l’Amérique soit leader dans le domaine des hautes
technologies. Nos plus grands progrès ont été rendus possibles par l’exceptionnelle capacité
de la société américaine à promouvoir la liberté, l’innovation et l’esprit d’entreprise dans une
cohérence que l’on ne trouve nulle part ailleurs dans le monde. Ce programme soutiendra et
étendra notre leadership129 ». Dès le départ, l'Internet est donc pensé comme une invention
américaine au service du développement américain.
L'Internet Tax Freedom Act est le deuxième texte législatif qui fonde la puissance
économique américaine dans le cyberespace. En instaurant un moratoire à partir du 1er
octobre 1998 sur les créations de taxes sur l'accès à l'Internet et au commerce en ligne, ce
texte laisse la possibilité aux acteurs privés d'entreprendre et d'investir sans craindre une
pression fiscale étouffante.
Le capital-risque devient alors « l’instrument de financement le plus en phase
avec les caractéristiques des entreprises de l’économie numérique 130 ». Ce type
d'investissement consiste en effet à multiplier les financements pour des projets présentant
une faible probabilité de succès, mais des potentiels de croissance et de réussite très élevés.
Les investisseurs sont donc plus à même de prendre des risques. Amazon a ainsi dépensé trois
milliards de dollars entre 1995 et 2003 sans dégager le moindre bénéfice, tout en gardant la
confiance des investisseurs : l'entreprise se positionne aujourd'hui comme un leader sur le
marché du commerce en ligne et du cloud131.
Ce cadre législatif porté par la classe politique a ainsi permis de faire émerger aux
États-Unis des industries dominantes dans le secteur du numérique. Remarquons par ailleurs
que l'Internet, tel qu'il fut développé sous l'égide des États-Unis, est donc techniquement et
économiquement au service des entreprises avant d’être au service des internautes.
Les résultats de cette politique sont probants : depuis l'Internet Tax Freedom Act,
tous les trois mois en moyenne, les États-Unis ont donné naissance à une entreprise du
numérique valorisée par la suite à plus d'un milliard de dollars132. De même, 9 sites sur 10
parmi les plus visités au monde le 1er janvier 2013 sont rattachés à des acteurs américains,
alors que 80% de internautes ne le sont pas133. Enfin, c'est aux États-Unis que le vivier de
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!129 « Internet history », Cyber Telecom, 15 septembre 2014. http://www.cybertelecom.org/notes/internet_history90s.htm (consulté le 2 août 2015) 130 Collin Pierre, Colin Nicolas, op.cit., p.12. 131 Ibid., p.10. 132 Ibid., p.12. 133 Le Boucher Eric, « L’empire numérique américain, on le perçoit mieux avec des chiffres » Slate, 26 octobre 2014. http://www.slate.fr/story/93859/etats-unis-hyperdomination-numerique (consulté le 9 juin 2015)
!
56
start-up est le plus important : sur les 110 licornes134 que compte le marché mondial, 68 sont
américaines, ce qui constitue la part la plus importante135.
En France, les principaux acteurs américains du secteur des TIC sont souvent
désignés sous l'acronyme de GAFA, pour Google, Amazon, Facebook et Apple. Certains y
ajoutent Microsoft et Yahoo!, parlant de GAFAMY, et quelques fois Twitter, parlant alors de
GAFATYM. Signalons néanmoins que l'étude de ces acteurs, de leur structure interne et de
leur impact sur le développement économique est rendue difficile par le fait qu'il n'existe pas
de définition précise et acceptée par tous de ce secteur des TIC, car il s'agit à plus d'un titre
d'un secteur aux très fortes spécificités.
1.2 Un modèle économique innovant
Quels sont les facteurs expliquant la réussite des entreprises américaines dans le
secteur des TIC ? À quoi tiennent les spécificités de ces nouveaux acteurs et comment
parviennent-ils aujourd'hui à capter la majorité de la valeur financière produite sur les
réseaux ?
La spécificité de ces entreprises tient en premier lieu à leur position d'intermédiaire.
Via leurs plates-formes en ligne, ces acteurs mettent en relation une offre et une demande
d'informations ou d'acquisition de biens (matériels ou immatériels), la coordonnent, la
facilitent, la monétisent, mais la sécurisent également en fournissant des garanties aux usagers
(paiements sécurisés, assurances, etc.) En se situant entre le client et le marchand, ces
quelques entreprises captent la valeur financière en imposant des commissions, quand elles ne
se financent pas grâce à la publicité. La rentabilité de ces modèles d'affaire est donc double :
le financement provient à la fois des clients (qui paient des commissions sur leurs achats) et
des marchands (qui paient des espaces d'exposition ou/et des espaces publicitaires).
La puissance de ces entreprises tient également à la nature des services qu'ils
proposent. Généralement gratuits et accessibles en ligne sans restriction, le principe du
Software As A Service (Saas) est extrêmement rentable. Ce modèle, qui tend à remplacer le
système des logiciels vendus à l'unité sur des supports physiques et protégés par une licence, !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!134 Une licorne est une entreprises du secteur des TIC non-cotée en bourse mais valorisée à plus d'un milliard de dollars. 135 « The Unicorn List : current private companies valued at $1B and above », CBinsights. https://www.cbinsights.com/research-unicorn-companies (consulté le 9 juin 2015).
!
57
est certes coûteux à développer en premier lieu, mais une fois mis au point, il peut être diffusé
à des centaines de millions d'internautes depuis le siège de l’entreprise sans qu'aucune
installation ne soit nécessaire de la part de l'utilisateur. De même, les mises à jour sont
effectuées directement par les développeurs. Les coûts de maintien se trouvent donc
considérablement réduits et cela permet aux prestataires d'effectuer de très importantes
économies d'échelles.
La troisième spécificité tient à la stratégie d'extension de ces acteurs. En effet, ces
derniers ne se considèrent pas comme des spécialistes dans des domaines particuliers, mais
leur projet est au contraire de se positionner comme des acteurs incontournables d'une
économie chaque jour un peu plus dépendante des outils numériques. Google est de ce point
de vue un exemple intéressant : avec 182 acquisitions d'entreprises entre le 12 février 2001 et
le 28 mai 2015, Google est devenu non seulement un acteur incontournable de l'Internet, mais
également de l'ensemble de l'économie136. L'entreprise californienne s'intéresse autant au
secteur de la santé (elle commercialise par exemple une cuillère anti-tremblements destinée
aux personnes atteintes de la maladie de Parkinson137) qu'à celui de l'automobile (la Google
Car), ou au développement de l'intelligence artificielle138 et à l'exploration spatiale (Google a
investi un million de dollars dans le projet SpaceX d'Elon Musk au début de l'année 2015139).
De 2012 à 2014, Google et Facebook ont ainsi dépensé 33 milliards de dollars en fusions-
acquisitions et en investissements dans d'autres entreprises140. Ces acteurs sont donc devenus
des entreprises plurisectorielles, comme le montre le tableau ci-dessous représentant les
différents secteurs économiques où les GAFA sont présents141.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!136 « Liste des acquisitions de Google », Wikipedia. http://fr.wikipedia.org/wiki/Liste_des_acquisitions_de_Google (consulté le 9 juin 2015) 137 Loumé Lisa, « Maladie de Parkinson : une cuillère anti-tremblements vendue sur internet », Sciences et avenir, 27 novembre 2014. http://www.sciencesetavenir.fr/sante/20141127.OBS6393/maladie-de-parkinson-une-cuilleres-anti-tremblements-vendue-sur-internet.html (consulté le 26 juillet 2015) 138 Tual Morgane, « Une intelligence artificielle de Google capable de discuter du sens de la vie », Le Monde, 29 juin 2015. http://www.lemonde.fr/pixels/article/2015/06/29/une-intelligence-artificielle-de-google-capable-de-discuter-du-sens-de-la-vie_4664158_4408996.html (consulté le 26 juillet 2015) 139 Wall Mike, « Elon Musk’s SpaceX gets $1 billion from Google and Fidelity », Space, 20 janvier 2015. http://www.space.com/28316-spacex-elon-musk-google-fidelity-investment.html (consulté le 26 juillet 2015) 140 Sichel Olivier, « L’échiquier numérique américain. Quelle place pour l’Europe ? » IFRI, septembre 2014, p.10. http://www.ifri.org/sites/default/files/atoms/files/pp20final.pdf (consulté le 3 mars 2015) 141« Gafanomics : new economy, new rules », Fabernovel, 2014, p.11. http://www.fabernovel.com/work/study-gafanomics-new-economy-new-rules/ (consulté le 29 juin 2015)
!
58
Figure 1 : la plurisectorisation des GAFA
Cette stratégie d'extension se décline également selon le principe d'intégration
verticale qui permet de réduire la dépendance de ces entreprises à des acteurs extérieurs. En
amont, les géants du secteur des TIC cherchent à contrôler l'ensemble de leur chaine de
production, ainsi que les infrastructures nécessaires aux transmissions de données. Google
disposent par exemple de ses propres serveurs et souhaitent développer son propre réseau
filaire d'accès à l'Internet142 . En aval, ils contrôlent l'ensemble de l'échelle, jusqu'aux
interfaces d'utilisation (software) et aux terminaux (hardware) qui sont interconnectés, ce qui
a l'avantage de faciliter l'usage de l'internaute.
Mais cette stratégie d'extension s'étend également au principe d'intégration horizontale.
Ces entreprises étendent en effet leurs activités à des services ne relevant pas de leurs
spécialités originelles. Une entreprise comme Google, qui était un simple moteur de recherche
lors de sa création, propose désormais un bouquet de services complémentaires (email,
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!142 https://fiber.google.com/ (consulté le 4 août 2015)
!
59
agenda, cartographie, etc.). Or ces services utilisent les données créées par les utilisateurs lors
de l'usage des différents services. Les ressources sont donc mutualisées, qu’il s'agisse des
données ou des infrastructures, ce qui permet de réduire encore un peu plus les coûts ainsi que
le prix des prestations, et donc de se positionner de manière avantageuse vis-à-vis de la
concurrence.
Les données sont l'élément stratégique de ces nouveaux modèles d'affaires : on
parle d'ailleurs à leur sujet de « nouvel or noir ». Les données désignent l'ensemble des
informations disséminées par un utilisateur lors de sa navigation : nom, prénom, centres
d'intérêts, date et lieu de naissance, lieux fréquentés, dépenses, etc. Elles représentent
désormais une masse d'actifs immatériels qui sont devenus plus importants que les actifs
matériels et immatériels existants (terrains, biens, outils de production, marque, brevets, etc.)
Pour des entreprises de services en ligne, les données sont fondamentales. En
échange de l'utilisation généralement gratuite d'un bouquet de services, l'utilisateur cède ses
données personnelles à l'entreprise concernée, comme indiqué dans les Conditions
d'utilisation. Ces données sont ensuite analysées puis rentabilisées de deux manières. D'un
côté, elles permettent d'effectuer de la publicité ciblée, extrêmement rentable : grâce à
l'analyse des besoins, des désirs, des habitudes des internautes, elles offrent des modèles de
comportements prédictifs. Ces modèles sont ensuite vendus aux utilisateurs-marchands sous
la forme d'espaces publicitaires. De l'autre côté, en étudiant le comportement de leurs
utilisateurs, ces entreprises améliorent l'efficacité et la performance de leurs services et
renforcent donc avec le temps leur position de leader sur le marché. Cette efficacité croissante
leur permet d'abaisser toujours un peu plus leurs coûts, les positionnant de manière toujours
plus avantageuse vis-à-vis de la concurrence. La collecte de données constitue donc la priorité
pour ces acteurs qui cherchent à agglomérer un maximum d'utilisateurs.
Les stratégies mises en œuvre par les entreprises dominant à ce jour le secteur des
TIC ont plusieurs implications. En maîtrisant l'ensemble de la production, de la distribution et
de la diffusion, ces quelques acteurs ont en premier lieu tendance à renforcer la dépendance
des consommateurs à leurs services. Apple propose ainsi tout un environnement de terminaux
avec son Smartphone (Iphone), ses ordinateurs (MacBook), ses tablettes numériques (Ipad) et
depuis peu sa montre connectée (Iwatch). En alliant le matériel et le logiciel, ces entreprises
maintiennent donc les internautes dans des écosystèmes fermés. Par conséquent, nous
!
60
assistons à un « verrouillage technologique143 » de l'utilisateur. En effet, une fois que ce
dernier a adopté une technologie, il a un intérêt pratique à se maintenir dans cet écosystème. Il
s'épargne ainsi de nouveaux coûts d'apprentissage. Les entreprises concernées font également
en sorte qu'il y trouve un intérêt financier.
Ce verrouillage est renforcé par le fait que ces écosystèmes sont étanchéifiés afin
rendre impossible toute interopérabilité entre services d'entreprises concurrentes. Cela
renforce un peu plus la concentration des internautes dans des écosystèmes fermés où la
tablette Kindle d'Amazon ne permet de consulter que les fichiers téléchargés depuis Amazon,
ou encore l'Apple store qui donne accès à des applications utilisables exclusivement depuis
les terminaux de la marque Apple.
Ces stratégies tendent donc à concentrer l'activité des internautes sur quelques
plates-formes. Facebook compte ainsi plus d'un milliard d'utilisateurs. Une fois les utilisateurs
« hameçonnés » par l'entreprise, cette dernière peut étendre ses activités à de nouveaux
produits. Amazon a ainsi utilisé son site de vente en ligne pour se constituer une très large
clientèle, auprès de laquelle elle a ensuite fait la promotion de son service de stockage de
données en ligne (AWS), qui rapporte aujourd'hui plus que le site marchand 144 .
L'agglomération d'utilisateurs est donc dans ce cas désignée comme la priorité devant la
rentabilité, selon la stratégie consistant à « être roi plutôt que riche »145, ce qui en retour a
pour effet d'améliorer sans cesse la performance des services proposés grâce à l'analyse des
données. La position de leader de ces entreprises tend donc à se renforcer avec le temps.
La dépendance ne concerne pas que les utilisateurs/clients, mais également les
utilisateurs/marchands, principalement dans les secteurs de la vente au détail (B2C) comme
de la vente interentrepreneuriale (C2C). L'industrie musicale dépend par exemple aujourd'hui
de quelques services en ligne : l'Apple Store de la marque Apple, qui permet la distribution
des productions, et le site Youtube, appartenant à Google, qui constitue un instrument de
diffusion mondial. Cela est également vrai dans le secteur de la vente de livres en ligne,
aujourd'hui extrêmement dépendant du site marchand d'Amazon.
Le secteur des TIC est ainsi confronté à une situation paradoxale, mise en avant par
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!143 Coutinet Nathalie, « Les technologies numériques et leur impact sur l'économie », Cahier Français : la société numérique, n°372, janvier-février 2013, p.22. 144 Pontiroli Thomas, « Chez Amazon, le cloud est plus rentable que la boutique en ligne », Clubic, 24 avril 2015. http://pro.clubic.com/entreprises/amazon/actualite-764468-resultats-amazon.html (consulté le 7 juillet 2015) 145 Frénot Stéphane, Grumbach Stéphane, « Les données sociales, objets de toutes les convoitises », Hérodote, op. cit., p.52.
!
61
Olivier Sichel dans son article sur la place de l'Europe dans « l'échiquier numérique
américain »146 : alors que le numérique devait permettre l'émergence rapide de concurrents, la
stratégie de captation des GAFA étouffe la concurrence en concentrant l'activité et en
encadrant l'innovation qui se trouve de fait limitée. La parcellisation de l'Internet en
écosystèmes numériques contrôlés par quelques acteurs (dont aucun n'est européen) qui
centralisent l'activité à leurs profits exclusifs, est donc déjà une réalité.
1.3 L'Union européenne : « colonie du monde numérique » ?
En Europe, la domination de quelques acteurs sur le secteur des TIC, et bientôt sur
l'ensemble de l'économie, est perçue comme une menace par une partie de la classe politique
française. Le député Malek Boutih, reprenant les idées développées par Pierre Bellanger, a par
exemple dénoncé dans son rapport consacré au djihadisme147 la prédominance des acteurs
américains sur l’Internet : « derrière l’anarchie supposée de la toile, se cache un ordre, celui
des opérateurs américains qui de fait sont les vrais maitres.148 ».
Mais c’est la sénatrice Catherine Morin-Desailly qui apparait comme la
personnalité politique française la plus au fait de ces enjeux. Selon elle, le risque pour l'Union
européenne de devenir une « colonie » du monde numérique, selon l'expression qu’elle a
utilisée dans son rapport daté du mois de mars 2013149, est bien réel. Le terme de colonie fait
référence à un phénomène historique précis : celui de l'occupation et de l'exploitation par les
puissances occidentales de territoires extérieurs à l'Europe. La particularité de la colonie, c'est
que l'exploitation se fait au bénéfice exclusif du colon, mais à partir des ressources du
colonisé qui profite dans une proportion négligeable de la richesse produite. La répartition de
cette dernière est donc inéquitable. L'utilisation du terme de colonie à propos du numérique
est donc volontairement polémique dans le sens où elle désire attirer l'attention du public sur
la domination abusive des entreprises américaines du secteur des TIC sur le marché européen.
Avec près de 500 millions de consommateurs dotés d'un haut niveau de vie, l'Union
européenne est en effet un marché prioritaire pour les entreprises américaines. Dans le secteur
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!146 Sichel Olivier, « L’échiquier numérique américain. Quelle place pour l’Europe ? », op. cit., p.10. 147 Bouthi Malek, Génération radicale op. cit. 148 Ibid., p.60. 149 Morin-Desailly Catherine, Rapport d'information fait au nom de la commission de affaires européennes sur l' « Union européenne, colonie du monde numérique ? », op. cit.
!
62
des TIC, elles y jouissent d'une position dominante : en mai 2015, 91% des recherches
effectuées sur l'Internet provenaient du moteur de recherche Google (contre 77% aux États-
Unis)150. De même, Facebook occupe 82% du marché des réseaux sociaux151. Si cette
domination repose sur leur capacité d'innovation et sur leur puissance financière, ces acteurs
savent également exploiter certaines vulnérabilités propres à l'Union européenne dans le but
de renforcer leur position dominante.
La première vulnérabilité exploitée concerne les disparités fiscales entre États
membres. Traditionnellement, la politique fiscale au sein de l'Union européenne fait partie des
compétences souveraines des États. Cette situation a engendré de fortes disparités d'un État à
l'autre, en particulier concernant les régimes d'imposition et la taxe sur la valeur ajoutée
(TVA). Du fait de ces disparités, une forme de concurrence s'est mise en place entre les États
européens dans le but d'attirer les multinationales : les Pays-Bas mais aussi le Luxembourg (et
jusque très récemment l'Irlande) proposent un cadre fiscal très avantageux pour les entreprises
qui désirent installer leur siège et/ou déclarer leurs activités sur leur territoire152. Les
entreprises américaines utilisent largement ce système pour limiter leurs frais d'imposition. Le
Luxembourg a ainsi passé des accords secrets avec des entreprises telles qu'Amazon ou Apple
afin que celle-ci jouissent d'une fiscalité quasi-nulle sur leurs activités en Europe. De même
jusqu'en 2014, l'Irlande a offert un système de déclaration et d'imposition très avantageux aux
multinationales, appelé « double irlandais ».
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!150 Pour la période d’avril 2014 à avril 2015. http://gs.statcounter.com/#search_engine-eu-monthly-201404-201504 (consulté le 15 avril 2015). 151 Pour la période d’avril 2014 à avril 2015. http://gs.statcounter.com/#social_media-ww-monthly-201404-201504 (consulté le 15 avril 2015). 152 Davril Marianne, « Bruxelles lance un plan de lutte contre l'optimisation fiscale », Boursier, 18 mars 2015. http://www.boursier.com/actualites/economie/bruxelles-lance-un-plan-de-lutte-contre-l-optimisation-fiscale-27426.html (consulté le 29 juin 2015)
Taux%d’utilisation%du%réseau%social%Facebook%%(en%%)
[70;80[
[80;90[
[90;100]
[60;70[
[75;90[
[95;100]
[60;75[
Sources:%Statcounter,%internetworldstats
Quentin Lenormand - avril 2015
[90;95[
Taux%d’utilisation%du%moteur%de%recherche%Google%%(en%%)
NN
Quentin%Lenormand%;%avril%2015
600%km
600%km
L’hég
émon
ie d
es se
rvic
es e
n lig
ne a
mér
icai
ns
au se
in d
e l’U
nion
Eur
opée
nne
!
