Embed Size (px)
Citation preview
1
L'E-sécurité au risque de l'externalisation dans la société numérisée.
Professeur Jean-Jacques Lavenue1
Directeur de l'IREENAT2
Université de Lille II3
Sommaire
I – E-sécurité et indépendance nationale.
A- Dépendance technologique et souveraineté.
B- La vulnérabilité en période de crise.
II- Privatisation de la sécurité et surveillance dans la société numérisée.
A- La privatisation de la sécurité.
B- La citoyenneté au risque de la privatisation des architectures technologiques mises en place par l'Etat.
*
La thématique de l'E-sécurité, qu'on la conçoive comme « sécurité dans l'utilisation des moyens électroniques » ou comme « sécurité par les moyens électroniques » se situe au carrefour de préoccupations extrèmements différentes, dans un contexte compliqué.
Pour l'administration des Etats, chargée de pourvoir à l'interêt général, à la tranquilité et la sécurité publique, les nouvelles technologies de la communication, ont très vites été présentées et perçues comme un formidable moyen de modernisation, d'efficacité, de rationalisation qui allait leur permettre de rattraper leurs retard et de faire face aux nouveaux défits de la vie moderne.
E-education, e-learning, e-commerce, e-santé, e-administration, e-sécurité furent d'autant plus mis à l'ordre du jour que des prestataires internationaux se proposaient de leur vendre ces systèmes clef en main, d'externaliser leurs prestations, leurs services publics. A l'extrème, les Etats pouvaient
1 http://www2.univ-lille2.fr/droit/enseignants/lavenue /2 http://ireenat.univ-lille2.fr/ 3 http://193.51.139.83/w3/
2
envisager d'abandonner une partie de leurs pouvoirs régaliens au nom de la nécessaire réduction du périmêtre de l'Etat dans un monde mieux géré où l'électronique sécurisée, sécurisante, sécuritaire favoriserait le libre jeux des lois du marché.
Le triptique e-administration, réforme de l'Etat, adoption des modèles du secteur privé illustre cet état d'esprit dominant. Le benchmarking et l' externalisation sont les concepts de sa mise en oeuvre. Le domaine de l'e-sécurité n'a pas échappé à ce processus.
J'ai déjà eu l'occasion à l'Université Saint-Joseph, en décembre 20084, d'évoquer ce phénomène, et en février 2009, dans le cadre de la LITA5, de montrer à quel point notre utilisation des TIC était productrice de données susceptibles de se retourner contre nous. Lorsque je dis « nous » il s'agit des individus, des citoyens, des administrations et de l'Etat.
Ce que je voudrais évoquer dans le cadre de cette conférence concernera deux choses. Le problème de l'E-sécurité et l'indépendance nationale, d'une part; la privatisation de la sécurité et de la surveillance d'autre part.
Le dénominateur commun des problématiques que j'évoquerai étant que, dans tous les cas, la dépossession de l'Etat entraine la dépossession des citoyens et consacre un effritement de la souveraineté de l'Etat.
I – E-sécurité et indépendance nationale
Dans un colloque qui s'est tenu à l'Assemblée nationale en France, au mois de juin 2009 6, Philippe Wolf, de la Direction Centrale de la Sécurité des Systèmes d'informations (DCSSI), reprenant un article paru en décembre 20087, caractérisait le cyberespace par trois théorèmes que l'on peut présenter ainsi:
● “Toute l'information n'est pas bonne à numériser. Un fichier numérique se clone parfaitement. L'information peut être dupliquée à l'infini. Quand une information a fuité, nous n'avons aucune capacité à la retenir. La cryptographie semble capable de protéger l'information, mais la gestion des clés est un art difficile.
● “Le théorème de la confiance: pour pouvoir parler d'informatique de confiance, il faut en maîtriser les techniques. Nous ne pouvons pas pas avoir confiance en des logiciels que nous n'avons pas créés. Ni la France, ni l'Europe ne sont maîtres de leurs technologies.
● “ Le théorème du virus: la détection du virus est indécidable à la fois par une analyse à priori ou par une analyse dynamique...les anti-virus...doivent s'accompagner d'une véritable politique de sécurité “8
Ces “théorèmes” traduisent à nos yeux la prise de conscience de risques qui bien souvent sont
4 J.J.Lavenue, « Partenariat public privé, service public, rôle et réforme de l'Etat: externalisation ou stratégie des chocs », in colloque « L'externalisation de l'activité administrative et le Partenariat Public Privé», USJ-CEDRE-Lille2, 19 décembre 2008.
5 J.J.Lavenue « Surveillance et société numérisée»,Workshop 4 et 5 février 2009,L.I.T.A., Friedrich Ebert Stifung,Université Libanaise, Ordre des avocats
6 Colloque “ Souveraineté numérique”, 17 juin 2009, 7 “Jaune - Rouge”, décembre 2008, n° 640, “Trois théorèmes pour caractériser le cyberespace”8 Repris sur le site de Global Security Mag on Line, http://www.globalsecuritymag.fr/Existe-t-il une
souverainete,200906
3
encore occultés dans le discours euphorisant des apports positifs du monde de l'internet dans lequel le citoyen, le fonctionnaire, l'usager, la ménagère de cinquante ans, l'écolier, trouveront les instruments de leur efficacité, de leur culture et de leur distraction.