64
Les redressements fiscaux auxquels sont soumis ces entreprises peuvent laisser
penser que l'évasion fiscale, ou du moins l'optimisation fiscale, est une pratique systématique
pour ces acteurs : le fisc italien réclame ainsi 320 millions d'euros à la filiale italienne de
Google153. De même la filiale française a reconnu en avril 2014 faire l'objet d'une procédure
de redressement fiscal en France après l'avoir pourtant nié. La facture devrait dépasser les 500
millions d'euros154.
La deuxième vulnérabilité exploitée par les acteurs privés américains provient du
caractère novateur de leurs modèles d’affaires qui laissent les décideurs européens démunis.
La déformation de la structure des coûts, les caractéristiques inédites de leur système de
production et les spécificités du secteur rendent difficile l'identification de la richesse produite
par ces nouveaux acteurs. Ces entreprises reposent en effet sur des marchés multi-faces :
Google est une plate-forme à partir de laquelle l'internaute peut avoir accès à des services
aussi différents qu'un moteur de recherche, une messagerie instantanée, la réservation d'hôtel,
une librairie en ligne, etc. Avec Google Wallet, l'entreprise part également à la conquête du
secteur bancaire ; de même avec la Google Car, le secteur de l'automobile est en passe d'être
révolutionné. Dès lors se pose la question de savoir ce qu’est Google ? Et cette question peut
également se poser avec Apple, qui a étendu son activité première de production d'un terminal
et d'un système d’exploitation à la vente de musique en ligne, à la téléphonie mobile et à
l'horlogerie. Comment appréhender ces modèles économiques qui n'entrent dans aucune
catégorie fiscale ?
De plus, le modèle d'affaires des GAFA repose sur la gratuité, ce qui représente
également une innovation : en échange de ses données, l'utilisateur a accès à un éventail de
services gratuits et toujours plus performants. Or, cette gratuité rend « l’économie numérique
particulièrement difficile à appréhender pour la fiscalité155 ».
Compte-tenu des transformations portées par les acteurs du secteur des TIC dans
l'économie de production de biens matériels ou immatériels, le législateur semble avoir une
difficulté à identifier la richesse produite par ces entreprises et donc à appliquer la fiscalité et
le droit de la concurrence. Il existe ainsi un véritable débat sur la question de savoir sur quelle !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!153 Ferrarella Luigi, « Google, accordo sulle tasse evase paghera 320 milioni all'Italia », Corriere, 25 février 2015. http://www.corriere.it/economia/15_febbraio_25/google-fa-pace-il-fisco-paghera-320-milioni-all-italia-e8bb7dac-bcb1-11e4-ad0c-cca964a9a2a1.shtml (consulté le 29 juin 2015) 154 Ferran Benjamin, « Redressement fiscal : Google finalement prêt à payer », Le Figaro, 25 avril 2014. http://www.lefigaro.fr/societes/2014/04/25/20005-20140425ARTFIG00083-redressement-fiscal-google-finalement-pret-a-payer.php (consulté le 29 juin 2015) 155 Morin-Desailly Catherine, Rapport d'information fait au nom de la commission des affaires européennes sur l' « Union européenne, colonie du monde numérique ? », op. cit., p.35.
!
65
base imposer ces modèles d'affaire : faut-il les imposer sur leurs bénéfices, leur chiffre
d'affaires, en fonction de leur consommation de données, c'est-à-dire par une taxe sur le débit,
comme l'a proposé Fleur Pellerin au début de l'année 2015156? La question, extrêmement
complexe, n'a pour le moment pas été résolue.
De ce point de vue, l’annonce faite par Google, le 11 août 2015, de la création
d’un holding aidera peut-être à résoudre cette problématique157. En effet, ce holding appelé
Alphabet doit regrouper l’ensemble des activités de la firme, les décomposer en sociétés et
ainsi distinguer les activités sans rapport avec le cœur de métier originel de Google (recherche
en ligne, cartographie, publicité, etc.) : Google Fiber (renommé Fiber), qui est un projet de
fourniture d’accès à l’Internet, ou Google Venture (renommé Venture), le fond
d’investissement créé en 2013, ne seront donc plus que des sociétés parmi d’autres regroupées
au sein d’Alphabet ; Google, qui désigne désormais la société chapeautant les services en
ligne, reste néanmoins l’élément dominant de cette nouvelle structure158. L’avenir proche
nous dira si cette restructuration permettra d’aider les décideurs européens à définir un
système d’imposition plus adéquat aux activités de cet acteur privé.
Les acteurs dominants du secteur des TIC ont donc su tirer profit des particularités
inhérentes à l'Union européenne pour asseoir leur domination sur le marché européen. Or
cette domination a de conséquences jugées néfastes pour la souveraineté économique des
États membres. En effet, l'optimisation fiscale (lorsqu'il ne s'agit pas d'une évasion fiscale
pure et simple), en privant les États d'importantes ressources, sape leurs possibilités d'action.
De plus, ces quelques acteurs privés captent la majorité de la valeur créée sur le marché
européen des services en ligne et empêche l'émergence de concurrents européens en
emprisonnant l'innovation pour leurs propres bénéfices. Les décideurs européens tentent donc
de remédier à cette situation depuis quelques années. Quels sont les aspects et les résultats de
ces politiques destinées à reconquérir la souveraineté économique des États membres de
l'UE?
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!156 Rees Marc, « Fleur Pellerin propose (encore) de taxer la bande passante », Next inpact, 11 février 2015. http://www.nextinpact.com/news/93034-fleur-pellerin-propose-encore-taxer-bande-passante.htm (consulté le 29 juin 2015) 157 « G is for Google », Google Blog, 10 août 2015. http://googleblog.blogspot.fr/2015/08/google-alphabet.html (consulté le 10 août 2015) 158 « Le nouvel “Alphabet” de Google de A à Z », Zdnet, 11 août 2015. http://www.zdnet.fr/actualites/le-nouvel-alphabet-de-google-de-a-a-z-39823454.htm (consulté le 11 août 2015)
!
66
2. La défense du marché numérique européen
2.1 De l'importance d'une économie numérique européenne
Face à la position hégémonique occupée par les entreprises américaines sur le
marché européen des TIC, Bernard Benhamou fait le constat suivant : « L'Europe a raté tous
les virages de l'Internet, avec constance159 ». Cette opinion est partagée par de nombreuses
personnalités interrogées lors de notre enquête de terrain. Dans l'histoire de l'informatique
industrielle, l'Europe a en effet accumulé un important retard. Elle a d'abord raté l'épopée des
premiers micro-ordinateurs et logiciels conçus par IBM, Apple et Microsoft dans les années
1970 et 1980. La France a certes eu son plan Calcul, mais celui-ci s'est soldé par un échec.
L’Europe a ensuite raté les opportunités offertes par l'ouverture de l'Internet en 1990. Enfin,
elle a raté le passage au Web 2.0, et avec lui les opportunités économiques liées aux logiques
de partage et de diffusion caractéristiques de cette époque. C'est en effet sur la période 1995-
2004, durant laquelle se développèrent les Google, Amazon et Apple, aujourd'hui devenues
les entreprises les plus cotées en bourse de l'Histoire, que le taux de croissance de la
productivité des États-Unis a progressivement dépassé celui des Européens160.
Depuis, les États-Unis ne cessent de marquer la distance vis-à-vis de l'Europe. Il
existe certes des acteurs européens dans le secteur des services en ligne : Blablacar en France,
Skype au Luxembourg, Spotify en Suède, Rovio en Finlande, Booking.com au Pays-Bas,
Prezi en Hongrie161. Mais il s'agit d'initiatives isolées sur un marché parcellisé où autant de
politiques nationales sont mises en œuvre. Cette situation a donc favorisé l'implantation et le
développement des entreprises américaines sur le marché européen.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!159 Entretien avec l'auteur (19 mars 2015). 160 Ben Miller, Atkinson Robert D. (ITIF), Raising european productivity growth through ICT, 2014, p.4. 161 Moiseev Alexander, « En matière de cyber-sécurité, le protectionnisme amplifie les risques », Global Security Mag, mai 2015. http://www.globalsecuritymag.fr/En-matiere-de-cyber-securite-le,20150528,52976.html (consulté le 9 juin 2015)
!
67
Figure 2 : taux de croissance de la productivité entre 1980 et 2013
dans l'Union européenne et aux États-Unis
Pourtant, les révélations de Snowden concernant l’espionnage de l’UE ont
entrainé une perte de confiance du marché envers les acteurs américains. Le recul de ces
derniers est considéré comme une opportunité de développement économique pour les
Européens, d’autant plus que la perte de confiance consécutive aux pratiques de la NSA
concerne les trois couches du cyberespace : la couche physique par la mise sur écoute depuis
les câbles et la corruption du matériel, la couche des logiciels par l'affaiblissement de leur
sécurité, et la couche informationnelle par l'exploitation des données collectées par les
entreprises américaines auprès des internautes du monde entier. Les opportunités concernent
donc tout autant les services en ligne que les infrastructures et les logiciels.
En s'engageant dans une réforme de son cadre législatif, l'Europe souhaite donc ne
pas rater la quatrième phase du développement des réseaux, celle des objets connectés et de
l'intelligence artificielle, domaines qui portent encore d'immenses espoirs de croissance
économique. Alors qu'aux États-Unis l'émergence d'une industrie compétitive dans le
domaine du numérique a procédé d'une vision politique, l'Europe n'a en effet jamais mis en
œuvre de politique cohérente dans ce domaine. Aucun écosystème entrepreneurial pouvant
prétendre tenir tête au marché américain n'a donc pu émerger.
Les projets européens de réforme de l'économie numérique sont donc sous-tendus
par l'idée que le secteur des TIC permettra d'améliorer durablement la production de
!
68
richesses. En France, cet enjeu économique est désormais considéré comme un enjeu de
souveraineté. La députée française Corinne Erhel a ainsi affirmé à ce sujet que « la
souveraineté économique, c'est aussi la capacité à dépendre nous-mêmes des possibilités
offertes par la nouvelle économie [...].162 » D'autant plus que les révélations de Snowden
concernant les accords passés entre les services de renseignement et les entreprises
américaines du secteur des TIC ont démontré que la domination sur l'Europe ne relevait pas
du seul domaine économique, mais qu'elle s'inscrivait dans une stratégie de domination
globale de la part des États-Unis. De ce point de vue, l'affaire Snowden a permis d'accélérer la
prise de conscience de l'importance stratégique de la défense de la souveraineté économique
européenne.
2.2 L'harmonisation du cadre européen
La défense de la souveraineté envisagée à l'échelle européenne ne vise pas à
gommer les spécificités nationales mais avant tout à harmoniser le marché unique européen
en favorisant les échanges entre les pays membres. Cette harmonisation passe par la réforme
du cadre fiscal, la mise en œuvre d'un marché unique européen et le renforcement de
l'application du droit européen de la concurrence.
La défense du cyberespace européen d'un point de vue économique repose en
France sur la représentation du couple franco-allemand. Lors de l'anniversaire des 50 ans du
traité de l'Elysée en février 2014, la France et l'Allemagne ont ainsi réitéré leur volonté de
rester les moteurs économiques et politiques de l'Europe dans une déclaration commune: « La
France et l’Allemagne souhaitent encourager l’innovation dans les deux pays afin de
développer les produits et les services qui créent de la valeur en Europe163 ». Plus loin, la
déclaration affirme les besoins d'une régulation européenne des plates-formes afin de
préserver sa capacité d'innovation. À cette occasion, certains sénateurs français se sont
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!162 Propos recueillis auprès de Mme Corinne Erhel lors des 2es assises de la Souveraineté Numérique, 15 avril 2015. 163 Présidence de la République, Relevé de décisions, conseil des ministres franco-allemands du 19 février 2014, p.9.
!
69
félicités « que l’enjeu de l’autonomie européenne sur Internet soit ainsi soulevé au plus haut
niveau164 ».
Les disparités fiscales entre pays membres de l'UE ont été identifiées par les décideurs
politiques comme un élément profitant aux acteurs non-européens. Le 17 juin 2015 la
Commission européenne a donc présenté son « plan d'action pour une fiscalité des entreprises
plus juste et plus efficace au sein de l'Union165 » visant à mettre un terme aux mesures
nationales non-coordonnées dont profitent activement certaines entreprises. Parmi l'ensemble
des engagements pris, deux éléments font figure de chevaux de bataille pour l'Union : la mise
en place d'un cadre fiscal commun (« l’assiette commune consolidée pour l'impôt sur les
sociétés », ou ACCIS) et d'un cadre d'imposition permettant d'imposer les bénéfices des
entreprises là où ils sont faits et non pas là où ils sont déclarés. Ce plan doit mettre un terme
aux pertes fiscales européennes dues aux comportements d'évitements fiscaux, d'alléger les
charges dans certains secteurs et d'aider ainsi l'Europe à reprendre le contrôle de sa
souveraineté économique.
Face à cette offensive institutionnelle, certaines entreprises ont pris les devants :
Amazon a ainsi décidé en mai 2015 de déclarer ses revenus dans les pays où elle effectue son
chiffre d'affaires (Allemagne, Italie, Espagne, France et Royaume-Uni en Europe), mettant un
terme à sa politique d'optimisation fiscale166. La pression des décideurs européens avait déjà
augmenté d'un cran en novembre 2014 lors des révélations concernant les possibilités
d’évasions fiscales offertes par le gouvernement du Luxembourg. De nombreuses entreprises
américaines, mais aussi européennes avaient profité d'accords secrets leur permettant de payer
un impôt dérisoire sur leurs activités en Europe. Grâce à ces accords, Amazon ne payait par
exemple que 3 millions d'euros d'impôts en Allemagne, pour un chiffre d'affaires de 9
milliards d'euros. Mais en ces temps de crise, les comportements d'évitement des impôts sont
de plus en plus mal perçus167 car le manque à gagner représente une importante perte de
puissance sur le plan économique pour l'Union européenne.
Le deuxième plan de réforme, aux côtés du volet fiscal, vise à appuyer les
compétences clés des États membres au niveau national. Cette conception d'une Europe !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!164 Service de presse du Sénat, Internet, un défi politique pour l’Europe : les sénateurs français souhaitent que la France s’associe à l’initiative de Mme Merkel, 19 février 2014. http://www.senat.fr/presse/cp20140219.html (consulté le 12 juillet 2015) 165 Communication de la Commission au Parlement européen, La Commission présente un plan d'action pour une fiscalité des entreprises plus juste et plus efficace au sein de l'Union, Communiqué de presse, Bruxelles, 17 juin 2015. http://europa.eu/rapid/press-release_IP-15-5188_fr.htm (consulté le 29 juin 2015) 166 Caulier Sophy, « Amazon cède face à Bruxelles sur la fiscalité », Le Monde, 27 mai 2015, p.11. 167 Ibid.
!
70
numérique laisse le soin à chaque pays de développer ses propres acteurs nationaux. Pour
cela, l'UE souhaite favoriser les échanges entre les États membres. C'est dans cette optique
que la Commission européenne a élaboré en juin 2015 une « stratégie pour un marché unique
numérique » (DSM, pour Digital Single Market)168. Le but poursuivi est d'améliorer l'accès
aux biens et aux services numériques, de mettre en place un environnement propice au
développement de ce secteur et d'harmoniser le cadre légal pour rendre le marché européen
plus compétitif à l'international. Pour cela, la Commission invite à un renforcement des
infrastructures à l'échelle européenne et appelle à la mise en place d'un régulateur européen.
De plus, la Commission souhaite lever les blocages géographiques injustifiés qui participent à
la fragmentation du marché et profitent, comme nous l'avons vu, à renforcer la position
dominante des acteurs américains. En effet, seulement 7% des PME de l'UE réalisent des
ventes transfrontalières169. L'objectif de cette réforme est donc de créer un espace d'échange
au sein de l'UE et de donner une chance au marché européen d'émerger au plan international.
La Commission européenne table ainsi sur 250 milliards d'euros de croissance supplémentaire
au cours de son mandat actuel170.
Le troisième élément concerne la régulation, « entendue comme l'encadrement du
fonctionnement d'un marché par la puissance publique ». Celle-ci « s'impose quand un
marché connait des défaillances, en d'autres termes ne se comporte pas comme un marché
concurrentiel171 ». Cette régulation passe avant tout par le renforcement de l'application du
droit de la concurrence. Olivier Sichel estime par exemple que les GAFA ayant jusqu'ici
profité de la faiblesse des sanctions et de la lenteur du système procédural européen, ils s'en
sont souvent sortis à bon compte lors de leur condamnation, qui n'ont donc pas eu l'effet
persuasif voulu172. La sénatrice Morin-Desailly a ainsi proposé que les amendes imposées par
le régulateur national, l'ARCEP, soient fixées à 10% du chiffre d'affaires de l'entreprise
condamnée173.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!168 Communication de la Commission au Parlement européen, Stratégie pour un marché unique numérique en Europe, Bruxelles, 6 mai 2015, 24 p. http://ec.europa.eu/priorities/digital-single-market/docs/dsm-communication_fr.pdf (consulté le 1er août 2015) 169 Ibid., p.4. 170 Ibid., p.2. 171 Laurent Gilles (dir.), La dynamique d'internet Prospective 2030, Commissariat général à la stratégie et à la prospective, Paris, 2013, p.84. 172 Propos recueillis auprès d’Olivier Sichel, « Que peut faire l'Europe face à l'hégémonie numérique américaine ? », conférence du 19 mars 2015. 173 Champeau Guillaume, « Le sénat vote l'amendement anti-Google », Numerama, 16 avril 2015. http://www.numerama.com/magazine/32819-le-senat-vote-l-amendement-anti-google.html (consulté le 12 juillet 2015)
!
71
Les mesures engagées pour renforcer la souveraineté numérique européenne dans le
domaine économique ne font pas pour autant l'unanimité. En premier lieu, sans poids
politique, comment le marché européen pourrait-il atteindre une taille critique qui lui permette
de rivaliser avec les GAFA et de peser dans l'écosystème numérique mondial ? Car l'enjeu du
développement d'une économie numérique européenne ne vise pas seulement à se défaire de
la dépendance américaine, mais également à faire exister l'Europe sur un marché en pleine
expansion, où les acteurs asiatiques pèseront bientôt autant, voire plus que les acteurs
américains. La sénatrice Morin-Desailly, qui milite activement pour le renforcement des
capacités européennes dans le secteur du numérique depuis son intégration à la Commission
de la Culture, de l'Éducation et de la Communication en 2004174, s'est ainsi prononcée devant
nous pour une réforme du cadre politique européen, avec la mise en place d'une structure
fédérale et l'élection d'un président européen au suffrage universel.
De plus, alors que certains souhaitent en priorité remettre en question la position
hégémonique des GAFA, d'autres souhaitent simplement que les règles du jeu soient
équitables pour tous, quels que soit leur pays d'origine. Selon M. Charly Barthet, rapporteur
au CNNum, la restauration de la souveraineté économique européenne ne passera pas par la
reconquête de positions déjà acquises par les acteurs américains dans les secteurs de la
recherche en ligne ou des réseaux sociaux, mais au contraire en investissant sur les marchés
en croissance175. Les GAFA ont profité d'une situation historique, celle du développement de
l'Internet dans les années 2000, pour s'imposer aujourd’hui comme des acteurs
incontournables de l'économie numérique. Leur position est acquise et il semble illusoire de
rivaliser avec des géants tels que Google. Mais le numérique étant encore porteur de
nombreuses possibilités, il est jugé préférable de se concentrer sur les nouvelles promesses de
développement économique que contiennent par exemple l'Internet des Objets ou la
robotique, ou encore la nanotechnologie. Le cabinet A.T. Kearney estime ainsi que le marché
des objets connectés en France représenterait un potentiel de création de valeur se situant à 74
milliards d'euros en 2020 et à 138 milliards d'euros en 2025176.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!174 Entretien avec l'auteur (14 avril 2015) 175 Entretien avec l’auteur (22 juin 2015) 176 in : Institut Montaigne, Big data et objets connectés. Faire de la France un champion de la révolution numérique, avril 2015, p.52. (consulté le 9 juin 2015)
!
72
L'amendement dit « anti-Google » voté au sénat en avril 2015177 a de ce point de
vue fait l'objet de nombreuses critiques. Il prévoit en effet qu'un moteur de recherche ait
l'obligation de proposer des services concurrents à ses utilisateurs. Certains ont dénoncé la
contradiction d'une loi obligeant une entreprise à faire le jeu de sa propre concurrence, alors
que d'autres y voient une énième tentative de démantèlement de Google (car avec plus de
90% de part de marché en Europe, c'est clairement l'entreprise californienne qui est visée,
même s'il elle n'est pas directement désignée dans le texte)178. La réponse de l'État français au
défi posé par l'hégémonie américaine sur le cyberespace semble donc être en décalage avec la
réalité des enjeux.
Aux États-Unis, ces initiatives sont jugées avec circonspection. Lorsque nous
avons demandé à l’Amiral Rogers comment il considérait l'émergence et la multiplication des
revendications souveraines en Europe, il a certes reconnu l'existence légitime de
préoccupations concernant la domination des entreprises américaines en Europe, mais il a
considéré qu'évoquer la souveraineté pour dénoncer cette situation renvoyait à une forme de
« protectionnisme », une déclaration qui rejoint la position exprimée par Barack Obama il y a
quelques mois lors d'une interview179. « The world is competition [...] this is the nature of the
world we live in » a ainsi déclaré l’Amiral Rogers. En substance, les Américains considèrent
que les Européens ayant perdu au jeu de la concurrence libre, ils cherchent aujourd'hui à en
modifier les règles dans le but de renforcer leurs propres acteurs.
Face à l'offensive engagée par l'Union européenne, les acteurs privés concernés
par ces politiques ont pris des mesures pour maintenir leurs positions. Google a par exemple
triplé ses dépenses en lobbying entre 2010 et 2013, pour les tripler à nouveau en 2014 et
atteindre 4,8 millions de dollars180. De même, ces entreprises cherchent désormais à recruter
d'anciens membres du parlement européen, régulateur comme législateur, bien au fait des
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!177 Amendement présenté par Mme Morin-Desailly, MM. Retailleau, Bizet, Lenoir, Mme Jouanno, 7 avril 2015. http://www.senat.fr/enseance/2014-2015/371/Amdt_995.html (consulté le 12 juillet 2015) 178 Boogar Liam, « The latest French plot to kill Google is hiding in plain sight », Rude Baguette, 8 juin 2015. http://www.rudebaguette.com/2015/06/08/latest-french-plot-kill-google-hiding-plain-sight/ (consulté le 12 juillet 2015) 179 Swisher Kara, « Obama, the re/code interview », Recode, 15 février 2015. http://recode.net/2015/02/15/white-house-red-chair-obama-meets-swisher/ (consulté le 18 juillet 2015) 180 Hakim Danny, « Google tripled spending on lobbying in Brussels last year », The New York Times, 29 avril 2015. http://bits.blogs.nytimes.com/2015/04/29/google-triples-its-spending-on-lobbying-in-brussels/?_r=0 (consulté le 29 juin 2015)
!
73
questions judiciaires auxquelles ils sont confrontés181. Erika Mann, de nationalité allemande,
ancien membre du Parlement européen a ainsi été recrutée par Facebook182. Cela démontre
l'importance que ces acteurs attachent au marché européen, considéré comme une priorité.
Surtout que ces entreprises n'ont jamais pensé leur développement à l'échelle nationale
américaine, mais au contraire à l'échelle universelle. Ils n'envisageront donc pas de se retirer
du marché européen si la pression devient trop forte. Ainsi, dans le cadre de la mise en place
de la procédure de droit à l'oubli, Google s'est empressé d'obtempérer. Maître Bensoussan
considère cet empressement comme la preuve que les GAFA sont prêts à faire des
concessions et à obtempérer aux mesures qui leurs sont imposées pour se maintenir sur le
marché européen.
Notre analyse a mis en lumière l’imbrication des enjeux d'ordres
économiques/privés avec les enjeux d'ordres stratégiques/publics. C'est pourquoi le débat
concernant la domination économique des GAFA sur le marché européen est porté aussi bien
par des acteurs privés que par des personnalités politiques. En effet, cette domination sert non
seulement la puissance financière américaine, mais elle s'inscrit également dans la poursuite
des objectifs stratégiques définis par le gouvernement américain : les données collectées ou
produites par des acteurs privés ont ainsi été exploitées par les agences de renseignement
américaines, que ce soit dans le cadre de la lutte contre le terrorisme ou de rivalités
économiques. Les actions pour le renforcement de la souveraineté économique européenne
s'inscrivent donc dans une volonté politique plus vaste de réforme de la structure des réseaux
et de leur gouvernance.
2.3 Les propositions techniques pour le renforcement de la souveraineté numérique
européenne
La défense du cyberespace européen constitue en premier lieu un enjeu relevant de
la cybersécurité. La question de l'échelle adéquate se pose également à ce propos : les acteurs
européens l'envisagent-ils à l'échelle nationale ou à l'échelle de l'Union européenne ? Cette
dernière a mis en place des institutions destinées à assurer l'intégrité de son cyberespace. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!181 Scott Mark, « European regulators tackle Facebook over privacy », AFR, 25 mai 2015. http://www.afr.com/technology/social-media/facebook/european-regulators-tackle-facebook-over-privacy-20150525-gh8sq5 (consulté le 29 juin 2015) 182 Ibid.
!
74
L'European Union Agency for Network and Information Security (ENISA) fut créée en 2004
pour aider la Commission et les États membres à atteindre un niveau de sécurité informatique
acceptable. L'agence produit depuis une littérature sur ces questions afin accompagner les
acteurs dans leur gestion du risque, dans le renforcement de leurs infrastructures critiques et
de leur résilience. De même, l'European Cybercrime Center d'Interpole (EC3) vient compléter
les fonctions remplies par l'ENISA en se spécialisant dans la lutte contre la
cybercriminalité183. Mais la cybersécurité européenne se limite à la protection de l'activité
économique et à la défense des valeurs européennes dans le cyberespace. Une institution telle
que l'ENISA ne dispose par ailleurs d'aucun pouvoir de contrainte, ce qui limite la portée de
son action184. Si la cybersécurité semble faire l'objet d'une attention plus importante que la
cyberdéfense de la part des décideurs européens185, elle reste néanmoins le fait des politiques
nationales (nous reviendrons sur l’action de la France dans ce domaine dans la dernière partie
de ce chapitre).
Aux côtés des initiatives institutionnelles entreprises par l'UE dans le domaine de la
cybersécurité, l'idée d'une nécessaire « européanisation » du cyberespace européen a donné
lieu à des initiatives techniques disparates à l'échelle nationale mais visant toutes à défendre
les atouts industriels des États membres de l'Union européenne contre les « indiscrétions »
étrangères.
Suite au sommet annuel Europe/Brésil de 2014, le président du Conseil européen
s'est par exemple déclaré en faveur du projet brésilien de contourner le territoire nord-
américain en tirant des nouveaux câbles sous-marins entre l'Europe et le continent sud-
américain186.
De même, il est apparu avec l'affaire Snowden que la NSA piochait les
informations dont elle avait besoin (quelle que soit l'origine des données concernées) dans les
serveurs des entreprises américaines localisés sur son territoire. La localisation des données
sur le sol européen a donc été rapidement considérée comme une priorité dans la défense des
intérêts économiques et industriels européens.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!183 Joubert Vincent, Samaan Jean-Loup, « L'intergouvernementalité dans le cyberespace : étude comparée des initiatives de l'Otan et de l'UE », Hérodote, op.cit., p.269 184 Ibid., p.274. 185 Ibid., p.267. 186 Conseil Européen, Press statement by the President of the European Council, Herman Van Rompuy, following the 7th EU-Brazil Summit, Bruxelles, 24 février 2015, p.2. http://www.consilium.europa.eu/uedocs/cms_data/docs/pressdata/en/ec/141144.pdf (consulté le 12 juillet 2015)
!
75
Les principes de la Sphère de sécurité (Safe harbor en anglais) dénotent de
l'ancienneté des préoccupations européennes concernant les données personnelles transférées
en direction des États-Unis. Ces accords autorisent en effet depuis la fin des années 1990 plus
de 5 000 entreprises américaines à transférer les données personnelles des internautes
européens en dehors du territoire de l'UE, à condition que ces entreprises respectent la
législation européenne concernant la protection des données. La Federal Trade Commission
(FTC), agence américaine chargé de l'application du droit de la consommation, s'était alors
engagée à faire respecter l'accord. Or, depuis l'affaire Snowden, il est clair que l'accord a été
violé, mais il n'a pas encore été renégocié187. Des initiatives privées souhaitent pallier cette
vulnérabilité. C'est par exemple le cas d’Eurocloud : il s'agit d'une organisation composée de
différents acteurs européens (18 des 28 États membres de l'Union européenne y sont
représentés) dont le projet est de favoriser et de structurer une offre européenne dans le
secteur du cloud et d'assurer une infrastructure viable qui permette de stocker les données
produites au sein de l'UE sur son territoire.
Pour se protéger de l'espionnage étranger, le cryptage des communications est une
solution qui a également été proposée188. La cryptographie désigne les méthodes et les
moyens de transformation des données visant à cacher leur contenu, à en empêcher les
modifications ainsi que leurs utilisations non autorisées. À ce jour, le cryptage des
communications est considéré comme la meilleure manière de protéger la confidentialité et
l'intégrité des informations. D'un point de vue technique, il semblerait que cette proposition
soit la plus cohérente pour se prémunir de la surveillance exercée par les États sur le
cyberespace. En effet, l'idée de contourner le cyberespace américain en tirant de nouveaux
câbles sous-marins est obérée par la nature décentralisée, interconnectée et globale de
l'Internet. Éviter le territoire américain représente donc une fausse solution, car cela ne devrait
pas empêcher les agences de renseignements d'écouter les flux de données circulant dans les
câbles. Surtout qu'il n'est pas nécessaire que les câbles se trouvent sur le territoire national
pour y installer des outils de surveillance.
De même, le projet de localisation des données sur le territoire européen semble
dans la réalité difficile à mettre en œuvre. Cela risquerait en premier lieu de faciliter la
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!187 Serries Guillaume, « Safe Harbor : des régulateurs allemands dénoncent le laxisme de la FTC », Zdnet, 7 février 2015. http://www.zdnet.fr/actualites/safe-harbor-des-regulateurs-allemands-denoncent-le-laxisme-de-la-ftc-39814338.htm (consulté le 7 juillet 2015) 188 Collectif, « Technological sovereignty : missing the point? », Cyber Conflict: Architectures in Cyberspace (CyCon) 7th International Conference on Cyber Conflict, p.63.
!
76
surveillance exercée par les services de renseignement en concentrant les données sur un
territoire identifié. Sur le long terme, le risque est également de porter préjudice à la nature
décentralisée et distribuée de l'Internet en imposant des logiques territoriales et politiques à la
localisation des données189. Les politiques souveraines, en faisant des propositions techniques,
risquent donc, à terme, de morceler le cyberespace en zones plus ou moins étanches dont les
communications avec les autres espaces pourraient faire l'objet d'une surveillance ou d'un
filtrage.
En revanche si le cryptage venait à se généraliser, cela ne protégerait pas les
individus contre des attaques sophistiquées et ciblée mais cela augmenterait considérablement
le coût de la surveillance, qui serait pas conséquent rendue plus difficile, tout en respectant la
nature décentralisée de l'Internet.
Quoi qu'il en soit, les réponses techniques des États face à leur perte de
souveraineté économique dans le cyberespace apparaissent à ce stade encore désordonnées et
techniquement difficiles à mettre en œuvre, ce qui profite aux acteurs industriels étrangers.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!189 Ibid., p.61.
Pays%ayant%connu%une%crise%diplomatique%avec%les%États5Unis%suite%aux%révélations%d’Edward%Snowden
Parlement%européen%
L’axe%franco5allemand%:%cohérence%de%vue%sur%la%nécessité%d’une%Europe%numérique
La%fin%du%«%Double%Irlandais%»%(janvier%2015)
Siège%de%la%Cour%de%Justice%de%l’Union%européenne%(CJUE)%
L’Union%Européenne%:%«%colonie%du%monde%numérique%»%?
Les%représentations%des%menaces%contre%le%cyberespace%de%l’Union%Européenne%(pays%d’origine%et%nature%de%la%menace)
Membre%des%Five%Eyes%:%partenaire%de%premier%niveau%du%programmede%surveillance%de%la%NSA%
1.%Le%cyberespace%européen%:%un%territoire%vulnérable%?
<30[
[20530]
[10520[
N
600%km
Océan%Atlantique
Mer%Méditerranée
Que
ntin
Len
orm
and
- avr
il 20
15
L’hétérogénéité%des%taux%d’imposition%sur%les%sociétés%au%sein%de%l’UE%(en%%)
États9Unis%:%espionnage%généralisé,%matériel%corrompu
Russie:%cybercriminalité,%espionnage%économique
Chine:%espionnage%économique,%matériel%corrompuIrlande
Russie
Pologne
Italie Roumanie
Royaume9Uni
Suède
Finlande
2.%La%défense%de%la%souveraineté%européenne
Mer%NoireBulgarie
Hongrie
Siège%de%la%Commission%européenne%
AllemagneAllemagne
EspagneEspagne
Sources:%Presse,%Union%Européenne
FranceFrance
GrèceGrèce
!
78
3. Le Made in France: un instrument de la souveraineté numérique ?
3.1 Le cloud souverain
Avec la numérisation de l'économie et l'intensification des attaques, l'espionnage
économique et industriel prend aujourd'hui une mesure inquiétante pour les acteurs politiques
et économiques. Non pas qu'il s'agisse d'une nouveauté (l'espionnage est antérieur au
numérique), mais à mesure que l'économie se numérise, les vulnérabilités s'accroissent. Or,
les acteurs européens ont fait confiance à une offre américaine qui s'est révélée être contraire
à leurs intérêts. L'affaire Snowden a ainsi démontré qu'un État de droit était susceptible
d'utiliser ses lois (ici le Patriot Act) afin de renforcer sa puissance économique en effectuant
un véritable pillage des données dans les serveurs des entreprises étrangères se situant sur son
territoire. La menace est renforcée par le caractère extraterritorial de la législation américaine
qui permet d'imposer le droit des États-Unis à des citoyens étrangers. Les acteurs européens
ont donc pris conscience de l'importance d'inscrire leurs activités sur le territoire politique et
juridique européen, ce qui constitue une opportunité de développement pour les offres
européennes dans le secteur du cloud et de la cybersécurité.
Le cloud computing, également désigné sous le vocable d'informatique en nuage,
est la technologie permettant de stocker des données dans des serveurs accessibles à distance.
Qu'il soit à usage privé et professionnel, l'usage du cloud se banalise. La progression de
l'activité dans le secteur privé en témoigne : entre l'année 2014 et 2015, elle a été l'ordre de
96% pour Microsoft, de 74% pour Google et de 56% pour IBM. Le chiffre d'affaires d'AWS,
le service cloud d'Amazon a également bondi de 51% en un an190. La croissance du cloud
concerne avant tout le commerce interentreprise (B2B). Mais avec la généralisation des objets
connectés, le commerce de détail (B2C) devrait également connaitre une croissance
importante.
Quelles sont les raisons de son succès ? Le cloud réduit les coûts et augmente les
performances des entreprises qui peuvent avoir un accès à distance à une immense quantité
d'informations. Mais pour les prestataires, il ne s'agit pas seulement d'assurer le stockage et
l'accès aux données. Ils proposent également des logiciels à la demande qui analysent les
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!190 Harmant Olivier, « Cloud : Amazon domine le marché mondial, mais Microsoft le rattrape », French Web, 4 février 2015. http://frenchweb.fr/cloud-amazon-domine-le-marche-mondial-mais-microsoft-le-rattrape/182460 (Consulté le 7 juillet 2015)
!
79
données des clients et les assistent dans leur utilisation. Les prestataires fournissent ainsi des
logiciels applicatifs qui permettent aux clients d'exploiter et de mettre à profit leurs données.
On désigne cette activité sous le terme de Software as a Service (SaaS) : le prestataire ne
propose pas qu'une solution de stockage, mais également un environnement d'utilisation. Dans
le cas d'une simple location d'espace de stockage, on parle de IaaS (Infrastructure as a
Service). Le secteur de SaaS reste le premier type de cloud utilisé en France, avec 54% des
parts face aux prestations de type IaaS et PaaS (Platform as a Service)191.
C'est donc naturellement qu'un marché du conseil a émergé. Ce dernier est destiné
à accompagner les entreprises dans leur mutation vers les instruments nouveaux proposés par
la technologie du cloud. Les questions sont en effet nombreuses pour une entreprise opérant
son virage numérique : quel est le service le mieux adapté à ses besoins ? Quelles données
doivent être mises à disposition ? À qui faut-il donner l'accès et à quelles données ? Quels
sont les niveaux de protections nécessaires ? Pour rester compétitifs, les prestataires doivent
être en mesure de proposer à leurs clients un usage flexible, évolutif et optimisé
financièrement. L'enjeu est d'assurer la confidentialité et la sécurité des données et de
proposer une qualité de service compétitive.
Le cloud, malgré son aspect dématérialisé, repose sur les datacenter, une
infrastructure lourde et coûteuse, que ce soit financièrement ou énergétiquement : en France,
ils représentent entre 8 et 10% de la consommation d'électricité nationale192. Autrefois, seules
les grandes entreprises utilisaient des fermes de serveurs. Aujourd'hui, elles se sont
multipliées à mesure que l'usage du cloud s'est généralisé. Le marché du datacenter est divisé
en différentes activités. Certains prestataires sont dits neutres : ils ne font que louer de
l'espace de stockage et n'ont pas de droit de regard sur les données stockées. Mais ils
représentent un marché réduit face à celui du logiciel applicatif. Le modèle le plus rentable
aujourd'hui consiste à proposer un espace de stockage et une plate-forme d'accès à distance
dont les mises à jour et la sécurité sont assurées par le prestataire de service.
En quoi le cloud est-il un enjeu de souveraineté ? Parce que la défense des intérêts
particuliers du secteur privé relève de la défense des intérêts stratégiques de la puissance
française. Nous avons vu que les services de renseignement, dans leur dessein de
renforcement de la puissance étatique qu’ils défendent, ne semblent pas distinguer les !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!191 PAC CloudIndex, « Le niveau de maturité Cloud des organisations françaises a franchi un palier », Cloudindex, 17 juin 2013. http://www.cloudindex.fr/content/tous-les-r%C3%A9sultats (Consulté le 18 juillet 2015) 192 Caulier Sophy, « Les data centers, clés de voûtes du réseau », op. cit., p. 10.
!
80
objectifs industriels de leurs objectifs stratégiques traditionnels. La localisation et la
protection des données ont donc été identifiées comme un enjeu de souveraineté nationale par
l'État français. L'objectif est de répondre en particulier au déficit de sécurité dû au caractère
extraterritorial de la législation américaine. L'affaire Snowden a de ce point de vue renforcé
l'idée selon laquelle la localisation des données n'était pas un objet politique neutre. Bien au
contraire, en tant que nouvel « or noir » de l'économie, les données sont l'objet de convoitises
de la part des cybercriminels, mais également de la part des États dans le cadre de la guerre
économique. Pour les acteurs privés comme publics, le made in France reste d'ailleurs le
premier critère de choix193, preuve que ces risques sont bien identifiés. C'est pour ces raisons
que l'État français s'est impliqué dans une politique industrielle visant à faire émerger des
offres de cloud national.
À la fin de l'année 2009, le président de la République Nicolas Sarkozy décide de
lancer un Grand Emprunt (depuis renommé « Programme d’investissement d'avenir ») visant
à relancer la croissance suite à la crise économique de 2008. L'État prévoit alors d'injecter 1,4
milliard d'euros pour développer des solutions numériques « souveraines », le cloud
computing étant la priorité194 : il s'agit du projet Andromède annoncé à la fin de l'année 2009.
Par ce plan, le gouvernement souhaite favoriser la mise en place d'un « cloud souverain »
destiné d'une part à faire émerger une offre française concurrentielle face aux géants
américains du cloud, et d'autre part à assurer la sécurité et l'intégrité des données produites par
les entreprises françaises. François Fillon, alors Premier ministre, affirme à ce propos que
« force est de constater que les Nord-Américains dominent ce marché [du cloud], qui
constitue pourtant un enjeu absolument majeur pour la compétitivité de nos économies, pour
le développement durable et même, j'ose le dire, pour la souveraineté de notre pays195 ».