Big Brother se cacherait-il pour autant derrière les masques de Microsoft , Google, Hewlett-Packard, Yahoo, IBM? Y aurait-il quelqu'un derriere Big Brother lui-même? L'oeil de Sauron a-t-il une nationalité? Le réseau serait-il un avatar nouveau de l'hydre de Lerne?
Nous évoquerons ici, selon une approche sans doute un peu impressionniste, quelques situations pouvant susciter des interrogations quand aux atteintes possibles et aux risques qu'elles peuvent faire courrir à l'indépendance des individus, des entreprises et à la souveraineté des Etats. Ils se manifestent dans les comportements les plus courants et pourront prendre une ampleur insoupçonnée en période de crise.
A- Dépendance technologique et souveraineté.
Il s'agit tout d'abord de mettre l'accent sur un phénomène qui se décline à tous les niveaux d'une société donnée, des entreprises, des administrations et de leurs personnels. Les implications, en termes d'indépendance et de souveraineté, de la mise à disposition par des groupes transnationaux aussi respectables soient ils, Microsoft, Hewlett-Packard, IBM, ou autres, de technologies informatiques exogènes qui mettent à la disposition de leurs clients des systèmes informatiques clé en mains, des logiciels de gestion d'envergures diverses.
L'attraction d'une solution compléte et immédiate aux problèmes susceptibles d'être résolus par l'informatique occulte bien souvent la prise de conscience des dépendances qu'elle induit. On pourra y ajouter aussi , comme en corollaire, les conséquences nécéssaires qu'elle impliquera en termes de fournitures, de maintenance des matériels et de formation des personnels destinés à gérer les systèmes en question.
Naturellement les choses ne seront jamais totalement manichéennes, et le curseur entre dépendance et recours aux technologies numériques nationales sera positionné de manière très variable d'un Etat à un autre. Mais il faut avoir clairement conscience que les conséquences des choix opérés dans ce domaine ne relèvreont pas de la catégorie des simples épiphénomènes. Quelques exemples nous permettront d'en saisir l'enjeu.
a) Suprématie informationnelle ou souveraineté numérique.
La mise en place d'un mode de gestion informatisé dans une entreprise, une administratio implique l'acquisition d'une “culture”. Ainsi que l'écrivait, pour la France par exemple, Pierre de la Coste, dans son rapport sur l'Hyper-République: “l'é-administration ne se généralisera pas sans une prise de position forte du politique, sur le plan national, mais aussi au niveau régional ou local”9. Cela sera plus vrai encore en matière d'e-sécurité.
La culture d' entreprises transnationales, qu'il s'agisse de “Microsoft” ou de Thales, Eads n'est en effet pas nécessairement celle de l' Etat-client, et celle-ci variera aussi naturellement d'un Etat à un autre. En terme d'indépendance le choix du fournisseur devra être politique en ce sens que toutes les conséquences induites du choix du système retenu devront être prises en compte et assumées. La
9 http://www.ladocumentationfrancaise.fr/rapports-publics/034000010/index.shtml
4
neutralité technologique est bien loin d'être démontrée. Le décideur devra en avoir conscience au moment du choix.
Le choix qui consiste au niveau d'un Etat à externaliser son informatique, pourra ainsi bien souvent correspondre à une volonté de rattrapage à marche forcée et a une volonté de se positionner rapidement sur le terrain de l'e-gouvernance. Doit-elle être la seule à devoir être prise en considération ?
Nous pouvons, relever de nombreux exemples de ce type de démarche. Si l'on se réfère ainsi aux bulletins de veille stratégique du département Poste-Télécommunications Nouvelles technologies (DEPTNT) du gouvernement marocain10 en juin-juillet 2009, on peut lire:
- IBM aide l'Arabie Saoudite à améliorer son gouvernement11
– Microsoft France, nouveau partenaire de l'Université Paris Descartes.– Coopération entre la Tunisie et Microsoft.
Si l'on approfondit ce dernier exemple et analyse le discours développé par les différents partenaires de cette opération, on relèvera que le ministre des technologies et de la communication, Mr. El Hadj Gley, explique qu'il s'agissit “de booster la coopération entre la Tunisie et Microsoft International dans le domaine des TIC et surtout dans les domaines relatifs à la mise en place du réseau de l'administration électronique”12. Il souligne que le projet permettra, notamment à travers un Microsoft Innovation Center de développer une industrie logicielle à l'échelle nationale et à favoriser le partenariat entre le secteur privé, l'université, et les pépinières d'entreprises actives dans le secteur des TIC.