En septembre 2012, le projet se concrétise lorsque l'État annonce la création de
deux consortiums, Cloudwatt et Numergy, chargés de développer une solution de cloud
computing national196. Les actionnaires de Cloudwatt sont Orange, Thalès et la Caisse des
dépôts. Mais l'annonce en janvier 2015 de la reprise à 100% de Cloudwatt par Orange marque
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!193 Ibid. 194 « La France met 1,4 milliard d'euros pour le numérique », Clubic, 21 mars 2011. http://www.clubic.com/internet/actualite-405628-france-1-4-numerique.html (Consulté le 9 février 2015) 195 Leblal Serge, « 285 millions d'euros pour Andromède le cloud souverain français », Le Monde informatique, 21 septembre 2011. http://www.lemondeinformatique.fr/actualites/lire-285-millions-d-euros-pour-andromede-le-cloud-souverain-francais-41990.html (Consulté le 9 février 2015) 196 « Le cloud computing prend un nouveau virage », Les Échos, 7 septembre 2012. http://www.lesechos.fr/07/09/2012/LesEchos/21265-132-ECH_le---cloud-computing---prend-un-nouveau--virage-en-france.htm (Consulté le 24 février 2015)
!
81
l'échec de l'initiative qui n'a pas atteint ses objectifs197. Avec 150 millions d'investissement
engloutis et 108 millions d'euros de perte pour un chiffre d'affaires négligeable, l'initiative est
apparu comme un échec au début de l'année 2015198.
Ce projet de cloud souverain a fait l'objet de nombreuses critiques. Nous avons vu
précédemment que localiser les données sur un territoire juridique particulier pouvait donner
un faux sentiment de sécurité, porter préjudice à la nature décentralisée de l'Internet et avoir
des conséquences néfastes sur l'innovation et le développement économique. Bertrand de la
Chapelle a ainsi alerté Mme Morin-Dassailly : « Méfions-nous donc de notre propension à
renouer avec le cadre familier de la frontière ; pousser trop loin la logique de souveraineté,
notamment en militant pour des clouds nationaux, pourrait nous faire perdre une bonne part
des bénéfices que le partage des infrastructures et le cloud peuvent apporter199 ».
En outre, dès l'origine, certains ont dénoncé la création de deux acteurs différents
sur le même créneau, ainsi que l'absence de débat avec les acteurs existants. De plus, le
marché du cloud pour les entreprises connait en France une progression importante mais il ne
concerne que de faibles montants. Or, l'introduction de deux nouveaux acteurs inconnus et à
la stratégie mal-définie ne pouvait pas faire exploser la croissance. Pour Olivier Rafal,
analyste au sein du cabinet Pierre Audoin Consultants (PAC), spécialiste des questions de
cybersécurité, cet échec est « le résultat d'une méconnaissance du marché200 ».
De plus, cette initiative s'est faite au dépend des acteurs déjà implanté. Cloudwatt et
Numergy ont monopolisé la scène et divisé un peu plus un marché déjà peu important. Le
président d'Ikoulas, prestataire français de services dans le cloud a ainsi affirmé en janvier
2015 que « ces entreprises ont généré du buzz sans réellement éduquer le marché. On revient
deux ans en arrière, sauf que les acteurs américains sont devenus plus puissants et ont mieux
pénétré la France201 ». En effet, bien que Cloudwatt et Numergy aient été pensés comme des
outils concurrentiels face aux géants américains, ils ont porté préjudice aux acteurs français en !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!197 Cassini Sandrine, « Orange va reprendre 100% du capital de Cloudwatt », Les Échos, 11 janvier 2015. http://www.lesechos.fr/tech-medias/hightech/0204071994716-orange-va-reprendre-100-du-capital-de-cloudwatt-1082079.php (Consulté le 9 février 2015) 198 Henni Jamal, « Les résultats calamiteux du cloud à la française », 01.net, 26 mai 2015. http://pro.01net.com/editorial/655640/les-resultats-calamiteux-du-cloud-a-la-francaise/ (Consulté le 18 juillet 2015) 199 Morin-Desailly Catherine, Rapport d’information fait au nom de la mission commune d’information « Nouveau rôle et nouvelle stratégie pour l’Union européenne dans la gouvernance mondiale de l’Internet », 2014, p.291. 200 Auffray Christophe, « Retour vers le futur - Cloudwatt, le souverain descend de son nuage », zdnet.fr, 28 janvier 2015. http://www.zdnet.fr/actualites/retour-vers-le-futur-cloudwatt-le-souverain-descend-de-son-nuage-39813666.htm (Consulté le 18 juillet 2015) 201Ibid.
!
82
divisant un peu plus le marché, alors que la concurrence étrangère était en train d'amorcer le
virage de la proximité des données et prenait en compte les préoccupations de leurs clients
quant à la localisations et la confidentialité de leurs données.
Du point de vue de l'État, cette initiative contient également une contradiction : un
État comme la France ne participe-t-il pas à la menace contre laquelle il prétend lutter avec
son projet de cloud souverain ? Les États, via leurs agences de renseignement, participent en
effet, dans une certaine mesure, au renforcement de l’insécurité dans le cyberespace. Le
piratage de l'entreprise Hacking Team en juillet 2015 a mis en évidence la proximité de
certains États avec des prestataires de services un peu particuliers. Hacking Team est ainsi
engagé dans un débat concernant la nature de sa prestation : certains l'assimilent à un
marchand d'armes, alors que l'entreprise se défend de n'être qu'un prestataire de services
informatiques comme un autre (« un vendeur de sandwich 202 » selon son équipe de
communication). L'existence et la croissance des entreprises de cette nature sont
symptomatiques de l'industrie qui s'est développée pour répondre aux besoins croissants des
États engagés dans une cyber-surveillance203. La NSA sous-traite par exemple une part
importante de son activité à des entreprises privées. Le renforcement de la surveillance
exercée par la France sur les réseaux qui fait suite à la loi sur le renseignement de 2015
devrait également porter le secteur national dans ce domaine.
L'État français s'engage donc de manière paradoxale dans le cyberespace. D'un
côté, il participe au renforcement de la cyber-insécurité et d'un climat de méfiance néfaste
pour l'économie numérique avec la loi sur le renseignement ; de l'autre, il souhaite se
prémunir contre des menaces dont il est partie prenante en mettant en œuvre des politiques
publiques coûteuses destinées à rassurer un marché où la confiance est fondamentale.
L' « épopée » du cloud souverain est ainsi symptomatique de la difficulté de l'État à répondre
de manière cohérente à la multiplicité des défis que lui pose le développement du cyber.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!202 Renayd Florian, « Les logiciels espions sont ils des armes ? », Le Monde, 10 juillet 2015. http://www.lemonde.fr/pixels/article/2015/07/10/les-logiciels-espions-sont-ils-des-armes_4678993_4408996.html (Consulté le 9 juillet 2015) 203 Ibid.
!
83
3.2 La « French Tech » : pour une culture de l'innovation
L'État s'est engagé depuis quelques mois dans une vaste politique de soutien à
l'économie numérique française. Pour un État confronté à un ralentissement de la croissance,
le secteur des TIC représente en effet une chance de « revitalisation204 » économique. Le plan
gouvernemental de la « French Tech », soutenu par la Banque publique d’investissements
(BPI) est ainsi destiné à promouvoir « l'excellence française » en matière de numérique et à
présenter la France comme nation connectée et innovante. L'objectif est de faire émerger des
acteurs français car, comme l'a estimé devant nous Bernard Benhamou, sans industrie
française « capable de dessiner le futur », pas de souveraineté numérique. Lors du lancement
de la « French Tech » en janvier 2014, Fleur Pellerin, à l'époque ministre déléguée à
l'Économie numérique, a d’ailleurs achevé son discours d'ouverture par exclamation
suivante : « Vive la Startup Republic, vive le French Tech, vive la France! 205 ». C'est
désormais Axelle Lemaire, en tant que secrétaire d'État au numérique, qui porte le projet.
La « French Tech » est en premier lieu un programme gouvernemental de
labellisation destinée aux territoires extérieurs à l’Île-de-France, cette dernière étant déjà
identifiée à l’étranger comme un important pôle d’activité dans le domaine des nouvelles
technologies. Les villes connectées disposant d'un écosystème numérique local et pouvant se
prévaloir d'abriter des start-up ayant réalisé des levées de fonds conséquentes peuvent
recevoir le label « Métropole French Tech ». L'objectif pour le gouvernement est de valoriser
les écosystèmes existants, de créer des « poches d'innovation206 » et de fédérer les initiatives
afin de leur donner une meilleure visibilité à l'international. Pour les détenteurs du label, il n'y
a pas d'argent à la clé, seulement la promesse d'être identifiés comme un territoire compétitif
et innovant. Une première liste des villes labellisées a été rendue publique en novembre
2014207.
La « French Tech » a ensuite été conçue comme un programme d'accélération, doté
d’un budget de 200 millions d'euros208. Ce programme doit favoriser l'émergence de clusters,
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!204 Sadin Éric, La vie algorithmique : critique de la raison numérique, Paris, l’Échappée, 278 p. 205 Tran Pierre, « Fleur Pellerin lance officiellement la French Tech », Zdnet.fr, 30 janvier 2014. http://www.zdnet.fr/actualites/fleur-pellerin-lance-officiellement-la-french-tech-39797480.htm (Consulté le 18 juillet 2015) 206 Belouezzane Sarah, « L'offensive « French Tech » d'Axelle Lemaire », Le Monde, 12 novembre 2014. http://www.lemonde.fr/entreprises/article/2014/11/12/l-offensive-french-tech-d-axelle-lemaire_4522343_1656994.html (Consulté le 18 juillet 2015) 207 Ibid. 208 Entretien de l'auteur avec Klara Peyre (6 août 2015)
!
84
ces lieux qui « rassemblent entrepreneurs, centres de recherche, fonds d'investissement, écoles
numériques, fab labs, etc.209 » et doivent servir d'accélérateur au développement des PME.
L'objectif est d'aider les petites entreprises à se hisser sur le marché international en
solidarisant les efforts des start-up françaises et en les intégrant à un écosystème plus large.
Enfin, la « French Tech » doit permettre de créer et de diffuser une identité
commune et nouvelle. L'objectif consiste à attirer les investisseurs étrangers en présentant la
France comme un « nation innovante210 » et de donner une meilleure visibilité internationale à
l'économie numérique française. Pour cela, la « French Tech » dispose de 15 millions d'euros,
destinés à amplifier la présence française sur les grands salons internationaux du type CES,
Web Summit, SXSW, etc.211 Klara Peyre, responsable des projets de promotion internationale
au sein de la « French Tech », nous a déclaré à ce propos que son plus grand défi est « de
réussir à convaincre les internationaux, et en particulier les Américains, que la France des
startup est à un "tipping point" et que les choses bougent vite212 ».
Avec l'initiative « French Tech », le gouvernement souhaite ainsi favoriser la
création de « start-up d'État ». S'il porte une attention particulière aux PME du secteur des
TIC, c'est parce qu'il sait par expérience que ces petits acteurs sont susceptibles de devenir
rapidement des géants. Le gouvernement souhaite donc créer une dynamique française qui
soit durable et qui puisse porter l'excellence française vers les territoires numériques qui
restent à conquérir. Le gouvernement peut déjà se réjouir : au Consumer Electronic Show
(CES) de Las Vegas213, la France représentait le deuxième délégation la plus importante après
celle des États-Unis214. À cette occasion, la presse américaine n'a pas hésité à vanter les
mérites et les capacités d'innovation des acteurs français215. Pour autant, il faut attendre la fin
de l'année 2015 pour tirer un bilan de l'initiative « French Tech », l'année 2014 ayant été
consacrée à la mise en place du projet216.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!209 Grallet Guillaume, « Gilles Babinet : "Seules les start-up les plus rapides s'en sortiront" », Le Point, 29 décembre 2014. http://www.lepoint.fr/technologie/gilles-babinet-seules-les-start-up-les-plus-rapides-s-en-sortiront-29-12-2014-1892940_58.php#xtor=CS2-239 (Consulté le 2 juin 2015) 210 Belouezzane Sarah, « L'offensive "French Tech" d'Axelle Lemaire », op. cit. 211 Entretien de l'auteur avec Klara Peyre (6 août 2015). 212 Ibid. 213 Avec 17 500 participants, il s'agit du premier salon mondial consacré à l'innovation technologique. 214 Manenti Boris, « La "French Tech", star du CES de Las Vegas », L'Obs, 13 janvier 2015. http://tempsreel.nouvelobs.com/economie/20150109.OBS9577/la-french-tech-star-du-ces-de-las-vegas.html (Consulté le 18 juillet 2015) 215 Gilbert Jason O., « France is absolutely crushing it at CES », Yahoo!, 5 janvier 2015. https://www.yahoo.com/tech/france-is-absolutely-crushing-it-at-ces-107251174669.html (Consulté le 18 juillet 2015) 216 Entretien de l'auteur avec Klara Peyre (6 août 2015).
!
85
Si la « French Tech » est une manière pour l'État de saisir l'opportunité économique
de la révolution numérique, la persistance d'un régime fiscal inadapté a été dénoncé comme
un frein aux objectifs poursuivis. Gilles Babinet a ainsi dénoncé les handicaps fiscaux dont
souffrent les start-up françaises du numérique. Les investissements dans une résidence
principale ou dans les œuvres d'art sont, par exemple, exonérés à hauteur de 30% pour l'un et
100% pour l'autre, alors qu’il s’agit d’investissements non-productifs, en ce sens où ils ne
créent ni richesse ni emploi. A contrario, l'investissement dans une start-up est légalement
limité à 50 000 euros et le taux d'abattement fiscal est de 50%217. Gilles Babinet pointe ainsi
du doigt les incohérences du régime fiscal français qui défavorise le seul secteur économique
qui soit réellement pourvoyeur de création d'emplois et porteur de croissance sur le long
terme.
Klara Peyre nous a invités à relativiser ces déclarations. Une partie de son travail
consiste à changer les représentations considérant la France comme pays peu compétitif :
« Beaucoup d’idées reçues sont toujours à combattre, comme le fait que les Français ne
travaillent pas beaucoup et que nos taxes sont très élevées (alors que les Français sont parmi
les plus productifs du monde, que notre système fiscal est de plus en plus compétitif et qu’un
grand nombre de subventions et de programmes existent, notamment pour les
entrepreneurs) ». Et d'ajouter que si « certains dénoncent les contraintes fiscales, d’autres
(Niel par exemple) présentent la France comme un paradis fiscal pour les start-up ». Les
différentes mesures prises par le gouvernement ces derniers mois pour soutenir
l'innovation en témoignent : le crédit d’impôt recherche (CIR) grâce auquel un ingénieur
français est aussi productif qu’un homologue de la Silicon Valley, mais pour un budget deux
fois moins important ; l'assouplissement du code du travail ; la possibilité offerte depuis 2013
aux start-up de se financer grâce à une opération de crowdfunding, à hauteur maximale de 1
million d'euros, etc218.
Il faut néanmoins constater que l'État français, sur la période allant du mois de
janvier 2014 à celui de 2015, se sera engagé selon deux axes distincts pour défendre sa
souveraineté numérique. L'un concerne la sécurité nationale avec la loi sur le renseignement ;
l'autre concerne le développement économique avec la « French Tech ». Or ne s'agit-il pas là
de deux investissements contradictoires, compte-tenu des impacts négatifs connus qu'une telle
loi ne va pas manquer d'avoir sur le secteur économique ? Quoi qu'il en soit, ces deux
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!217 Grallet Guillaume, « Gilles Babinet : "Seules les start-up les plus rapides s'en sortiront" », op. cit. 218 Entretien de l'auteur avec Klara Peyre (6 août 2015).
!
86
initiatives aux effets contradictoires dénotent de la difficulté pour les décideurs à adopter une
vue d'ensemble cohérente sur les différents enjeux (sécuritaires, économiques, politiques, etc.)
qu'impose la transformation numérique.
Quentin'Lenormand.'Avril'2015
200
km
N
La'mission'«'French'Tech'»':'
un'programme'national'de'
labellisations'régionales
«'Écosystèmes'thématiques'
remarquables'»'labellisés'en'juin'2015'
«'Métropoles'French'Tech'»'
labellisées'en'novembre'2014
«'Métropoles'French'Tech'»'
labellisées'en'juin'2015...
Brest&Tech&Plus
Normandie&
French&Tech
Lor’NTech
French&Tech&Côte&d’Azur
Bordeaux
Toulouse
Montpellier Aix.Marseille
Nantes
Rennes
Lille
Lyon Grenoble
Océan&Atlantique
Mer&
Méditerranée
Technologies'médicales'
(Med&Tech&Alsace)
Technologies'et'culture'
(CultureTech,'Avignon)
Technologies'et'design'(Design&Tech,'
Saint.Étienne)
'Objets'connectés'(IoTBTech,'Anger)
1. 2. 3. 4.
1.
2.3.
4.
Paris,'siège'de'la'French'Tech
...et'regroupées'en'
«'écosystèmes'numériques'»
1.'Une'initiative'gouvernementale...
2.'pour'mettre'en'valeur'les'acteurs'régionaux...
3.'...et'assurer'l’avenir'technologique'de'la'France
L’Île'de'France'(labellisée'd’office)':'
«'base'avancée'»'des'territoires'labellisés'
Source':'French'Tech
!
88
3.3 La cybersécurité française
Le fonctionnement de l'économie dépendant de plus en plus des capacités de
résistance aux agressions informatiques, la cybersécurité a été élevée au rang de priorité
stratégique par le gouvernement. L'émergence d'une « France connectée » et investie dans
l'économie numérique ne sera possible que si l'État est en mesure d'assurer la sécurité
informatique du pays.
L'investissement de l'État dans la cybersécurité vise aussi bien à soutenir les
administrations que les entreprises et les citoyens. Dans le cyberespace, les logiques publiques
et privées sont en effet entremêlées dans une dimension stratégique. La défense des réseaux
informatiques nécessaires au fonctionnement de l'économie représente ainsi un enjeu de
souveraineté.
En France, c'est l'Agence Nationale de Sécurité des Systèmes d'Information
(ANSSI) qui est chargée d'assurer la cybersécurité nationale depuis sa création en juillet
2009219. Héritière des services du chiffre qui dépendaient autrefois de l'autorité militaire,
l'ANSSI est rattachée au Secrétariat Général de la Défense et de la Sécurité Nationale
(SGDSN), dépendant du Premier ministre. Elle constitue donc une organisation
interministérielle en phase avec la particularité transversale du cyber.
Mais c'est depuis le 11 février 2011 que l'ANSSI occupe la fonction d'autorité
nationale de défense des systèmes d'information. Pour des raisons juridiques, l'État avait alors
besoin d'une entité chargée d'édicter des règles au sein de l'administration, mais également
vis-à-vis des opérateurs privés. Ce fut chose faite avec le décret du Premier ministre du 11
février 2011220. Depuis, l'ANSSI (désormais dirigée par Guillaume Poupard) contribue à la
sécurité de l'ensemble des systèmes d'information couvrant le territoire national contre les
trois types de menace que sont l'espionnage, à visée généralement économique, la
déstabilisation et le sabotage.
L'action de l'ANSSI se déploie autour de trois axes. Le premier est destiné à lutter
contre la cybercriminalité en améliorant la réactivité nationale, fondamentale afin de limiter
une trop grande infection en cas d'attaque informatique. Compte-tenue de la complexité des
attaques, il est nécessaire que l'analyse de l'intrusion soit laissée à des professionnels !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!219 Décret n°2009-834 du 7 juillet 2009 (Journal officiel du 8 juillet 2009). 220 Audition de M. Patrick Pailloux, directeur général de l’ANSSI, Assemblée nationale, Commission de la défense nationale et des forces armées, mercredi 1er juin 2011. http://www.assemblee-nationale.fr/13/ cr-cdef/10-11/c1011041.asp#P6_249 (consulté le 12 janvier 2015).
!
89
expérimentés. L'agence dispose pour cela d'un Centre Opérationnel de la Sécurité des
Systèmes d'Information (COSSI) qui est chargé de la détection et de la surveillance
permanente des réseaux sensibles. Ce centre opérationnel travaille ainsi sur des mécanismes
de défense adaptés aux attaques, ce qui n'est pas toujours facile à mettre en œuvre puisqu'une
attaque bien conçue n'est pas toujours visible.
Les menaces contre lesquelles l'ANSSI est chargée de lutter sont variées. Cela
concerne les sabotages (destinés à empêcher un site Internet de fonctionner), les escroqueries
en ligne (destinées à voler de l'argent), les attaques en déni de service distribué (destinées à
porter atteinte au bon fonctionnement d'un site Internet ou d'une plate-forme de service en
ligne) et les exploitations de failles informatiques (destinées à modifier, introduire, supprimer
ou voler des données).
Le deuxième volet de l'action de l'ANSSI concerne sa contribution à la recherche,
au développement et à la promotion de technologies de sécurité. Cela consiste à identifier des
prestataires de confiance dans le domaine de la cybersécurité et à les assister dans la
conception de leurs produits. Afin que ces choix aient une visibilité, l'ANSSI labellise les
produits qu'elles a testés. Elle explique également aux acheteurs la méthode à adopter pour
sélectionner des produits qualifiés dans le cadre de marchés publics.
En identifiant et en déterminant les besoins de l'administration et de certaines
entreprises, l'Agence permet aux prestataires de développer des produits adaptés aux enjeux et
aux risques auxquels sont confrontés les demandeurs, qu'ils soient privés comme publics.
Certaines PME peuvent ainsi proposer des produits pour les marchés publics, ce qui leur est
par ailleurs bénéfique, puisque cela dote les sélectionnés d'une référence qui peut avoir une
valeur à l'export.
Le troisième et dernier volet concerne la mission de sensibilisation aux risques
d'origine informatique de l'ANSSI auprès de tout ceux qui constituent ou pourraient constituer
une cible pour les pirates informatiques : cela concerne l'État et ses administrations, les
entreprises, les collectivités territoriales, les ONG et les citoyens.
À l'échelle individuelle, les citoyens français sont généralement victimes
d'escroqueries : les pirates informatiques reproduisent les pages Web d'entités administratives
connues afin de mettre en confiance leurs victimes, pour ensuite leur soutirer de l'argent.
L'objectif de l'ANSSI est de détecter ces sites de « filoutage221 », de les fermer lorsque cela
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!221 Wolf Philippe, Vallée Luc, op. cit., p.789.
!
90
est possible, tout en conservant des indices qui permettront aux enquêteurs de remonter aux
commanditaires des ces attaques.
Les entreprises sont quant à elles confrontées à la menace d'un vol massif de leurs
données. Pour accompagner les entreprises dans la gestion du risque, l'ANSSI a publié un
manuel d' « hygiène informatique222 » et plus récemment un guide des bonnes pratiques
destiné aux PME223. Cette littérature doit aider les acteurs privés dans la mise en place d'une
cybersécurité adéquate. En effet, celle-ci représente un investissement particulier pour une
entreprise : il s'agit d'une mesure globale qui concerne l'ensemble des strates de son
organisation et qui doit être constamment entretenue et optimisée.
La sensibilisation à ce risque est fondamentale car les vols de données peuvent
conduire à la disparition pure et simple d'une entreprise, ce qui à terme portera atteinte à la
puissance économique française. La cybersécurité est donc devenue une nécessité. Les acteurs
visés par ces attaques sont prioritairement les start-up technologiques mais également les
entreprises travaillant dans un environnement international. Au delà de la recherche de
renseignements destinés à fournir un avantage concurrentiel, dans le cadre de la guerre
économique, la concurrence déloyale peut être à l'origine d'une attaque visant à désorganiser
ou à endommager les systèmes d'information d'une entreprise concurrente224. Ces risques
représentent donc une perte de compétitivité et une atteinte majeure à la souveraineté
économique française. Pour un État tel que la France, souhaitant relancer l'économie par la
croissance du secteur des TIC, la sécurité informatique représente donc un enjeu stratégique.
Afin d'améliorer la prise de conscience des risques informatiques, l'ANSSI milite
également pour la « judiciarisation » des cyberattaques225. Elle invite pour cela les acteurs
économiques victimes d'attaques informatiques à les signaler et le cas échéant à porter plainte.
La limite de cette démarche tient au fait que le piratage d'une entreprise constitue une atteinte
à son image et donc à sa compétitivité. Les attaques informatiques, lorsqu'elles sont par
ailleurs détectées, ne sont donc souvent pas rapportées.
L'ANSSI est donc avant tout une autorité coordinatrice chargée d'encadrer le
marché de la cybersécurité. Elle définit pour cela les besoins des acteurs concernés, teste les !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!222 ANSSI, Guide d’hygiène informatique, Paris, janvier 2013, 50 p. http://www.ssi.gouv.fr/uploads/IMG/pdf/guide_hygiene_informatique_anssi.pdf (consulté le 4 août 2015) 223 ANSSI, CGPME, Guide des bonnes pratiques de l’informatique, 12 règles essentielles pour sécuriser vos équipements numériques, Paris, mars 2015, 44 p. http://www.ssi.gouv.fr/uploads/2015/03/guide_cgpme_bonnes_pratiques.pdf (consulté le 3 août 2015) 224 Interview de Guillaume Poupard par Jacob Marc et Lamandé Emmanuelle, « PME: 12 règles essentielles pour accroître le niveau de sécurité », Global Security Mag, 2 trimestre 2015, p.16 225 Interview de Guillaume Poupard par Marc Jacob et Emmanuelle Lamandé, op. cit., p.16.
!
91
produits informatiques proposés, les certifie et assiste les acteurs dans la mise en œuvre de
leur cybersécurité. La sécurité des systèmes d'information des entreprises et de la majorité des
administrations est généralement externalisée (c'est-à-dire qu'elle est assurée par des
prestataires privés). Compte-tenu de la sensibilisation croissante aux risques informatiques et
de la structuration du marché de la cybercriminalité, la cybersécurité représente un marché en
expansion : + 8% pour la France en 2013, atteignant un volume de 1,3 milliard d'euros226.
Le marché français de la cybersécurité compte quelques acteurs de poids dans le
secteur des logiciels et des services. Tous ont profité en 2013 de la croissance du marché,
comme le montre le tableau produit ci-après. Nous observons ainsi une croissance générale de
l’activité, même dans le cas d’Atos, dont la baisse du chiffre d'affaires est due à son rachat par
Bull. Néanmoins, ces acteurs peinent encore à sortir de leur cadre national pour se développer
à l'étranger.
Quoi qu'il en soit, le marché de
la cybersécurité devrait être porté, à
moyen et long terme, par le
développement de l'Internet des Objets, de
la robotique et de l'extension générale de
la sphère informatique par la
généralisation des capteurs, ce qui ne
manquera pas de créer de nouvelles
vulnérabilités. Dans les années à venir, la
croissance du risque devrait donc renforcer
les discours revendiquant un renforcement
de la souveraineté numérique française.
Figure 3 : chiffres d'affaires et marges de
progression des entreprises françaises de
cybersécurité pour l'année 2013
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!226 Cassini Sandra, « La cybersécurité, un marché juteux qui fait des émules », Les Échos, 19 février 2014. http://www.lesechos.fr/19/02/2014/LesEchos/21630-096-ECH_la-cybersecurite--un-marche-juteux-qui-fait-des-emules.htm (Consulté le 2 août 2015)
!
92
Chapitre 3
L’enjeu informationnel et culturel
de la souveraineté numérique
1. Les leaders du secteur des TIC : une menace pour le modèle social européen ?
1.1 L'accès à la connaissance
Dans son rapport intitulé « l'Union européenne, colonie du monde numérique ? »
la sénatrice Morin-Desailly écrit que le défi du numérique relève également de « la difficile
sauvegarde de l'esprit européen dans le monde numérique227 ». Certains acteurs européens
considèrent en effet que la domination de certaines entreprises américaines sur le marché des
TIC ne représente pas qu'une menace d'ordre économique, en mettant en péril l'innovation et
la capacité des petits acteurs européens à devenir des champions, mais constitue également un
défi culturel et identitaire pour le Vieux Continent. Sur quels éléments se base la perception
de cette menace ?
Nous avons vu dans notre deuxième partie que l'un des objectifs stratégiques
poursuivis par les entreprises américaines dominant le marché des services en ligne était
d'agglomérer un maximum d'utilisateurs. Cette agglomération est renforcée par le fait que
plus ces services sont utilisés par les internautes, plus ils sont performants ; plus ils sont
performants, plus ces entreprises se positionnent de manière avantageuse face à la
concurrence et sont en mesure d'agglomérer de nouveaux utilisateurs : il s'agit donc d'un
cercle vertueux qui renforce avec le temps la position hégémonique de ces acteurs. Ils
disposent ainsi aujourd'hui de centaines de millions d'utilisateurs qui utilisent leurs services
pour accéder et diffuser des informations. En indexant ces informations sur leurs moteurs de
recherche ou en mettant à la disposition des internautes une importante documentation, ces
entreprises jouent donc un rôle central dans la numérisation et dans la diffusion du patrimoine
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!227 Morin-Desailly Catherine, Rapport d'information fait au nom de la commission des affaires européennes sur l’« Union européenne, colonie du monde numérique ? », op. cit., p.61.
!
93
culturel (le projet de Google est d'ailleurs d'« organiser les informations à l'échelle
mondiale228 »).
Cette position a été dénoncée pour plusieurs raisons. D'abord parce que cette
maitrise de l'information n'est soumise à aucun contrôle. Google propose par exemple des
fiches thématiques sur certaines toiles exposées dans divers musée du monde, dans le cadre de
son Google Art Project229, qui s'inscrit dans l'initiative culturelle de la firme californienne, le
Cultural Institut230. Or ces notices sont écrites par des employés de Google qui n'ont pas eu à
répondre de certaines compétences en Histoire de l'art et ne se référent à aucun courant
universitaire. Pourtant, ces notices sont à la disposition de millions de personnes et pourraient
demain représenter une source majeure d'informations. Google remet ainsi en question les
compétences de corps de métiers autrefois considérés comme des référents : aujourd'hui dans
le domaine de la recherche universitaire, demain dans le domaine médical par exemple, avec
son service de consultation en ligne231.
Ces acteurs sont ensuite en mesure de supprimer des informations quand cela leur
semble nécessaire. Or cette censure est déterminée par des représentations propres à la culture
de ces entreprises : Facebook a par exemple censuré des reproductions photographiques de
peintures classiques représentant des nus232. De même, Apple a refusé de commercialiser la
version numérique de la bande-dessinée Lucky Luke : en remontant le Mississipi au motif que
les Noirs était représentés de manière dégradante233. L'indexation des informations par les
moteurs de recherche, de même que la mise à disposition ou non d'une information, ne
constituent donc pas des actes neutres mais servent au contraire des fonctions économiques :
Page Rank, l'algorithme originel du moteur de recherche de Google, classe par exemple les
résultats en fonction de critères liés à la rentabilité publicitaire. La disponibilité de certaines
informations est ainsi déterminée par les valeurs culturelles particulières de ces entreprises,
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!228 https://www.google.com/intl/fr/about/ 229 https://www.google.com/culturalinstitute/u/0/project/art-project?hl=fr (Consulté le 1er août 2015) 230 https://www.google.com/culturalinstitute/u/0/home 231 « Google se lance dans les consultations en ligne », Pourquoi Docteur, 14 octobre 2014. http://www.pourquoidocteur.fr/Articles/Question-d-actu/8247-Google-se-lance-dans-les-consultations-medicales-en-ligne (Consulté le 2 août 2015) 232 Paulet Alicia, « L'Origine du monde censurée : Facebook au tribunal », Le Figaro, 22 janvier 2015. http://www.lefigaro.fr/arts-expositions/2015/01/22/03015-20150122ARTFIG00410--l-origine-du-monde-censuree-facebook-au-tribunal.php (Consulté le 1er août 2015) 233 Payot Marianne, « "Le déclin de la librairie n'est pas inéluctable" », L'Express, 19 mars 2014. http://www.lexpress.fr/culture/livre/le-declin-de-la-librairie-n-est-pas-ineluctable_1500937.html (Consulté le 1er août 2015)
!
94
devenues des acteurs de première importance dans le processus de transformation culturelle
qui est en cours.
Le risque est donc bien réel pour la France et l'Europe de voir leurs valeurs
culturelles s'altérer face à l'influence des entreprises américaines des TIC. Les représentations
européennes et américaines différent en effet considérablement sur certains sujets. En Europe,
le respect de la vie privée, c'est-à-dire le droit de chaque individu à dissimuler une part de son
existence, est par exemple fondamental, pour des raisons historiques, mais aussi
philosophiques qui différent des représentations américaines. Catherine Morin-Desailly voit
par exemple dans cette vulnérabilité une menace contre l'identité et la diversité culturelle
européennes234.
Cette dernière, en considérant le défi de la transformation numérique selon ses
aspects à la fois politiques, économiques et culturels, semble avoir acté de la nature
transversale de ces changements. De même que Catherine Morin-Desailly a parlé de risque de
colonisation, Laurent Bloch a développé une analogie entre la Guerre de l'Opium qui eut lieu
en Chine au XIXe siècle, et l'actuelle hégémonie de Google en Europe (même si
« comparaison n'est pas raison » selon ses propres termes). À l'époque, la Chine avait refusé
les relations commerciales que l'Angleterre lui avait proposées, car elle ne croyait ni aux
bienfaits ni au bienfondé du système capitaliste dont les Occidentaux étaient alors porteurs.
Ces derniers affaiblirent donc la Chine en diffusant de l'opium parmi la population et c'est sur
cette faiblesse qu'ils bâtirent ensuite leur domination économique, qui, à terme, eut raison du
régime politique impérial chinois235. La domination des GAFA sur une Europe qui ne croyait
pas au progrès induit par le numérique est donc désignée comme une menace prioritaire, car
en plus de perdre sa capacité à créer des richesses, l'UE pourrait voir son avenir politique lui
échapper et être pris en main par des acteurs étrangers.
1.2 Les États face au risque d'obsolescence politique
Au delà du défi culturel, les États sont confrontés à une urgence beaucoup plus
prégnante : il s'agit de leur possible obsolescence face au développement, par les acteurs !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!234 Morin-Desailly Catherine, Rapport d'information fait au nom de la commission des affaires européennes sur l' « Union européenne, colonie du monde numérique ? », op. cit., p.62. 235 « La donnée n’est pas donnée - Stratégie & Big Data », intervention de M. Laurent Bloch, colloque du 23 mars 2015.
!
95
privés de l'Internet, d'outils numériques plus performants que ceux proposés par les États dans
la gestion des affaires publiques.
Google considère que son activité ne vise pas seulement à augmenter sa rentabilité
et à accroitre son chiffre d'affaires, mais pour ces dirigeants, il s'agit également de diffuser
une idéologie. Dans son ouvrage intitulé, « The New Digital Age236 » qu'il a écrit avec Jared
Cohen 237 , Eric Schmidt, président exécutif du conseil d’administration d’Alphabet
(anciennement Google), développe la théorie selon laquelle la technique finira par tout
remplacer. Les États sont dépassés pour résoudre les grands problèmes du XXIe siècle, tels
que le changement climatique, la pauvreté, les pandémies ? Google souhaite apporter des
réponses technologiques à tous ces maux : elle propose de résoudre le problème de la
régulation routière avec sa Google Car, de la pollution avec ses énergies vertes, des défis
relatifs à la santé publique avec ses technologies (elle fabrique par exemple des lentilles de
contacts pour diabétiques qui rétablissent automatiquement le taux de glycémie238). De même,
la start-up Modern Meadow associe des cultures de cellules à une imprimante 3D afin de
produire de la nourriture artificielle, ce qui à terme doit résoudre le problème de la faim dans
le monde239. « Si nous nous y prenons bien, je pense que nous pouvons réparer tous les
problèmes du monde » a ainsi déclaré Eric Schmidt en octobre 2012240.
Les cas mentionnés ne constituent pas des éléments isolés dans la Silicon Valley,
où la majorité des entreprises américaines spécialisées dans les TIC s'est installée. Tout un
courant d'idées considère que les modes de gouvernance sous leur forme actuelle reposent sur
un modèle désuet. En 2011, Peter Thiel, le fondateur de PayPal, a par exemple lancé un projet
visant à créer une colonie maritime libertarienne, pour des raisons écologiques et énergétiques
mais également pour des raisons politiques : Peter Thiel voit dans cette expérience une
occasion de revoir les formes de « gouvernance traditionnelle241 ».
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!236 Schmidt Eric, Cohen Jared, The new digital age, reshaping the future of people, nations and business, New-York, Knopf, 2013, 336 p. 237 Jared Cohen a travaillé au secrétariat d'État américain avant de devenir directeur du think tank de Google, Google ideas. 238 « Youpi ! google va remplacer les États ! », Nouvel Obs, 2 mai 2015. http://bibliobs.nouvelobs.com/essais/20150402.OBS6293/youpi-google-va-remplacer-les-etats.html (Consulté le 28 juillet 2015) 239 Georges Benoît, « La Silicon Valley peut-elle sauver l'humanité », Les Échos, 22 octobre 2014. http://www.lesechos.fr/22/10/2014/LesEchos/21798-035-ECH_la-silicon-valley-peut-elle-sauver-l-humanite--.htm (Consulté le 9 juin 2015) 240 Ibid. 241 Smith Cooper, « Peter Thiel, PayPal founder, funds "Seasteading" libertarian sea colony », The Huffington Post, 18 octobre 2011. http://www.huffingtonpost.com/2011/08/18/peter-thiel-seasteading_n_930595.html
!
96
Au delà de ces déclarations, quels crédits pouvons nous accorder à ces prises de
position ? Les entreprises de la Silicon Valley représentent-elles une menace réelle pour les
formes de gouvernance actuelles ou s'agit-il de simples utopies ?
En réalité, compte-tenu de leur contrôle sur l'accès à la connaissance, ces acteurs
pourraient bien un jour remplacer les États en proposant des solutions plus efficaces et plus
économiques aux problèmes auxquels ils sont confrontés. De même, la puissance financière
dont ils disposent renforce considérablement leur pouvoir vis-à-vis des États.
De ce point de vue, le journaliste Frédéric Charles a effectué une comparaison
intéressante en avril 2013 : avec un chiffre d'affaires de près de 50 milliards de dollars,
Google serait le 76e État du monde par comparaison du PIB, soit à égalité avec l'Uruguay.
Rapporté au nombre de salariés, cela représente près d'un million de dollars produits par
chaque employé, alors que le Qatar est le pays du monde où le PIB par habitant est le plus
élevé avec 88 000 $ par habitant. Google, avec ses données, crée donc onze fois plus de
richesse que le Qatar n'en produit en exploitant ses puits de pétrole242. Avec l'Internet des
objets, la quantité de données devrait exploser ; de même, l'automatisation et la
synchronisation des interactions devraient être améliorées. Les entreprises dont le modèle
d'affaires est basé sur l'exploitation et la monétisation des données peuvent donc, pour le
moment, envisager l'avenir avec optimisme.
Le contrôle de l'accès à la connaissance, que nous avons déjà évoqué dans la
section précédente, constitue le deuxième pilier sur lequel reposent les capacités de gestion de
ces acteurs privés. Le moteur de recherche Google met en relation une offre et une demande
d'information. Utilisé par des centaines de millions d'individus, il offre à l’entreprise
californienne une visibilité sur les préoccupations des internautes. En 2008, sur la base des
requêtes effectuées à partir de son moteur de recherche, Google a par exemple été capable de
prédire une épidémie de grippe aux États-Unis, et cela bien avant les services de santé243.
Avec le développement de l'intelligence artificielle et de la robotique, des données seront
produites partout et toujours et leur analyse permettra de comprendre et de maitriser des
phénomènes toujours plus complexes. Le risque pour les États est donc de voir les entreprises
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!242 Charles Frédéric, « Google, la start-up qui voulait se faire aussi grosse qu'un État », Zdnet.fr, 27 avril 2013. http://www.zdnet.fr/actualites/google-la-startup-qui-voulait-se-faire-aussi-grosse-qu-un-etat-39789878.htm (Consulté le 28 juillet 2015) 243 Huet Sylvestre, « Google détecte les épidémies de grippe plus vite que les réseaux médicaux », Libération, 20 novembre 2008 http://sciences.blogs.liberation.fr/home/2008/11/google-dtecte-l.html. (Consulté le 1er juillet 2015) Les résultats ont néanmoins été revus depuis. La méthodologie adoptée par Google aurait en effet conduit à surestimer le nombre de malades.
!
97
des TIC se substituer à eux dans la gestion des affaires publiques en proposant des outils
technologiques plus performants.
Certaines plates-formes en ligne concurrencent déjà les États en proposant des
services plus efficaces que ceux mis à la disposition des internautes par les administrations
publiques : un moteur de recherche met par exemple gratuitement à la disposition de ses
usagers de la documentation et des capacités de stockage et de calcul. De même, en proposant
des solutions dans le domaine de la santé, ou de l'éducation, ces entreprises remplissent des
fonctions traditionnellement dévolues aux acteurs publics.