A ceux qui s'interrogeront sur l'opération13 en faisant remarquer que la Tunisie ayant fait le choix il y a quelques annéees du logiciel libre au point de créer un “Secretariat d'Etat d'Informatique, de l'Internet et des Logiciels Libres”, il y aurait une sorte de contradiction dans l'accord avec Microsoft; il sera répondu par l'argumentaire classique de la stratégie de l'alliance du libre et du commercial, de la cohabitation nécessaire des technologies, de la complémentarité harmonieuse, etc...Nous avons pris l'exemple tunisien mais qui dans nos pays n'est pas confronté à des situations similaires?
Le phénomène est parfaitement banal. Il n'en est pas moins révélateur d'une vérité incontournable: celle de la dépendance technologique et des inévitables vulnérabilités qui en découlent14.Et ceci tant sur la fourniture du software et du hardware, qu'au niveau de la formation des personnels à quelque degré que ce soit... Et ce n'est pas le fait, par exemple, que Microsoft ou IBM proposent de “donner accès aux codes sources des principaux produits Microsoft...ou la mise en place d'un centre d'excellence pour le développement d'une industrie locale du logiciel”15, qui
10 http://www.septi.gov.ma/Fiche_pdf/veille/OUVERTURE-Egov_2.pdf 11 “Le projet pluriannuel e-gouvernement du Service Bus (GSG) propose l'infrastructure de communication et de
sécurité de base pour le programme Yasser dont l'objectif est de moderniser tous les services gouvernementaux du royaume”. http//www.boursier.com/vals/US/ibm-aide-l-arabie-saoudite-a-ameliorer-son -administration-news-336181.htm
12 Http://www.tunisiait.com/article.php?article=3745 13 Http://maghrebinfo.actu-monde.com/archives/article304.html 14 Ainsi que le rappelle Georg C.F. Greve, président de la Free Software Foundation Europe (FSFE):”dans l'univers
propriétaire, qui est toujours la norme dans de nombreux gouvernements, un seul fournisseur est capable de livrer le logiciel capabe de lire et traiter les données. Donc dans les faits, la plupart des administrations publiques et des procédures gouvernementales dépendent de logiciels contrôlés par un seul fournisseur sur lequel le gouvernement n'a aucune prise”. http://fsfe.org/projects/igf/sovsoft.fr.html , p.9.
15 Http://www.soussi.org/faouzi.htm
5
lèvera cette dépendance et fera que l'accord mis en place soit “gagnant-gagnant”.
Le fournisseur, sur le plan technologique gardant la maitrise totale de celle-ci, restera toujours en mesure d'en contôler l'utilisation sous toutes ses formes. Il pourra imposer, sous peine d'inefficacité provocable, des modifications d'abonnements, de hausses de tarifs, des nécessités de formations complementaires, des changements de logiciels, pour ce qui est du plus bénin.
Il pourra aussi, le cas échéant, fournir aux services publics de son Etat, l'accès aux données des services, des entreprises, des circuits d'information d'un Etat étranger qu'il a équipé. Le logiciel espion, la back door préinstallée sur des ordinateurs16 ne sont pas uniquement des concepts fantasmatiques utilisés par les hachers et la police. A l'extrème, le fournisseur d'un Etat sera aussi en mesure de le rendre sourd, aveugle et impuissant.
La souveraineté numérique, la souveraineté technologique seront les moyens évoqués par ceux qui craignent les effets néfastes de cette dépendance pour apporter une réponse à un risque que nous courrons tous. Il s'agira alors au niveau national de garantir la maitrise de ses réseaux et systèmes d'information par des moyens techniques, poltiques et organisationnels. La création en France, le 7 juillet 200917 de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI)18 est une traduction de cette demande.
Le discours lénifiant à usage marketing est souvent bien loin de ce que doivent être les préoccupation fondamentales du service public, de la sécurité de l'Etat au sens premier du terme. La nouvelle technologie du “cloud computing” peut nous en fournit un exemple.
b) Les risques du “cloud computing”.
Le “Cloud computing”, l'informatique dans le nuage (ou dans les nuages, selon l'office quebecois de la langue française)19, est un concept qui, ainsi que l'évoque Guillaume Serries “ fait référence à l'utilisation de la mémoire et des capacités de calcul des ordinateurs et des serveurs répartis dans le monde entier, et liés par un réseau, tel internet. Les utilisateurs du nuage pourraient alors disposer d'une puissance informatique considérable et modulable”20.
Dans cette nouvelle configuration , les entreprises, externalisent les ressources numériques qu'elles stockaient dans les serveurs de sociétés tierces mettant à leur disposition des capacités de calcul, du stockage21, des logiciels de messagerie électronique, qui seraient accessibles grace à un système d'identification, via un PC et une connexion à internet.