Fortes de leur puissance financière, de leurs capacités technologiques et de leurs
connaissances des internautes, les entreprises de la Silicon Valley n'hésitent pas à défier les
États (qu'ils considèrent comme de simples marchés nationaux). Le cas d'Uber illustre le peu
de cas que ces acteurs privés peuvent faire des souverainetés. Avec son application
« UberPop », l'entreprise californienne offre la possibilité à chaque particulier de devenir
chauffeur de taxi sans avoir à payer de licence et sans que l'entreprise ne paie les charges
sociales auxquelles sont soumises les compagnies de taxis professionnels. Cette application
offre donc la possibilité à tout un chacun de pratiquer une activité réglementée en dehors de
son cadre légal244.
De plus, l’entreprise Uber fait le choix de s'affranchir de la loi dans de nombreux
pays où elle s'installe malgré les interdictions. Les chauffeurs/utilisateurs sont par exemple
invités à continuer leur activité, même en cas de poursuite judiciaire. L’entreprise leur garantit
en effet une assistance juridique et s'engage à couvrir leurs frais d'avocat, ainsi que les
possibles amendes. Uber a donc intégré dans son modèle d’affaires les coûts afférents au non-
respect de la loi. Or, comme le remarque Jean-Baptiste Jacquin, cette stratégie « crée un
précédent dans le monde des affaires où le respect du droit est une contrainte censée être
acceptée par tous245 ».
Ces acteurs privés américains considèrent donc que les outils technologiques
peuvent résoudre l'ensemble des problèmes auxquels l'humanité est confrontée : « Nous
refusons les rois, les présidents et les votes. Nous croyons au consensus approximatif et au
code qui marche » a ainsi déclaré David Clark, le créateur du protocole TCP/IP246. Evgeny
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!244 Jacquin Jean-Baptiste, « La stratégie de hors la loi d'Uber », Le Monde, 17 juin 2015, p.12. 245 Ibid. 246 Morin-Desailly Catherine, Rapport d’information fait au nom de la mission commune d’information « Nouveau rôle et nouvelle stratégie pour l’Union européenne dans la gouvernance mondiale de l’Internet », 2014, p.89.
!
98
Morozov a désigné ce courant de pensée sous le terme de « solutionnisme », dont il a par
ailleurs dénoncé « l’aberration » dans son ouvrage « pour tout résoudre cliquez ici247 ».
Dans le domaine de l'éthique, le solutionnisme se décline par le
« transhumanisme ». Grâce aux possibilités offertes par la nanotechnologie, l'intelligence
artificielle, la robotique et la bio-ingénierie, le « transhumanisme » souhaite améliorer la
résistance du corps humain, grâce à des prothèses intelligentes par exemple, et à supprimer les
« bugs » que la nature a imposé à l'espèce humaine tels que la mort, la vieillesse et la maladie.
C'est dans cette optique que Google a recruté au poste de « director of engineering » Ray
Kurzweill, pionnier historique de l'intelligence artificielle248.
Le risque de capture du pouvoir par une élite technophile qui serait en mesure
d'imposer ses règles et ses normes aux sociétés humaines est donc une réalité pour les États.
Comme le fait remarquer Evgeny Morozov dans un article publié dans le journal The
Guardian249 : « si la régulation algorithmique apporte les réponses aux problèmes de la
société, quelle sera alors la place pour les gouvernements ? » Pour les pouvoirs publics, le
risque est de donc devenir inutile au développement et à la régulation de la vie en société, puis
de voir leurs citoyens se détourner d'eux au profit d’acteurs privés mieux à même de répondre
à leurs besoins. À terme, les États-nations tels que nous les connaissons sous leur forme
actuelle pourraient donc bien disparaitre faute d'avoir su s'adapter à la « smartification » du
monde.
Ce défi est identifié comme un véritable enjeu de souveraineté car il remet en question
la capacité des décideurs politiques à maitriser l'avenir des sociétés dont ils ont la
responsabilité. C'est pour appuyer l'importance de ces enjeux que la députée Corinne Erhel a
affirmé publiquement que « la souveraineté numérique se pose à moyen terme et pour les
siècles à venir. La rupture est civilisationnelle. Lorsque notre humanité sera confrontée au
développement des technologies de l’information, à l’intelligence artificielle, aux
technologies du vivant, c’est un autre monde, une autre humanité qui seront devant nous.
C’est peut-être la première fois dans l’histoire de l’humanité que nous pourrons maîtriser un
tant soit peu le processus d’évolution. Nous verrons jusqu’à quel point. C’est le monde de
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!247 Morozov Evgeny, L’aberration du solutionnisme technologique. Pour tout résoudre cliquez ici, Limoges, FYP, 350 p. 248 Georges Benoît, « La Silicon Valley peut-elle sauver l'humanité », op. cit. 249 Morozov Evgeny, « The rise of data and the death of politics », The Guardian, 20 juillet 2014. http://www.theguardian.com/technology/2014/jul/20/rise-of-data-death-of-politics-evgeny-morozov-algorithmic-regulation (Consulté le 1er août 2015)
!
99
Terminator qui nous attend250 », en référence au film de science-fiction mettant en scène un
programme informatique « intelligent » qui devient autonome et décide d’éradiquer l’espèce
humaine.
Dès lors, quelles sont les mesures engagées par les acteurs afin d'assurer la
préservation de l'État de droit face aux défis politiques et culturels imposés par le
développement du numérique ?
2. Les initiatives pour la sauvegarde de l'esprit européen
2.1 La protection des données
Dans le projet de sauvegarde de l'esprit européen, l'Union européenne a été
identifiée comme l'échelle adéquate dans le domaine de la protection des données. Si la
réforme du cadre européen en la matière est apparue comme une nécessité à la suite des
révélations de Snowden, elle constitue une préoccupation ancienne pour les États européens.
En effet, pour des raisons historiques, la collecte à grande échelle de données personnelles
éveille encore en Europe le souvenir des totalitarismes. La protection des données constitue
donc une part importante de l'agenda numérique européen. Aussi en janvier 2012, une vaste
réforme des règles en matière de protection des données a été amorcée avec pour objectif de
renforcer le droit de chacun à contrôler ses données personnelles en uniformisant les
législations nationales251.
L'importance du contrôle des données dans le cyberespace tient d'abord au fait
qu'elles constituent la matière première de l'économie numérique ; ensuite parce qu'elles
constituent un avantage stratégique pour ceux qui les possèdent ou les contrôlent. Cela est
d'autant plus vrai qu'avec l'avènement de l'Internet des objets et la généralisation du Big Data
(c'est-à-dire le traitement automatisé des données), la quantité comme la qualité des données
va considérablement augmenter. Mais l'importance des données tient également à la maitrise
de l'information dans le cyberespace. Or, les acteurs européens ont perdu le contrôle sur ces
éléments stratégiques, que ce soit à l'échelle institutionnelle, entrepreneuriale ou individuelle. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!250 Erhel Corinne, Synthèse des 2es assises de la Souveraineté Numérique, 2015, p.30. 251 Commission européenne, Protection des données à caractère personnel, http://ec.europa.eu/justice/data-protection/index_fr.htm, 4 juillet 2015. http://ec.europa.eu/justice/data-protection/index_fr.htm (Consulté le 1er août 2015)
!
100
Cette situation a été identifiée comme une perte de souveraineté, les risques étant de porter
atteinte aussi bien à la puissance économique européenne qu'à son identité culturelle.
Afin d'assurer leur contrôle sur les données produites par les internautes
européens, les États-Unis disposent d'un instrument : leur législation extraterritoriale. Pour
utiliser les plates-formes de services en ligne, généralement gratuites, (secteur dominé par les
acteurs américains) les utilisateurs doivent s'inscrire et accepter des Conditions Générales
d'Utilisation (CGU) non-négociables. À la lecture des CGU, on observe que l'utilisateur est
soumis au droit américain, plus précisément californien puisque la plupart des sièges sociaux
des entreprises en question y est basée. Un citoyen français peut ainsi devenir un justiciable
américain.
Certes, les règlements européens Bruxelles I et Rome I empêchent une entreprise
de priver un consommateur de la protection de sa législation nationale. La justice française a
ainsi reconnu dans l'arrêt Sébastien R. contre Facebook que les clauses de l'entreprise n'étant
pas claires, son consentement n'était pas valable 252 . Si ces dispositions tempèrent la
domination américaine par le droit, nous avons vu qu'un cadre légal ne constituait pas une
garantie de protection des données produites en Europe à partir du moment où celles-ci étaient
stockées sur le territoire américain. Les services de renseignement américains ont ainsi
largement exploité cette situation pour améliorer leur collecte de renseignement. Mais l'enjeu
de souveraineté vis-à-vis de l'extraterritorialité américaine tient également aux problèmes liés
à l'imposition sur le territoire de l'UE d'une législation étrangère, déterminée par des
représentations autres que celles caractérisant le droit européen.
Pour les décideurs soucieux de renforcer le contrôle des citoyens sur leurs
données, un meilleur encadrement de leurs transferts hors de l'UE constitue donc une priorité.
C'est dans cette optique que la sénatrice Morin-Desailly a émis la proposition d’ « interdire,
dans le futur règlement européen sur la protection des données, le transfert de données hors de
l’Union européenne, sur requête d’une autorité administrative ou judiciaire d’un pays tiers,
sauf autorisation expresse […]253 ».
De même, afin de remédier à la position de faiblesse des internautes soumis à des
CGU souvent difficiles à déchiffrer pour les non-initiés au vocabulaire du droit et qui
permettent aux prestataires de posséder et d'utiliser les données à leurs seuls bénéfices, le !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!252 « Cour d'appel de Pau 1ère chambre Arrêt du 23 mars 2012 », Legalis, 23 mars 2012. http://www.legalis.net/spip.php?page=jurisprudence-decision&id_article=3382 (Consulté le 1er août 2015) 253 Morin-Desailly Catherine, Rapport d'information fait au nom de la commission des affaires européennes sur l' « Union européenne, colonie du monde numérique ? », op. cit., p.107.
!
101
Conseil National du Numérique (CNNum) a appelé dans son rapport remis au Premier
ministre en juin 2015 à l'établissement d'un principe de « loyauté » qui consisterait à imposer
une obligation légale de transparence d'informations aux prestataires de service sur
l'Internet254. De même, Pierre Bellanger s'est déclaré favorable à une réforme donnant la
propriété des données aux utilisateurs qui les produisent255.
À l'échelle nationale française, c’est la Commission Nationale d'Informatique et des
Libertés (CNIL) qui est en charge de la protection des données et de la défense des
internautes. Créée en 1978, la CNIL est une autorité administrative indépendante chargée
d'informer, de réguler, de contrôler et, le cas échéant, de sanctionner en application du droit
concernant la protection des données personnelles. Elle a récemment joué un rôle de première
importance dans le cadre du « droit à l'oubli » imposé à Google.
Néanmoins, à ce jour, les utilisateurs individuels européens apparaissent encore
démunis face à ces politiques de gestion des données déterminées par des acteurs étrangers.
Ainsi le principal cadre de protection négocié avec les États-Unis il y a plusieurs années, le
Safe Harbor, n'a pas été respecté par les Américains malgré les engagements pris à l'époque.
De même, la propriété et la gestion des données ne relèvent pas des internautes,
même si des évolutions notables peuvent être mentionnées. Les plates-formes américaines de
services en ligne ont pris en compte les besoins de confidentialité et de maitrise des données
qui se sont exprimés depuis les révélations de Snowden. Le petit dinosaure bleu apparu sur
Facebook dénote ainsi de la prise en compte de ces changements. L'objectif de cette nouvelle
fonctionnalité est de donner à l'utilisateur la possibilité de gérer lui-même son identité
numérique en déterminant ce qui relève du domaine public ou du domaine privé. Mais si les
capacités de contrôle des utilisateurs ont été accrues, Facebook reste toujours propriétaire des
données qui ne peuvent être extraites définitivement de ses serveurs si un internaute en fait la
demande.
On peut également mesurer les limites des dispositions générales proposées ou
imposées aux plates-formes de services en ligne avec le cas du « droit à l'oubli ». À la
demande d'un internaute, Google est enjoint de déréférencer certains résultats de recherche
qui portent atteinte aux intérêts et à l'image du demandeur. Néanmoins, comme l'ont souligné !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!254 Conseil National du Numérique (CNNum), Ambition numérique, pour une politique française et européenne de la transition numérique, dossier de présentation, 2015, p.15. 255 Georges Benoît, Rauline Nicolas, « Gilles Babinet et Peirre Bellanger : la régulation des données, défi majeur du XXIème siècle », Les Échos,12 février 2014. http://www.lesechos.fr/12/02/2014/lesechos.fr/0203311413821_gilles-babinet-et-pierre-bellanger---la-regulation-des-donnees--defi-majeur-du-xxieme-siecle.htm (Consulté le 30 juin 2015)
!
102
certaines critiques256, l'application de ce droit reste entièrement contrôlé par Google. De
même, le déréférencement ne concerne, dans le cas d'un citoyen français, que l'extension
google.fr du moteur de recherche. Les résultats déréférencés sur cette extension sont donc
toujours accessibles depuis les autres extensions.
Si les préoccupations françaises et européennes concernant la protection des
données personnelles et le respect de la vie privée sont anciennes, les réponses apportées n'ont
pas toujours été à la hauteur des défis. En effet, le contrôle des données relève de la maitrise
de l'information dans le cyberespace ; or, cet enjeu est majeur car, comme l'ont très justement
fait remarquer Philippe Dejean et Patrice Sartre, « l'"information dominance" sera le nouveau
Grand Jeu de la première partie du XXIe siècle dont les vainqueurs sortiront leaders des
décennies suivantes 257 ». Or de ce point de vue, l'Union européenne apparait encore
vulnérable face à la domination américaine sur la société de l'information.
La solution qui consiste à localiser les données sur le territoire national dans le but
de les protéger, dans le cadre du projet de cloud souverain, n'a par exemple pas eu les effets
escomptés. Pourtant, comme nous l'a affirmé Francesca Musiani, chargée de recherche à
l'Institut des sciences de la communication dépendant du CNRS, l'Europe, sur les bases
historiques et philosophiques de sa conception de la vie privée, pourrait proposer un cadre
d'élaboration d'un règlement européen sur la protection des données258. Le projet français de
loi numérique qui est en cours de constitution depuis plus d'un an devrait de ce point de vue
constituer une avancée : en distinguant les « données d'intérêt général » de celles des
entreprises privées (mais d'intérêt public), le texte devrait leur accorder un statut spécifique259.
La vulnérabilité européenne concernant la protection des données produites sur
son territoire est également une conséquence de son absence de poids dans les discussions
internationales portant sur la gouvernance des réseaux. À la suite de l'affaire Snowden,
l'Union européenne dispose néanmoins d'une opportunité pour remédier à cette faiblesse.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!256 Neuer Laurence, « Qui est juge du droit à l'oubli sur Internet ? », Le Point,1er août 2015. http://www.lepoint.fr/chroniqueurs-du-point/laurence-neuer/qui-est-juge-du-droit-a-l-oubli-sur-internet-01-08-2015-1954035_56.php (Consulté le 2 août 2015) 257 Dejean Philippe, Sartre Patrice, op. cit., p.30. 258 Entretien avec l'auteur (17 mars 2015) 259 Berne Xavier, « Open Data : Axelle Lemaire veut donner un statut aux données d'intérêt général », Next Inpact, 22 février 2015. http://www.nextinpact.com/news/93124-open-data-axelle-lemaire-veut-donner-statut-aux-donnees-dinteret-general.htm (Consulté le 11 juillet 2015)
!
103
2.2 Le rôle de l'Europe dans la gouvernance de l'Internet
Dans le cadre de la défense de la souveraineté numérique européenne, la réforme
de la gouvernance des réseaux a été identifiée comme un nouvel objectif par les décideurs
européens. La gouvernance de l'Internet désigne l'ensemble des dispositions prises au niveau
international pour organiser les ressources et le fonctionnement de l'Internet ; son objectif est
d'assurer le bon fonctionnement du réseau. Elle s’effectue selon un mode distribué, autrement
dit aucune organisation ni aucun pays en particulier ne contrôle aujourd'hui l'Internet. Sa
gestion rassemble dans une multitude d'instances internationales les acteurs étatiques et les
acteurs privés concernés.
L'Union Internationale des Télécoms, (IUT), dépendant de l'ONU, est l'un des
principaux acteurs de la gouvernance des réseaux. Les Sommets mondiaux sur la société de
l'information (SMSI) ont également rassemblé à plusieurs reprises (en 2003 et en 2005) les
acteurs du cyberespace : gouvernements, entreprises, universitaires, militaires, industriels, etc.
selon le modèle de gestion « multi-partie prenante » (ou multitaskholder en anglais) évoqué
en introduction de ce mémoire.
Depuis 1986, l'Internet Engineering Task Force (IETF) rassemble quant à elle la
communauté des développeurs et des concepteurs qui se rassemblent afin de proposer des
standards techniques et de spécifier des protocoles. Mais l'Internet Corporation for Assigned
Names and Numbers (ICANN) reste l'organisme le plus influent dans la gouvernance de
l'Internet. Depuis sa création en 1998, l'ICANN est en charge, d'après ses statuts, de
coordonner le système d'adressage unique qui assure la stabilité de l'Internet. Concrètement,
l'ICANN contrôle et loue les noms de domaine et gère l'annuaire où ils sont rassemblés (un
marché qui pèse cette année pour près de 104 millions de dollars260).
Bien que la gouvernance de l'Internet soit distribuée en différentes organisations,
l'Internet reste à différents égards sous contrôle américain. Les entreprises américaines sont
par exemple très influentes au sein de l'IETF dont le siège se situe par ailleurs aux États-Unis.
De même, en coordonnant les serveurs racines au cœur du fonctionnement des réseaux,
l'ICANN maitrise le seul élément qui ne soit pas décentralisé dans le réseau, ce qui lui confère
un important pouvoir de contrôle. Or, cette organisation est liée au gouvernement américain
par le biais d'une déclaration d'engagements (Affirmation of Commitments) signée avec le
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!260 Prévisions de l’ICANN pour l'année 2015. https://www.icann.org/en/system/files/files/adopted-opplan-budget-fy15-16sep14-en.pdf (Consulté le 13 mai 2015)
!
104
Département du commerce américain en 2009 qui se substitue au précédent Memorandum Of
Understranding de 1998. Le gouvernement américain constitue donc un acteur majeur dans la
gouvernance de l'Internet.
La contestation de l'emprise américaine sur les réseaux a pris un souffle nouveau
depuis le mois de juin 2013. À la suite des révélations de Snowden, il est en effet apparu que
les États-Unis, qui avaient tendance à assimiler les tenants d'une réforme de la gestion des
réseaux aux ennemis de la liberté, poursuivaient leurs propres intérêts géopolitiques dans le
cyberespace en défendant la gouvernance de l'Internet sous sa forme actuelle. Or, cette
stratégie se traduit encore aujourd'hui par une atteinte répétée aux souverainetés étatiques et
aux libertés individuelles et collectives des internautes. L'idée qu'une réforme de la
gouvernance de l'Internet est désormais nécessaire s'est donc généralisée.
Dans cette gouvernance mondiale, l'Union européenne n'est jamais apparue
comme un acteur à part entière aux côtés des États dominants que sont les États-Unis, la
Chine et la Russie. Sa position rejoint généralement celle des Américains, malgré des
divergences de vues entre l'Europe et l'Amérique du Nord sur les sujets liés à la gouvernance
de l'Internet : lors de la conférence de Dubaï, entre les tenants d'une gestion gouvernementale
et les tenants d'un mode de gestion multipartite défendu par les États-Unis, les États membres
de l'UE se sont majoritairement ralliés à cette dernière position, sans pour autant que cela
signifie une exacte similitude de vues sur ces questions. Or, comme l'a signalé Mme Morin-
Desailly261, l'Europe ne doit pas tomber dans le piège de « la guerre froide numérique » qui
opposerait les tenants d'un Internet sous contrôle gouvernemental et les tenants d'un Internet
ouvert. L'affaire Snowden a en effet démontré que cette dernière représentation servait les
intérêts stratégiques américains aux dépens des intérêts économiques, politiques et culturels
européens. La crise de confiance consécutive aux révélations de Snowden représente donc
pour l'Union européenne une opportunité historique de reprendre le contrôle de son
cyberespace et de peser dans la gouvernance de l'Internet.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!261 Morin-Desailly Catherine, Rapport d’information fait au nom de la mission commune d’information « Nouveau rôle et nouvelle stratégie pour l’Union européenne dans la gouvernance mondiale de l’Internet », 2014, p.120.