Il s'agit, selon le livre blanc de la SOGETI 22 “d'une informatique distribuée où les echanges sont gérés et centralisés par des serveurs distants, les applications étant stockées non plus sur le poste de travail, mais sur un “nuage” (cloud) de serveurs, accédées par une connexion Internet et
16 Cf. http://www.securityvibes.com/brador-pda-acz-news-275.html ;http://www.securityvibes.com/hp-portable-activex-faille-hpinfodd-acz-news-877.html ;
17 Décret n° 834 du 7/7/2009 ,http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000020828212&dateTexte=
18 http://www.ssi.gouv.fr/site_article17.html 19 Http://www.oqlf.gouv.qc.ca/ressources/gdt.htm 20 “Le cloud computing, l'informatique de demain?”, http://www.journaldu net.com/imprimer/solutions/systeme-reseau21 = Hardware as a service
(HaaS).http://www.google.fr/webhp?hl=fr&tab=iw#hl=fr&source=hp&q=SOGETI%2C+Livre+blanc+cloud&btnG=Recherche+Google&meta=&aq=f&oq=SOGETI%2C+Livre+blanc+cloud&fp=2da48a14dbd324b8
22 Livre blanc “ Cloud Computing”, mars 2009,p.3.
6
un navigateur web”. Comme le souligne Cecile Ducoutrieux23:”L'intérêt du “cloud est évident. Au lieu d'acheter des services et des logiciels, qui ne sont pas utilisés à 100%, les entreprises les louent et ne peient que pour l'usage qu'elles en font24. Elles peuvent aussi, en quelques minutes accéder à des capacités de stockage et de calcul supplémentaires, auxquelles elles n'auraient, dans le cas des PME, jamais pu prétendre”. La mutualisation du matériel25 permettrait ainsi d'optimiser les coûts par rapport aux systèmes conventionnels et d'accélérer la vitesse de développement des applications partagées.
L' étude qui en a été faite faites par le Journal du Net26 montre ainsi que: “Amazon a été une des premières entreprises à proposer par l'intermédiaire de ses outils S3 (Simple Storage Service) et EC2 (Elastic Compute Cloud) du stockage et de la puissance de calcul tirée de son infrastructure informatique pour des clients. Le journal le New York Times est par ailleurs client d'Amazon et utilise le S3 pour ses archives en ligne.27
“Google est le grand champion du cloud computing. L'entreprise a débuté ses activités dans ce domaine avec le projet Google 101, et ce de manière à créer un réseau entre des universités à des fins de recherche. Aujourd'hui, le projet de cloud computing, réalisé en partenariat avec IBM, tend à créer des centres de calculs, appelés clusters, d'une puissance jamais atteinte jusqu'alors..28
“IBM, dans le cadre de son programme Blue Cloud annoncé en novembre 2007, est en train d'ouvrir des centres continentaux de cloud computing (celui pour l'Europe est basé à Dublin en Irlande). Trois centres existent aux Etats-Unis, un autre est également installé en Chine et un second est en préparation.
“D'autres devraient prochainement être réalisés au Brésil, en Afrique du Sud, en Inde, dans la péninsule arabique, au Vietnam et en Corée. Il s'agit en fait d'immenses centres de données, que l'on appelle aussi data fields, à destination d'utilisateurs extérieurs à l'entreprise, qui seront facturés sur l'usage des ressources informatiques mises à leur disposition.
“Et certaines grosses entreprises du monde de l'informatique se sont décidées à sauter le pas. Sun Microsystem vient d'annoncer que d'ici à 2015, l'ensemble des centres de calcul de l'entreprise seront virtualisés chez des tiers dans le cadre d'un cloud.
“D'autres acteurs, tels EMC Corporation, acteur des logiciels d'infrastructure, s'engagent dans des stratégies de rachat et de croissance externalisée pour mettre au point des offres de cloud computing. EMC vient par exemple de racheter Pi Corporation, un jeune éditeur de solutions de gestion d'informations personnelles en ligne, basé à Seattle.”
Ce concept, qualifié, par les uns, de révolutionnaire, de produit marketing par les autres29, est censé induire un changement complet de modèle économique (location contre vente de logiciels et
23 “ Le “cloud computing” bouscule l'informatique”, Le Monde, 25 août 2009.24 = Software as a service (SaaS): les applications sont consommées et payées à la demande et non plus acquises par
l'achat de licences.25 L'association du HaaS et du SaaS donne le Platform as a service (PaaS) qui permet à la fois la fourniture d'une
puissance informatique et de diverses applications permettant aux entreprises de creer une structure informatique personnalisée.
26 http://www.journaldunet.com/solutions/systemes-reseaux/analyse/le-cloud-computing-l-informatique-de- demain.shtml
27 Amazon revendique 94 millions de clients à son offre “cloud”(cf. Cecile Ducoutrieux, op. Cit. “Le Monde” du 25/8/2009).
28 Selon Google, environ 3000 PME adoptent chaque jour les services de Google Apps (cf. Cecile Ducoutrieux, op. Cit. “Le Monde” du 25/8/2009).
29 http://marie.bruno.free.fr/index.php/le-cloud-computing-revolution-ou-simple-effet-marketing/
7
de matériels). Sera-t-il la panacée qui mettra demain l'informatique à la portée de toutes les bourses et offrira des possibilités considérables de calcul et de stockage mutualisé ou, sous prétexte de modernisation incontournable, nous mettra-t-il à la merci de nouveaux prédateurs?
Le problème de la sécurité des données dans le “cloud” n'est pas dissociable du concept lui même. Sécurité des données stockées chez un tiers; sécurité des données liée à la nature juridique qui leur sera reconnue sur le territoire où à un moment donné le serveur d' hébergement sera positionné.
En dehors de ce que l'on peut qualifier d'incidents de fonctionnements dont on pourra donner quelques exemples ( panne du service de messagerie de Google-Gmail laissant plusieurs millions d'utilisateurs en plan, défaillance du service Google docs, extinction de la beta de Windows Azure pendant une journée entière30, que d'aucuns attribuent selon le cas au rodage des systèmes et à une irréductible marge de défaillance31, les véritables questions porteront sur la sécurité des données.
Certains problèmes de sécurité seront liés à l'externalisation de l'informatique elle même hors de l'entreprise et au désaisissement de ce qui jusqu'alors était géré en interne (= la revanche des DSI?):
– Confidentialité des données une fois externalisées. Qui disposera des accès administrateurs? Quels seront les recours en cas de faille de sécurité? Droit applicable?
– Intégrité des données externalisées et risques d'altération? Responsabilité? Cécile Ducourtieux, dans le Monde32 évoquant le piratage de données confidentielles se rapportant aux affaires de Twitter hébergées par les services de Google Apps33 pose la question des données stratégiques des entreprises dès lors qu'elles sont stockées par une société tierce. Là encore se pose la question du porteur de la responsabilité et du droit applicable.
Par ailleurs, ainsi que le rappelle le Gartner Group si l'utilisation de sites de stockage multiples fait partie des points forts du “cloud computing”, il en constitue aussi le point faible.
En effet, écrit-il “la dématerialisation touche à ses limites lorsque l'on s'intéresse au lieu où se trouve implanté un site de stockage. Les donnéees qu'il contient relèvent alors du régime juridique local. Autant savoir sous quel cadre réglementaire peuvent se trouver ses données”34.
Comment par exemple pourra-t-on faire appliquer les règles relatives à la protection des données personnelles? Un prestataire américain sera-t-l assujetti à la loi de 1978 “Informatique et libertés”? Comment s'assurer, par exemple que Google, comme il l'affirme, si ses clients l'exigent hebergera bien les données confiées sur un site en France.35
Par ailleurs, souligne François Lambel36:”Une architecture en “cloud computing” ne doit pas 30 Exemples cités pat David-Julien Rahmil, in “Le risque du Cloud Computing”http://windowsitpro.itpro.fr/Dossiers-
par-Theme/2009/3/31/050503543-Les-risques-du-Cloud-Computing.htm 31 Google rappelant que son taux de disponibilité est de 99,9%.32 http://abonnes.lemonde.fr/technologies/article/2009/08/24/le-cloud-computing-bouscule-l-
informatique_1231357_651865.html 33 http://securite.reseaux-telecoms.net/actualites/lire-piratage-des-google-apps-utilisees-par-l-equipe-de-twitter-
20541.html 34 http://www.gartner.com/technology/home.jsp ; citébpar Réseaux-Télécom.net,http://securite.reseaux-
telecoms.net/actualites/lire-les-sept-risques-du--cloud-computing-18483.html 35 Cité par SOGETI, Livre blanc Cloud Computing, mars 2009,p.19.36 http://securite.reseaux-telecoms.net/actualites/lire-les-sept-risques-du--cloud-computing-18483.html
8
empêcher de répondre aux injonctions de la justice, que ce soit pour des raisons fiscales ou d'ordre juridique. La tracabilité de l'accès aux données, en particulier, peut être une gageure pour le fournisseur. Un accord contractuel voire, dans l'idéal, la démonstration qu'il a été répondu facilement aux demandes lors d'une précédente enquête, s'imposent”.
Ces interrogations prendront une dimension encore plus alarmante en période de crise, dans la mesure où l'utilisateur-dépendant de technologies étrangères et d'une informatique distribuée se trouvera de facto a merci et sera obligé d'en venir à rescipicence. Il suffira de “fermer le robinet” de distribution!
Pour certains l'arme pourra aussi être à double tranchant. Cela pourra être le fait, par exemple, de certains gouvernements ayant recours à cette fin à l'aide de grandes entreprises étrangères(censures37). Le logiciel Smartfilter, fabriqué par une société américaine de Silicon Valley, Secure Computing, permet le filtrage de l'Internet en Arabie saoudite, au Soudan, au Sultanat d'Oman, aux Emirats Arabes Unis. Mais précisément le logiciel est dans la main des Etats-Unis.
A l'extrème, cela pourra être également la possibilité qu'auront les Etats-Unis de couper les serveurs racines qui sont principalement sur le sol américain. Que resterait-il alors de l'informatique, de l'e-administration, de la gestion des banques, des assurancesn des entreprises, du traffic aérien, féroviaire etc...de la plupart des pays. La réponse est simple: rien. Ce risque sera naturellement plus grand en période de crise politique majeure.
B- La vulnérabilité en période de crise.
Partant du principe qui veut que “qui peut le plus peut le moins”, il suffira d'évoquer quelques exemples pour mesurer la vulnérabilité de ceux qui ne sont qu'utilisateurs des technologies informatiques.