Océan&Pacifique
Océan&Atlantique
Océan&Indien
2000&km
NQuentin&Lenormand&;&avril&2015
Pays&signataires&de&l’acte&final&et
favorables&à&un&contrôle&étatique&
du&cyberespace
Pays&non;signataires&de&l’acte&final&et
favorables&au&maintien&du&statu;quo
Pays&non;participants
La&fracture&de&la&conférence&mondiale&des&télécommunications&internationales&de&2012&
Sources:&Union&Internationale&des&télécommunications&
États;Unis
Russie
Chine
Brésil
!
106
La juriste Pauline Türk a ainsi estimé devant la sénatrice Morin-Desailly que la
confrontation consécutive aux révélations de Snowden « pourrait bénéficier sur le plan
politique à l’Union européenne, si elle parvient à se positionner en arbitre entre des États
soucieux de leur souveraineté numérique mais prompts à la restriction et à la censure, et les
États-Unis, désireux de défendre leur maîtrise de l’outil, mais au moins autant de protéger les
principes et valeurs libérales du réseau262 ». La Commission européenne s'est également
proposée comme « médiateur dans les futures négociations mondiales sur la gouvernance de
l'Internet263 ».
En s'investissant dans la gouvernance de l'Internet, l'Union européenne souhaite
défendre ses valeurs, mais également contenir le risque de fragmentation du cyberespace. Ce
risque, du fait de logiques commerciales ou souveraines, est déjà prégnant. Or cette
fragmentation pourrait d'une part porter atteinte à l'innovation et à la liberté d'entreprendre en
concentrant l'activité économique entre les mains d'un nombre restreint d'acteurs privés ;
d'autre part pourrait faciliter, par la division du cyberespace en blocs géopolitiques plus ou
moins étanches, les atteintes aux libertés démocratiques en facilitant la surveillance des États.
Si l'Europe ne reprend pas en main son avenir numérique, les atteintes à sa
souveraineté économique, culturelle et politique risquent donc de se multiplier : « Une autre
politique s’impose. Et elle ne peut se déployer qu’à l’échelle de l’Europe. Une Europe décidée
à n’être pas seulement un marché, mais un centre de culture rayonnante et d’influence
politique sans pareille autour de la planète264. »
En France, c’est dans cet objectif que Bernard Benhamou et Didier Renard, le
PDG de Cloudwatt, ont décidé de créer l’Institut de souveraineté numérique. Ce dernier doit
aider les décideurs à élaborer des propositions pour que « l’Europe fasse vivre ses valeurs » et
« devienne un architecte de notre avenir », l’enjeu identifié étant la survie des valeurs
européennes265.
Cette troisième voie reste néanmoins à définir précisément. De nouvelles
représentations qui puissent donner du sens à l'engagement européen doivent être élaborées.
Evgeny Morozov a ainsi fait remarquer que pour concurrencer l'influence des acteurs privés
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!262 Ibid. 263 Commission Européenne, La Commission se propose comme médiateur dans les futures négociations mondiales sur la gouvernance de l'Internet, Bruxelles, 12 février 2014. http://europa.eu/rapid/press-release_IP-14-142_fr.htm (Consulté le 2 août 2015) 264 « Quand Google défie l’Europe », Le Monde, 27 janvier 2005 265 Entretien avec l’auteur (13 mars 2015)
!
107
américains, il est nécessaire de définir de nouveaux modèles de développement266. En effet,
leur pouvoir d'influence tient en partie à l'absence de vision politique de la part des États dans
le cyberespace. C'est dans ce même esprit que l'étude Prospective 2030, rendue au Premier
ministre par le Commissariat général à la stratégie et à la prospective en 2013, invite à la
création de nouveaux mythes, « de nouvelles dimensions imaginaires d'Internet267 » sur
lesquels pourrait se construire une position française et européenne.
En réalité cette dynamique semble obérée de fait par la poursuite des intérêts
particuliers des États membres de l'Union européenne dans le cyberespace. Défendre une
position européenne cohérente nécessiterait de définir en premier lieu les intérêts communs
des États membres. Or comme nous l'avons vu, ce sont les intérêts particuliers qui
prédominent dans le cyberespace. Certes sur le plan économique, les États membres se sont
entendus dans le cadre de la constitution du marché numérique unique (le Digital Single
Market). Mais sur le plan de la cyberdéfense, le partage des capacités n'est pas à l'ordre du
jour. De même, parmi les trois pays les plus « cyber-développés » de l'UE que sont la France,
l’Allemagne et le Royaume-Uni, ce dernier semble plus attaché à son partenariat stratégique
avec les États-Unis qu'à la cohésion européenne.
De plus, l'investissement croissant de la part des États les plus influents de l'Union
européenne (Allemagne, France et Royaume-Uni) dans des outils de cyber-surveillance laisse
penser que la défense des valeurs démocratiques dans le cyberespace ne constitue pas une
priorité dans l'agenda diplomatique de ces acteurs. Le terrorisme et la guerre économique qui
est en cours sur les réseaux sont au contraire considérés comme des menaces de premier
ordre. Dans ces conditions, l'élaboration d'une position européenne est donc encore freinée
par de nombreux obstacles.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!266 Morozov Evgeny, « The rise of data and the death of politics », op. cit. 267 Laurent Gilles (dir.), La dynamique d'internet Prospective 2030, op. cit., p.189.
!
108
3. La république numérique
3.1 Les opportunités de l'e-gouvernance
Les changements induits par la transformation numérique sont nombreux dans le
domaine de la gouvernance et de l'action publique. Une transformation est déjà à l’œuvre dans
le cadre de l’e-gouvernance. Comme l'ont souligné les rédacteurs de l'ONU dans leur rapport
annuel de 2014 sur l'e-gouvernance (c'est-à-dire l'utilisation par les gouvernements des TIC et
de ses applications pour apporter des informations et des services à leur citoyens), celle-ci
représente une opportunité d’amélioration de l'action publique : « L’e-gouvernance peut aider
les gouvernements dans leur transition écologique et les accompagner dans la promotion
d'une gestion réellement naturelle des ressources, de même que stimuler la croissance
économique et promouvoir l'inclusion sociale268 ».
Faute de prendre en compte ces changements, les États risquent de voir leur
souveraineté décliner au profit d'acteurs privés mieux à même d'utiliser les possibilités
offertes par le numérique. La transformation digitale constitue donc un véritable défi dans la
mesure où elle peut tout aussi bien mettre en péril les capacités d'action de l'État, c'est à dire
sa souveraineté, que les renforcer. L'enjeu est d'adapter les formes de gouvernance
traditionnelles, tout en créant de nouvelles formes de gestion des affaires publiques. La
formule de « souveraineté numérique » prend donc ici tout son sens.
Le premier chantier de l'e-gouvernance concerne la numérisation de l'action
publique, c'est-à-dire le renforcement de la présence de l'administration dans le cyberespace.
Le deuxième chantier concerne l'e-participation. Cette dernière repose sur l’idée que le
numérique offre des moyens d'action supplémentaires aux citoyens. Dans une démocratie
représentative, le citoyen dispose avant tout d'un pouvoir de contrôle sur la gestion des
affaires publiques ; avec le numérique, il dispose d'un pouvoir d'action direct autre que celui
de son droit de vote dans la gestion des affaires publiques. Le troisième chantier concerne
l'ouverture des données (open data en anglais) qui correspond à la reconnaissance récente du
droit des citoyens, à l'échelle entrepreneuriale ou individuelle, à accéder à certaines
informations détenues par le gouvernement. Si les données et les informations ont toujours été
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!268 Organisation des Nations Unies, E-government survey 2014, p.2.
!
109
des atouts stratégiques, leur intérêt s’est accru avec le développement du Big data, c'est-à-dire
des capacités automatisées de traitement des informations. Les promoteurs de l’open data
insistent donc sur les bénéfices de cette ouverture qui doit permettre « d’augmenter
l’efficacité, d’accroitre la responsabilité, de mieux gérer les ressources au niveau national, de
combattre la corruption, et en même temps de renouveler le débat politique et la
démocratie269 ». L'opération open data du gouvernement français, placée sous l'autorité du
Premier ministre et dirigée par Henri Verdier, se nomme Etalab270.
Dans le domaine général de l'e-gouvernance, la France se positionne très
favorablement vis-à-vis des autres États. Selon le rapport de l'ONU, elle se classe à la
quatrième position au classement mondial dans le domaine de l'e-participation 271. La France a
en effet multiplié les consultations en ligne ces dernières années afin d'améliorer la
participation des citoyens aux affaires publiques : les consultations effectuées ces derniers
mois par le Conseil National du Numérique (CNNum) en témoignent.
De plus, il ressort de ce rapport que la France s'est hissée au rang le leader
mondial dans le domaine des services publics disponibles en ligne avec son site service-
public.fr., destiné aux citoyens, aux entreprises et aux professionnels. Les citoyens ont ainsi
accès à environ 200 formulaires, 2 500 pages de données et à plusieurs centaines de liens vers
des ressources utiles incluant des formulaires, des procédures en ligne, des textes de référence
et des sites du service public. service-public.fr centralise donc les ressources du service public
mises à la disposition des citoyens sur le réseau et organise ces données de manière à
répondre à leurs besoins272 . Le rapport de l’ONU précise ainsi que « toutes les informations
administratives sont présentées simplement et clairement273 ».
La présence de l'administration française dans le cyberespace devrait être
renforcée par le plan French Connect. Cette initiative gouvernementale, mise en œuvre par le
Secrétariat Général pour la modernisation de l'action publique (SGMAP), offrira aux
particuliers comme aux professionnels un mécanisme d'identification similaire à la fonction
Facebook connect qui permet à un internaute de s'authentifier auprès d'une multitude
d'applications, fédérées autour de son compte Facebook. « Il n’y aura donc ni centralisation
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!269 Frénot Stéphane, Grumbach Stéphane, « Les données sociales, objets de toutes les convoitises », op. cit., p.48. 270 « Etalab », Secrétariat Général de la modernisation de l'action publique. http://www.modernisation.gouv.fr/le-sgmap/organisation/etalab (Consulté le 2 août 2015) 271 Ibid., p.65. 272 Ibid., p.88. 273 Ibid., p.47.
!
110
des comptes des usagers, ni système d’identité numérique unique imposé : l’usager choisira
librement les comptes qu’il souhaite fédérer 274 ». Ce projet est considéré comme un
« composant essentiel de la nouvelle stratégie d'État plate-forme » promu par le SGMAP. De
même, en août 2014, le décret275 porté par Thierry Mandon, secrétaire d'État chargé de la
réforme de l'État et de la simplification, est venu abroger le décret de 1986276 qui consacrait
l’autonomie informatique des ministères. Cette abrogation devrait faciliter la gestion des
systèmes d'information ministériels et fluidifier les échanges.
L'e-gouvernance représente donc une opportunité de renforcement du pouvoir des
citoyens en leur donnant un meilleur accès à la connaissance ainsi qu'en mettant à leur
disposition des moyens d'action autrefois impossibles à mettre en œuvre pour des raisons
pratiques : les consultations citoyennes peuvent désormais se faire en ligne, à partir d'un
Smartphone, là où il fallait autrefois se déplacer physiquement. Mais cela n'est possible qu'à
la condition d'améliorer la connectivité : avec l'extension de la sphère numérique, le risque de
déconnexion est de plus en plus prégnant pour les individus. Pour que le numérique ne
n’aggrave pas les inégalités sociales, l'État doit assurer la connectivité nationale en donnant
accès à l'Internet à l'ensemble de ses citoyens.
Si la France semble relever le défi de la numérisation de l'action publique avec
succès, certains ont néanmoins souligné que d'importants changements restaient à effectuer.
Le CNNum a par exemple appelé à un changement de perception dans l'administration
publique vis-à-vis du numérique ainsi qu'à la promotion de la culture de l'innovation au sein
de l'administration française afin d'en faire un levier d'innovation et d'efficacité de l'action
publique. De même, l'Institut Montaigne, dans son rapport intitulé Big data et objets
connectés a appelé au décloisonnement des discussions concernant le numérique et à la
diffusion d' « une certaine culture du numérique277 » au sein de la fonction publique. Au delà
des réalisations dans le domaine de l'e-gouvernance, des résistances à la transformation
numérique sont néanmoins régulièrement dénoncées.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!274 « L'administration change avec le numérique », Secrétariat Général de la modernisation de l'action publique, 19 décembre 2014. http://www.modernisation.gouv.fr/ladministration-change-avec-le-numerique/par-son-systeme-dinformation/france-connect-un-acces-universel-aux-administrations-en-ligne (Consulté le 3 août 2015) 275 Décret n° 2014-879 du 1er août 2014 relatif au système d'information et de communication de l'Etat. http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000029337021 (Consulté le 3 août 2015) 276 Décret n°86-1301 du 22 décembre 1986 relatif au développement de l'informatique, de la bureautique et des réseaux de communication dans l'administration. http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=9A974D7B5386D49F5CB13A9D257C2D53.tpdila09v_2?cidTexte=JORFTEXT000000334024&idSectionTA=LEGISCTA000006096107&dateTexte=20150612&categorieLien=id#LEGISCTA000006096107 (Consulté le 3 août 2015) 277 Institut Montaigne, op.cit., p.130.
!
111
3.2 La résistance des élites françaises au numérique
Ces dernières années, la classe dirigeante française, par sa réglementation, a pris
en compte le numérique dans ses politiques selon deux perspectives : soit en le considérant
comme un levier de croissance (avec la « French Tech » par exemple), soit en lui imposant
des lois restrictives (tel qu'Hadopi), pas toujours compatibles avec la neutralité du net ou bien
avec les autres principes fondateurs de l'Internet. Ces deux engagements, aux effets parfois
contradictoires, dénotent de la difficulté pour les décideurs politiques à adopter une vision
globale de la transformation numérique qui est en cours. Lors du lancement des 34 plans de la
Nouvelle France industrielle, Benoit Thieulin, président du CNNum, a dénoncé cette carence
politique : « Ils sont dans la logique du guichet : ils vont voir le marché et demandent ce qu’il
faut financer. Or, à un moment donné, il faut faire des choix, ne pas saupoudrer. Il faudrait
déterminer les axes majeurs [...]278 ». Comment cette difficulté à adopter une vue d'ensemble
s'explique-t-elle dans les milieux spécialisés ?
Pour le philosophe Bernard Stiegler, « l'incompréhension des processus
évolutifs279 » par les élites tient en premier lieu à la difficulté à appréhender les changements
induits par la révolution numérique. Dans sa phase d'installation en tant que moteur principal
de l'économie, le numérique a un effet dévastateur puisque cette installation se caractérise par
la disparition ou la mutation de pans entiers de l’activité économique. Ces changements,
quelques fois brutaux, peuvent déboucher sur de violents conflits sociaux, comme nous avons
pu le voir lors du différend qui opposa l'entreprise Uber à l'État en juin 2015. Or, la réaction
du gouvernement dans ce cas est symptomatique de cette difficulté à appréhender les enjeux
de la transformation numérique dans leur ensemble : face à un nouvel usage introduit par le
numérique, la réponse apportée a été l'interdiction. Les décideurs politiques éprouvent donc
une certaine forme de réticence culturelle aux nouvelles technologies pour lesquelles ils ont
de la difficulté à saisir les implications.
Cette réticence tient également au fait que le numérique horizontalise des rapports
sociaux autrefois cloisonnés et hiérarchisés verticalement : l'e-gouvernance vise à rapprocher
le citoyen et le responsable politique. Certains voudraient utiliser les possibilités offertes par
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!278 Fradin Andréa, Noyon Rémi, « La révolution numérique pourrait saper les fondements de l'État », Rue 89, 18 juin 2015. http://rue89.nouvelobs.com/2015/06/18/revolution-numerique-pourrait-saper-les-fondements-letat-259732 (consulté le 2 août 2015) 279 Stiegler Bernard, « La mécroissance et le changement de modèle industriel », in : Pour en finir avec la mécroissance : quelques réflexions d’Ars industrialis, Paris, Flammarion, p.29.
!
112
l'Internet comme des moyens verticaux d'information, à l'image de la télévision, mais ce choix
va à l'encontre de ses usages. Sur Tweeter, un simple citoyen peut ainsi « apostropher » un
homme politique à propos de l'actualité politique, et ce à la vue et au su de dizaines de
milliers de personnes. Accoutumés à des rapports verticaux, certains politiques se trouvent
donc démunis face à ces changements.
La classe politique semble ainsi éprouver des difficultés à prendre acte de ces
changements de paradigmes. En 2011, la création du Conseil National du Numérique
(CNNum) à l'initiative du président Nicolas Sarkozy a été une manière de reconnaitre la
nature transversale du numérique. Mais comme avec la CNIL, les avis formulés n'ont jamais
suivi, que ce soit lors de la Loi de Programmation Militaire de 2013 ou lors de celle sur le
renseignement. Le journaliste Benoit Fabien estime que cette dernière, en tant que tentative de
prise de contrôle du cyberespace français, est l'expression d'une peur et d'une inquiétude face
à la nouvelle forme d'organisation sociale, plus horizontale, que permet l'Internet280. Les
politiques ont le sentiment que ces changements leur échappent, que leurs compétences n'ont
plus d'intérêt et que le monde se restructure sans eux. Ils tentent donc de donner des réponses,
parfois mal coordonnées, à ces nouvelles problématiques281.
L'incompréhension des élites, considérée comme un frein à l'instauration d'une
souveraineté numérique nationale, est une idée également partagée par les personnalités
interrogées lors de notre enquête de terrain. Dès lors, face à ces résistances culturelles, dans
quelles conditions ces préoccupations pourraient-elles se hisser en haut des priorités
gouvernementales ?
3.3 L'importance de l'éducation pour le futur numérique de la France
L'importance de l'éducation a été désignée par les personnalités que nous avons
interrogées comme le principal investissement d'avenir sur lequel le gouvernement devrait se
concentrer. Cela permettrait de renforcer la souveraineté numérique française sur le long
terme en sensibilisant les futurs citoyens à ses risques comme à ses opportunités.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!280 Benoit Fabien, « "Internet ? Je n’y vais jamais" », Usbek & Rica, juin, juillet, août 2015, p.37. 281 Ibid. p.41.
!
113
Pour être « en capacité de [se] projeter sur les prochaines vagues
d’innovation282 », les générations futures doivent en effet être préparées au monde dans lequel
elles vont vivre et pour que les citoyens deviennent des acteurs actifs des réseaux, ils doivent
être éduqués comme tel.
Benoit Thieulin a souligné le risque lié à l'absence de projet éducatif national
destiné à former les futurs usagers français : « En réalité, le numérique fabrique [aujourd'hui]
des consommateurs. Il faut enseigner le fait numérique pour que les gens comprennent a
minima ce qu’il y a là-dedans et comprennent ce qu’est un algorithme. Car cette manipulation
peut être pire que celle produite par la télé. Là, vous pouvez personnaliser de manière fine et
enfermer des gens dans des bulles.283 ». Afin que le cyberespace reste un vecteur de diffusion
libre de l'information, la manière d'utiliser les outils numériques ne doit donc pas être
déterminée par des acteurs privés, par définition soumis à des impératifs de rentabilité. Au
contraire, « il faut "conscientiser" les élèves à l’école », afin qu'ils deviennent des éléments
actifs, et non passifs, des réseaux.
C'est pourquoi Gilles Babinet estime que nous devons « élever les sujets tels que
l'éducation284 » afin de libérer les initiatives et de favoriser des vocations dans le domaine du
numérique. C'est également la position défendue par Bernard Benhamou : « Pour établir une
meilleure transparence pour les usagers ainsi qu’une meilleure protection de leurs données, il
convient de développer une culture technologique qui aille au-delà de la maîtrise des usages
mais qui prenne en compte les évolutions politiques et technologiques de nos sociétés285 ».
« Bref, [il faut] encadrer ce développement286 ».