De l'invocation des risques de “guerres cybernétiques”, à la volonté d'écarter un concurrent sur un marché important, de nombreuses failles pourront être exploitées par ceux qui aurons la maitrise de l'accès aux serveurs, aux codes sources, aux données.
Dans certaines circonstances: conflits, lutte contre le terrorisme, poursuites pénales...ces interventions pourront être considérées comme parfaitement légales. Les exigences de la loi territoriale des Etats où se trouverons serveurs, et les données de tout genre qui y sont hébergées, les mettront d'autant plus à la merci de cet Etat qu'il seront les titulaires, voire les concepteurs, des technologies sur lesquelles reposent nos sociétés numérisées.
“Pearl Harbor électronique”,”11 septembre numérique”, “cybergeddon”, “guerre cybernétique”, nombreux sont les médias à évoquer ces concepts et à s'interroger sur les entreprises menés par les Etats en ce domaine.
L'Estonie, pays pionnier en matière d'internet, a été le premier pays de l'OTAN touché par de
37 Yahoo et Microsoft (MSN) ont signé un “pacte d'autodiscipline” avec la Chine à travers lequel ils s'engagent à ne pas diffuser des “messages illégaux et erronés” et à “protéger les intérêts de l'Etat et du public chinois”. Ce pacte encourage aussi les hébergeurs à identifier les blogueurs. Cf. “Le Monde”29/août 2007,p.22.
9
telles attaques. Entre avril et mai 2007 les réseaux informatiques des banques38 , des ministères, des administrations et des partis politiques du pays ont ainsi essuyé durant trois semaines une intense offensive électronique. L'Etat balte s'est retrouvé à certains moments presque totalement “déconnecté”. Ainsi que l'évoquait le Spiegel39:”à l'époque, l'Estonie était en pleine crise diplomatique avec la Russie voisine, si bien que ses dirigeants ont suspectés Moscou d'orchestrer ces offensives”.
On évoquera la même “patte” dans l'offensive cybernétique contre la Georgie, moins informatisée que l'Estonie, en août 2008 et dont l'impact a été beaucoup moins inportant40.
La Chine s'est également vue montrer du doigt, depuis 2007, à l'occasion de tentativesd'intrusions menées contre les Etats-Unis41, l'Allemagne42, la France43, la Nouvelle Zélande44, susceptibles de préluder à de plus importantes entreprises.
Ainsi que l'a déclaré , début 2009, Shawn Henry, directeur adjoint de la division informatique du FBI:”la menace qui pèse sur notre infrastructure, nos services de renseignement et nos systèmes informatiques est immense”45. Lorsque les représentant du FBI disent cela, que doivent dire les représentants des Etats où tout ce qui est important est lié, voire contrôlé par les ordinateurs et logiciels qu'ils ont importés et dont ils ne maitrisent ni les codes sources ni la technologie sur lesquels ils reposent. Dans le jeu d'echec stratégique qui oppose les grandes puissances, les Etats-Unis, la Chine, la Russie, l'Allemagne, la France, tendent à mettre en place des stratégies de protection. Mais avec quelle éfficacité? Et qu'en est-il pour ceux qui n'en ont pas les moyens?
En allant plus loin, qu'adviendra-t-il, alors, si à cette vulnérabilité sécuritaire doit être ajouté le fait, amplificateur du désastre annoncé , d'une privatisation antérieure des systèmes de surveillance et de la sécurité étatique? Une deuxième forme d'externalisation s'ajoutant à celle que nous venons d'évoquer ajouterait-elle un second niveau de vulnérabilité de la souveraineté nationale.
II- Privatisation de la sécurité et surveillance dans la société numérisée.
38 Le 10 mai, Hansapank; le 15 et 16 mai SEBEesti Uhispank (Le Monde du 28 juin 2007), alors que 99% des transactions bancaires se font en Estonie par Internet.
39 Repris par Courrier International n°957, du 5 mars 2009, p.38.40 Cf. art. Isabelle Mandraud: “Internet, l'autre champ de bataille russo-georgien”, Le Monde, 16 septembre 2008.41 Le bureau de l'industrie et de la sécurité (BIS) du département américain du commerce (DoC) a été victime d’une attaque massive de pirates qui ont utilisé des serveurs installés en Chine. Les hackers auraient tenté de voler des données sensibles sur le réseau de l'agence gouvernementale. Le BIS est chargé de l’exportation de technologies américaines de pointe civiles et militaires. Son objectif principal est de préserver la sécurité nationale, la politique étrangère et les intérêts économiques des États-Unis.http://cyberpolice.over-blog.com/article-4118639.html
42 En 2006 l'Office Fédéral de protection de la Constitution a informé le gouvernement Allemmand que des serveurs informatiques de la province de Lanzhou avaient attaqué les réseaux informatiques de plusieurs ministères et celui de la chancellerie fédérale au moyen de logiciels malveillants conçus pour récupérer des informations sensibles. Der Spieegel repris par Courrier International n°957 du 5 mars 2009, p.38.
43 Selon GNT ces attaques qui ont eu lieues en septembre 2008 ” ont visé le ministère des Affaires étrangères, et plus particulièrement les diplomates en poste en ambassade. " Ces attaques se présentaient sous la forme de messages anodins, en relation avec l'actualité ou les centres d'intérêt des destinataires. La pièce jointe était susceptible d'installer sur l'ordinateur visé un programme forgé spécifiquement, et donc non détectable par les protections habituelles, dans un but de récupération et de transfert des informations vers un serveur étranger ". Le rapport laisse entendre que ces attaques ont été l'oeuvre de groupes organisés et peut-être de services de renseignement chinois, même si l'Empire du Milieu a démenti toute implication, se disant également victime de telles attaques”. http://www.generation-nt.com/defense-cyberattaque-chine-france-actualite-120101.html
44 Cf. Le Monde, 5 octobre 2007, p.3.45 Cf. Le Monde.fr, 7 janvier 2009.
10
“Laissez faire par les autres ce que vous ne savez pas faire”. Cette philosophie, que l'on expose dans l'argumentaire en faveur de l'externalisation des fournitures informatiques, se retrouvera totalement dans la présentation de l'externalisation de la surveillance et la mise en oeuvre des technologies de la sécurité dans la société numérisée. Les conséquences de leur mise en oeuvreseront du même ordre mais à une echelle qui pourra être considérable. Le prestataire, dans la mise en oeuvre des services externalisés, outre la mairise technologique, sera en mesure d'entrer en possession des données et de contrôler le service public externalisé lui même46.
Il s'agit alors de mesurer ici les effets convergents que peut avoir la combinaison:
– du discours libéral sur l'externalisation nécessaire des services publics de l'Etat et de son recentrage sur ce qui serait son “coeur de métier”;
– et de la réduction au coeur même de ce “coeur de métier”, de sa souveraineté qui conduira, au nom de la lutte contre le terrorisme par exemple, à confier au secteur privé des prestations qui relèveront du secteur régalien de l'Etat.
Combinées aux risques de dépendance et de vulnérabilité, que nous avons évoqués dans la première partie de cet article, ces circonstances nous amènent à penser qu'elles font courrir un risque majeurs aux Etats qui s'en remetteraient trop facilement aux solutions techniques d'externalisations à première vue avantageuses. Naturellement ce processus et le rytme de sa mise en place sera variable selon les pays concernés.
A- La privatisation de la sécurité.
Dans son éditorial du journal Libération du 28 mars 2009, Laurent Joffrin écrivait « Big Brother a été privatisé...Encore faut-il que l'Etat de droit s'applique. L'enfer moderne, c'est la transparence. Nous ne pouvons vivre sous l'oeil des barabares, seraient-ils branchés, technologiques et interactifs. La philosophie des Lumières en actes doit ménager aux peuples une part d'obscurité. Il faut donc combattre avec énergie les dérapages des nouveaux Big Brothers. Par la vigilance et par la loi, nous devons conserver la liberté de vivre sans laisser de traces ».47 Comme dans une composition en abîme l'enjeu sera de savoir ( et avec quels pouvoirs) qui observe et qui est en mesure de contrôler celui qui observe.
Dans le domaine qui nous préoccupe, l'après 11 septembre 2001, la montée du terrorisme, de l'insécurité, de la petite délinquance ont donné une vigueur nouvelle au phénomène d'externalisation dont les arguments de promotion tenaient jusqu'alors aux possibilités de contournement des restrictions budgétaires et à un savoir faire présumé bien meilleur que celui de l'Etat48.
Aux Etatx-Unis, les forces de police ont été ainsi amenées à abandonner certaines de leurs missions au profit du secteur privé. Le même phénomène tend, bien que dans un contexte institutionnel différent, à se développer en France et en Europe. Selon un cheminement classique on
46 Cf. effet d'une grève du personnel d'un service de contrôle aérien externalisé par exemple.47 “Libération », 28 mars 2009, p.2.48 Cf. J.J Lavenue:”PPP, service public, rôle et réforme de l'Etat:...” http://droit.univ-
lille2.fr/fileadmin/user_upload/enseignants/lavenue/PPP_service_public.pdf
11
observera alors qu'il passera, dans un premier temps, par un processus de délégation de service public, y compris dans le champ des activités régaliennes, puis, dans un deuxième temps à ce que l'on peut analyser comme une véritable répartition des compétences sur un “marché de la sécurité” au nom, par exemple, d'une “complémentarité” entre police étatique et police privée49.