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!282 Synthèse de la 2e assise de la Souveraineté Numérique, op. cit., p.16. 283 Fradin Andréa, Noyon Rémi, op. cit. 284 European Commission, The Digital Champion of France. https://ec.europa.eu/digital-agenda/en/digital-champion-france (consulté le 5 août 2015) 285 Benhamou Bernard, « Les démocraties européennes face à la tentation de la "boîte noire" », Le Monde, 2 juin 2015. http://www.lemonde.fr/idees/article/2015/06/02/les-democraties-europeennes-face-a-la-tentation-de-la-boite-noire_4645924_3232.html#LDl2KuLBvZx28J2E.99 (Consulté le 3 juin 2015) 286 Fradin Andréa, Noyon Rémi, op. cit.
!
114
CONCLUSION
Nous avons posé en introduction la question de la nature du lien existant entre la
représentation d'un militaire qui conçoit la souveraineté numérique dans le cadre de sa
mission traditionnelle de Défense, celle d’un industriel qui utilise le concept pour évoquer la
puissance économique française ou encore celle d’une personnalité politique qui y voit des
enjeux d'ordre culturel. Nous sommes maintenant en mesure d’apporter un élément de
réponse : la défense de l’identité et de la puissance française dans le cyberespace, envisagée
comme un enjeu global.
Ainsi, le débat portant sur la souveraineté numérique française se caractérise par
le fait que dans les représentations dominantes, le concept est envisagé soit à l’échelle
nationale, soit à l’échelle européenne. La souveraineté semble partagée entre l’acteur étatique
et l’acteur supranational qu’est l’Union européenne. Si certains pans font l’objet d’un transfert
à cette dernière échelle (dans le domaine économique par exemple), d’autres restent le fait des
politiques nationales (dans le cas de la cyberdéfense principalement).
La particularité du débat tient également au fait qu’il implique des acteurs très
différents (militaires, personnalités politiques, industriels, start-up, citoyens, administration,
etc.) que l’on peut néanmoins distinguer en trois catégories : l’entreprise, l’État et l’individu.
Parmi l’ensemble de ces acteurs, les services de renseignement jouent un rôle central car le
cyberespace, par l'accroissement des capacités de stockage et d'analyse des informations,
contient de nouvelles possibilités pour les acteurs de la surveillance. De même, les entreprises
privées de services en ligne, un marché dominé par les Américains, jouent un rôle de première
importance. Cette dernière position est par ailleurs considérée comme un excès de pouvoir et
a été dénoncée comme une menace pour la souveraineté française et européenne. Enfin,
l’individu apparaît comme un nouvel acteur stratégique. Le cyber offre en effet de nouvelles
possibilités d’expression et d’action aux citoyens, mais contient également des menaces pour
les libertés individuelles.
De même, tous ces acteurs sont impliqués dans un débat qui se caractérise par
l’imbrication des enjeux. En effet, et ce dernier point est caractéristique du cyber, le
numérique brouille et déplace les frontières. Il ne représente pas qu'un défi fiscal ou
!
115
sécuritaire pour l'État : la lutte contre la fracture numérique, le maintien d'infrastructures
adaptées, la mutation des secteurs de la santé et de l'éducation, la protection des données
personnelles sont également des enjeux que l'État doit relever. En cas d’échec, les
implications pourraient être aussi bien culturelles que politiques et économiques. C’est
pourquoi revendiquer sa souveraineté signifie autant affirmer sa puissance économique que
son altérité culturelle face au risque d'uniformisation des formes de vie en société par le biais
des réseaux informationnels. Le débat concernant la souveraineté numérique est donc
révélateur des préoccupations nées du brouillage des repères traditionnels sur lesquels l'ordre
westphalien mondial s'est construit jusqu’à présent.
L’intensification des discours portant sur le concept de souveraineté numérique
tient également au fait que l’Internet actuel a détruit, ou du moins remis en question, un
certain nombre de ses mythes originels : sa représentation comme un espace de liberté a été
bouleversée par la surveillance, son potentiel d'ouverture à la connaissance par l'hermétisation
des écosystèmes numériques et l'accès à l'information par le contrôle d’un nombre restreint
d'acteurs privés.
L’implication de l’État français pour la défense des intérêts nationaux dans le
cyberespace présente certaines limites (dans la politique de localisation des données par
exemple) et son analyse révèle de fortes contradictions (en particulier à propos de la loi sur le
renseignement, aux effets économiques négatifs). La classe politique semble ainsi éprouver
des difficultés à concilier libertés publiques, sécurité nationale, neutralité du net et
développement économique. La France, comme l'Europe, peine donc à mettre en œuvre des
politiques d'ensemble cohérentes face à un Internet qui à la fois génère de l'activité
économique et permet un transfert et une diffusion inédite de la connaissance.
Il ressort en dernier lieu de notre analyse que les représentations dominantes de la
souveraineté numérique française se concentrent sur un acteur en particulier : les États-Unis,
considérés comme une menace globale. Pourtant, le défi de la souveraineté numérique est
beaucoup plus vaste. En effet, alors que les acteurs privés renforcent actuellement leurs
positions, les États investissent de manière croissante dans le cyberespace, considéré à la fois
comme une arme et comme un nouveau territoire où l’autorité publique doit s’imposer. La
montée en puissance de ces nouveaux acteurs étatiques au sein du cyberespace devrait par
conséquent sceller la multipolarisation du monde à laquelle nous assistons aujourd’hui.
Pour ceux qui l’évoquent, le concept de souveraineté numérique permet donc de
souligner le paradoxe auquel les États sont aujourd’hui confrontés avec le développement de
!
116
la sphère cybernétique. En effet, si les changements induis par le numérique pourraient
entrainer la disparition de ces acteurs traditionnels, les possibilités offertes par ces mêmes
changements représentent aussi une formidable opportunité politique et économique pour ces
acteurs. Dans les régimes démocratiques, leur implication relève même de la responsabilité de
l’État afin que le cyberespace, et plus particulièrement l’Internet, reste un espace de liberté et
un outil de renforcement de la démocratie.
!
117
SOURCES ET BIBLIOGRAPHIE
Ouvrages de références
- Bellanger Pierre, La souveraineté numérique, Paris, Stock, 2014, 252 p.
- Carr Jeffrey, Inside Cyber Warfare, Mapping the Cyber Underworld (2nd edition), O’Reilly
Media, Sebastopol (EU), 2011, 318 p.
- Cohen Jared, Schmidt Eric, The new digital age, reshaping the future of people, nations and
business, New-York, Knopf, 2013, 336 p
- Collectif, Pour en finir avec la mécroissance : quelques réflexions d’Ars industrialis, Paris,
Flammarion, 305 p.
- Direction des affaires stratégiques/Institut Français de Géopolitique (Université Paris 8),
« La balkanisation du web : chance ou risque pour l’Europe », Étude Prospective et Stratégie,
Paris, 2015, 187 p.
- Yves Lacoste, De la géopolitique aux paysages. Dictionnaire de la géographie, Paris, 2003,
Armand Colin, 413 p.
- Morozov Evgeny, L’aberration du solutionnisme technologique. Pour tout résoudre cliquez
ici, Limoges, FYP, 2014, 350 p.
- ___ , The Net Delusion : how to not liberate the world, London, 2011, 394 p.
- Sadin Éric, La vie algorithmique : critique de la raison numérique, Paris, l’Échappée, 278 p.
- Ventre Daniel, Cyberattaques et cyberdéfense, Paris, Hermès Lavoisier, 2011, 312 p.
!
118
- _____, Cyberespace et acteurs du cyberconflit, Paris, Hermès Lavoisier, 2011, 288 p.
- _____, Information Warfare, Londres, Wiley-ISTE, 2009, 298 p.
Revues universitaires
- Divina Frau-Meigs (dir.), « Contested Internet Governance », Revue française d’études
américaines, n° 134, 2012/2, 128 p.
- Douzet Frédérick (dir.), « Cyberespace : enjeux géopolitiques », Hérodote, 2014/1 n° 152-
153, 313 p.
Revues généralistes
- « Géopolitique du Cyberespace », Les Grands Dossiers de Diplomatie, n°23, octobre-
novembre 2014, 100 p.
- « Géopolitique de l’Internet », Politique étrangère, IFRI, 3/ 2006 (Automne), 232 p.
- Massif-Folléa Françoise, Delmas Richard, « La gouvernance d’Internet », Les Cahiers du
numérique, 2002/2 (Vol. 3), 266 p.
- Nocetti Julien (dir.), « Internet : une gouvernance inachevée ? », Politique Étrangère, n°4,
IFRI, hiver 2014-2015, 30 p.
- Tronquoy Philippe (dir.), « La société numérique », Cahier Français, n°372, janvier-février
2013, 96 p.
!
119
Rapports parlementaires
- Bockel Jean-Marie, Rapport d'information fait au nom de la commission des affaires
étrangères, de la défense et des forces armées sur la cyberdéfense, 18 juillet 2012, 158 p.
- Erhel Corinne, De La Raudiere Laure, Rapport d'information sur le développement de
l'économie numérique française, 2014, 163 p.
- Morin-Desailly Catherine, Rapport d'information fait au nom de la commission des affaires
européennes sur l' « Union européenne, colonie du monde numérique ? », mars 2013, 158 p.
- ____, Rapport d’information fait au nom de la mission commune d’information « Nouveau
rôle et nouvelle stratégie pour l’Union européenne dans la gouvernance mondiale de
l’Internet », 2014, 398 p.
- Paecht Arthur, Rapport d'information déposé par la commission de la défense nationale et
des forces armées sur les systèmes de surveillance et d'interception électroniques pouvant
mettre en cause la sécurité nationale, 2000, 89 p.
Rapports publics
- ANSSI, Guide d’hygiène informatique, Paris, janvier 2013, 50 p.
- ANSSI, CGPME, Guide des bonnes pratiques de l’informatique, 12 règles essentielles pour
sécuriser vos équipements numériques, Paris, mars 2015, 44 p.
- Bouthi Malek, Génération radicale, juin 2015, 68 p.
- Collin Pierre, Colin Nicolas, Mission d'expertise sur la fiscalité du numérique, janvier 2013,
198 p.
!
120
- Communication de la commission au parlement européen, Stratégie pour un marché unique
numérique en Europe, Bruxelles, 6 mai 2015, 24 p.
- Conseil National du Numérique (CNNum), Ambition numérique, 2015.
- European Cybercrime Center, Europol Report cybercrime, 2014, 92 p.
- Eurostat, Taxation trends in the European Union. Data for the EU member, Iceland et
Norway. 314 p.
- Guehenno Jean-Marie (dir.), Livre blanc sur la défense et la sécurité nationale, Paris, La
Documentation française, 2013, 160 p.
- Lettres mensuelles de l’Observatoire du Monde Cybernétique par la Compagnie Européenne
d’Intelligence Stratégique (CEIS).
- Laurent Gilles (dir.), La dynamique d'internet Prospective 2030, Commissariat général à la
stratégie et à la prospective, Paris, 2013, 2013 p.
- Mallet Jean-Claude (dir.), Livre blanc sur la défense et la sécurité nationale, Paris, Odile
Jacob, 2008, 350 p.
!- Organisation des Nations Unies, E-government survey 2014, 284 p.
Rapports privés
- Babinet Gilles, Vassoyan Robert (dir.), Big data et objets connectés. Faire de la France un
champion de la révolution numérique, Institut Montaigne, 2015, 217 p.
!
121
- Ben Miller, Atkinson Robert D., Raising european productivity growth through ICT, ITIF,
2014, 43 p.
- Panda Security, The Cyber-Crime Black-Market, 44 p.
- Pélissié du Rausas Matthieu, Industrie 2.0, 5 pistes pour permettre aux industriels français
de tirer partir de la mondialisation, McKinsey France, 2012, 68 p.
- ______, Industrie 2.0, jouer la rupture pour une Renaissance de l’industrie française,
McKinsey France, 2013, 76 p.
- ______, Accélérer la mutation numérique des entreprises : un gisement de croissance et de
compétitivité pour la France, McKinsey France, 2014, 142 p.
Conférences et colloques
- « Comprendre la cryptologie et ses applications », conférence du 15 juin 2015 organisée par
le Cercle d’Intelligence Économique du MEDEF Île-de-France.
- « La donnée n’est pas donnée - Stratégie & Big Data », colloque du 23 mars 2015 organisé
par le Centre de Recherches de l’Ecole des Officiers de la Gendarmerie nationale.
- « Menaces sur tous les fronts : de la piraterie maritime à la cybercriminalité », colloque du 8
avril 2015 organisé par le comité Cyberdéfense de l’ANAJ-IHEDN en collaboration avec le
Master 212 Affaires internationales de Dauphine.
- « Souveraineté numérique », 2es Assises de la Souveraineté Numérique organisée par
l’agence en relations publiques Aromates le 14 avril 2015.
- Bellanger Pierre, « Enjeux et moyens de notre souveraineté numérique », conférence du 13
avril 2015 organisée par l’IHEDN.
!
122
- Libicki Martin, « Major Events in Cyberspace: What We Learned and What We Should
Have Learned » conférence du 28 octobre 2014 organisée par la Chaire Castex de
Cyberstratégie, partenaire de l’IHEDN.
- Rencontre du 4 février 2015 autour du dossier « Internet : une gouvernance inachevée » du
numéro d’hiver 2014-2015 de la revue Politique étrangère, organisée en collaboration avec Le
Tank.
- Sichel Olivier, « Que peut faire l'Europe face à l'hégémonie numérique américaine ? »,
conférence du 19 mars 2015 par le comité Cyberdéfense de l’ANAJ-IHEDN.
Blogs
- Diploweb (http://www.diploweb.com/)
- Internet et juridiction (http://www.internetjurisdiction.net/)
- Lois des réseaux (http://reseaux.blog.lemonde.fr/)
- Oxford Internet Institute (http://www.oii.ox.ac.uk/)
- RP Défense (http://rpdefense.over-blog.com/)
Bases de données
- Base de données de la banque mondiale (http://data.worldbank.org/)
- Eurostat, base de données de l’UE (http://ec.europa.eu/eurostat/help/new-eurostat-website)
- Internet World Stats (http://www.internetworldstats.com/)
!
123
- Net Market Share (https://netmarketshare.com/)
- StatCounter (http://gs.statcounter.com/)
Presse généraliste
- Les Échos
- L'Express
- Le Figaro
- Le Huffington Post
- Libération
- Le Monde
- Le Point
- La Tribune
- Rue 89
- Slate
Presse spécialisée
- 01.net
- Boursier
- Clubic
- Global Security Mag
- ITespresso
- Le Monde informatique
- L'Usine Digitale
- L'Usine Nouvelle
- Next Inpact
- Numerama
- Space
!
124
- Zdnet
Presse étrangère
- Corriere
- The Guardian
- The New York Times
- Recode
- The Wall Street Journal
!
125
PERSONNALITÉS INTERROGÉES
- Charlie Barthet : rapporteur au Conseil National du Numérique (CNNum)
- Laurent Bloch : statisticien et informaticien, co-fondateur de l’un des premiers fournisseurs
français d’accès à l’Internet. Aujourd’hui chercheur en cyber-stratégie à l'Institut français
d'analyse stratégique (IFAS)
- Bernard Benhamou : chercheur, secrétaire général de l’Institut de Souveraineté Numérique
et Délégué aux usages de l’Internet (DUI) au Ministère de l’Éducation
- Alain Bensoussan : avocat spécialisé dans le droit des technologies avancées
- Contre-Amiral Arnaud Coustillière : Officier général à la cyberdéfense - État-Major des
Armées
- Erwan Le Noan : journaliste et avocat spécialisé en droit de la concurrence
- Catherine Morin-Desailly : Sénatrice de la Seine-Maritime
- Francesca Musiani : chargée de recherche au CNRS à l'Institut des sciences de la
communication
- Klara Peyre : responsable des projets de promotion internationale pour la mission « French
Tech »
- Admiral Michael S. Rogers : directeur de la National Security Agency (NSA) et
commandant de l’United State Cyber Command (USCYBERCOM), interrogé dans le cadre
d’une rencontre organisée par la Chaire Castex de Cyberstratégie.
!
126
- Louis Pouzin : ingénieur français en informatique dont les travaux ont largement participé à
la mise au point de l’Internet
- Laure de la Raudière : députée d’Eure-et-Loir
- Aymeric Simon : spécialiste des questions politico-juridiques relatives à la cyber-sécurité,
employé de la filiale CyberSecurity d’Airbus Defence and Space
- Lieutenant-colonel Patrice Tromparent : membre de la délégation aux affaires stratégiques
du Ministère de la Défense
- Philippe Wolf : ancien conseiller du Directeur général de l’Agence Nationale des Sécurité
des Systèmes d’Information (ANSSI)
Demandes d’entretien sans réponses ou refusées :
Jean-Marie Bockel (Sénateur)
Barbara Cassini (journaliste)
Christian Paul (Député)
Didier Renard (PDG de Cloudwatt)
!
127
TABLE DES CARTES
Carte 1: De l’ambivalence des rapports stratégiques : le cas de la National Security Agency ................................................................................................................................................p.29 Carte 2: Les infrastructures du cyberespace français dans leur environnement....................p.54 Carte 3: L’hégémonie des services en ligne américains au sein de l’Union européenne......p.64 Carte 4: L’Union européenne : « colonie du monde numérique » ?......................................p.78 Carte 5: La mission « French Tech » : un programme national de labellisations régionales. ................................................................................................................................................p.88 Carte 6: La fracture de la conférence mondiale des télécommunications internationales de 2012..................................................................................................................................... p.106
!
128
TABLE DES MATIÈRES
Remerciements………………………………………………………………………….……p.3
Sommaire…………………………………………………………………….………………p.4
Introduction…………………………………………………..………………………………p.5
Chapitre 1: L’enjeu stratégique de la défense de la souveraineté numérique ...............……p.19
1. Les États-Unis: une menace pour la souveraineté numérique française ?…….............…p.19
1.1 Le cyberespace : un territoire conflictuel……………………………………….............p.19
1.2. Les principaux programmes de surveillance de la NSA…………………………….....p.22
1.3 Communication politique et réalité stratégique………………………………….......…p.26
2. La défense de la souveraineté française dans le cyberespace……………………………p.32
2.1. Cyber-défense et cyber-offense…………………………………………………..........p.32
2.2 L’industrie nationale au service de la souveraineté numérique……………...…………p.35
2.3 Une impossible cyber-défense européenne ? …………………………………………..p.40
3. La tentation de la surveillance……………………………………………………...........p.43
3.1. La loi de 2015 sur le renseignement………………………………………...…………p.43
3.2. De l'utilité de la menace terroriste……………………………………………..........…p.48
Chapitre 2 : L’enjeu économique de la défense de la souveraineté numérique.................…p.54
1. La domination économique des acteurs américains……………………………...………p.54
1.1 Une domination procédant d’une volonté politique…………………………….....……p.54
1.2 Un modèle économique innovant……………………………………………............…p.56
1.3 L'Union européenne : « colonie du monde numérique » ?……….…….………………p.61
2. La défense du marché numérique européen………………………………………...……p.66
2.1 De l'importance d'une économie numérique européenne……………………….………p.66
2.2 L'harmonisation du cadre européen…………………………………….………………p.68
!
129
2.3 Les propositions techniques pour le renforcement de la souveraineté numérique
européenne…………………………….…………………………….……………...………p.73
3. Le Made in France: un instrument de la souveraineté numérique ?……….………….…p.78
3.1 Le cloud souverain………………………………………………………………..…….p.78
3.2 La « French Tech » : pour une culture de l'innovation…………….…….……….…….p.83
3.3 La cybersécurité française………………………………………………………………p.88
Chapitre 3 : L’enjeu informationnel et culturel de la souveraineté numérique………….....p.92
1. Les leaders du secteur des TIC : une menace pour le modèle social européen et
français ?………………………………………………………………………....…………p.92
1.1 L’accès à la connaissance………………………………………………………………p.92
1.2 Les États face au risque d'obsolescence politique………………………………………p.94
2. Les initiatives pour la sauvegarde de l'esprit européen…… ………………….…………p.99
2.1 La protection des données…………………………………………….…………….…..p.99
2.2 Le rôle de l'Europe dans la gouvernance de l'Internet……….………….………….…p.103
3. La République numérique.….……………….……………………………….…………p.108
3.1 Les opportunités de l'e-gouvernance…………………………………….……….……p.108
3.2 La résistance des élites françaises au numérique…………………………….….….…p.111
3.3 L'importance de l'éducation pour le futur numérique de la France……………………p.112
Conclusion………………….………………………………….……………………….…p.114
Sources et bibliographie ……………………………………………………….….………p.117
Personnalités interrogées………………….……………………………….………………p.125
Table des cartes……………………………………………………………………………p.127
Table des matières…………………………………………………………………………p.128