Le processus d'externalisation commencera ainsi par les services périphériques (logistique, instruction, formation, entretien d'infrastructures, parc immobilier, intendance). Ils pourront s'étendre progressivement aux missions régaliennes jusqu'à ce que l'on se pose la question, ainsi que le fait Jean Marguin50:”les grands industriels de l'armement et des services sauront-ils en association avec les banques d'affaires, proposer aux Etats des solutions clés en main fiables et moralement acceptables pour les décharger de lourds investissements et de tâches “périphériques”? Seront-ils assez réactifs pour ne pas être distancés par leurs concurrents anglo-saxons qui, pour certains d'entre eux, sont déja en place”. Dans le domaine de la sécurité, si l' on distingue les activités à base d'intervention humaine (surveillance et gardiennage, télé-surveillance, vidéo-surveillance) de celles qui relèvent de l'ingénierie et de production de matériels de sécurité (sécurité informatique, systèmes de contrôle d'accès), les zônes de franchissement possibles de la frontière des pouvoirs régaliens sont nombreuses. Surveillance des espaces publics, des gares et aéroports, des communication, des prisons.
Les transports publics, la SNCF et la RATP par exemple développent en interne des forces de sécurité importantes pour lutter contre la fraude et l'insécurité dans les trains. Ils mettent également en place des systèmes de vidéosurveillance, de télé surveillance, d'audio surveillance51. Le projet de loi dit LOPPSI 2 52, qui sera examiné d'ici la fin de 2009, prévoit dans ses articles 17 et 18 d'étendre les finalités pour lesquelles il peut être recourru à la videoprotection, de permettre aux personnes privées d'installer des systèmes de vidéoprotection filmant ,otamment les abords de leurs batiments se situant sur l'espace public et d'envisager des délégations de compétences à des partenaires privés.53
Le développement des technologies de l'”intelligence ambiante “ permet d'envisager des systèmes complexes de surveillance d'ensembles immobiliers, de lieux de communications pouvant être gérés par des sociétés de surveillance et de maintenance.
S'agit-il d'atteintes aux libertés publiques, à la vie privée, aux pouvoirs régaliens de l'Etat? Pour la France, la réponse sera :”pas encore”. Mais l'évolution se dessine et l'on peut se demander si le modèle d'évolution anglo saxon sera évitable dans un contexte de crise grave ou de résurgence d'actes terroristes? Que deviendront alors les données collectées par des partenaires externalisés? Quels seront les pouvoir de contrôle des organes de l'Etat, des particuliers, des juridictions? Les déclarations faites par les partisans d'une redéfinition a minima du rôle de l'Etat montrent que ce
49 A terme la privatisation de la violence pourra être considérée soit comme l'annonce de la fin de l'Etat républicain, soit du retour aux formes les plus anciennes de la monarchie et l'emploi qu'elle faisait des “Grandes Compagnies”, des régiments Allemands, Ecossais, Irlandais et Suisses sous contrats des différents monarques. http://guyrenaud.free.fr/monarchie_etrangers.htm 50 Cf. “La privatisation des forces armées: une évolution ineluctable?”? Fondation pour la recherche
stratégique.http://www.euro92.com/acrob/marguin.pdf , p.10 51 En France 60 000 cameras surveilleront les rues d'ici à 2011, contre 20 000 aujourd'hui (+ 280 000 dans les banques
et commerces et 50 000 dans les transports). Au Royaume Uni 4 millions de caméras, dont 400 000 à Londres. Cf. Le Monde Magazine, 26 septembre 2009, p.14.
52 Loi d'Orientation et de programmation pour la performance de la sécurité intérieure.53 Cf. Le Monde, 25 juillet 2009; projet LOPPSI 2 http://www.assemblee-nationale.fr/13/projets/pl1697.asp
12
type d'évolution n'est pas à exclure.
Dans une étude de la Fondation pour l'innovation politique, think thank libéral créé par l'UMP, le Pr. Frédéric Rouvillois54 montre ainsi que si, en France, la “police ne se délègue pas”55, (encore), ”Cependant, l'attitude consistant à s'arc-bouter désespérément sur ces positions s'avère en pratique de moins en moins tenable, y compris en matière d'ordre public-la puissance publique ne suffisant plus à une tâche de plus en plus lourde et complexe (du fait de la diversification des modes de délinquance), mais aussi de plus en plus pressante, en raison du niveau d'exigence grandissant des citoyens en matière de sécurité. Face à un droit positif en décalage croissant avec les besoins des citoyens et de la Cité, vont donc apparaître des pratiques audacieuses, tendant à envisager une participation, voire à externaliser des missions se situant aux marges du régalien- et pratiquement indispensable à son accomplissement”56.
L'adjectif “audacieuses” précisément peut susciter une certaine réserve dans un contexte ou déjà l'externalisation se manifeste dans le champ du pouvoir régalien . Qu'il s'agisse de la police, des prisons, de la défense ou de la fiscalité entre autres.
Le domaine de l'exécution des peines est également un secteur dans lequel sera perceptible l'évolution annoncée. La mise en place de la gestion mixte puis privée, et de la surveillance électronique en sont deux exemples.
L'administration pénitentiaire pour des raisons d'urgences liées à la surpopulation carcérale et au retard considérable pris par l'Etat en matière de gestion de l'incarcération a été l'un des premiers services de l'Etat à s'engager dans une démarche de partenariat avec le secteur privé. Pour autant elle n'a pas été aussi loin que le souhaitait à l'origine celui que l'on peut considérer comme l'initiateur de cette réforme: le ministre de la justice Alain Chalandon.
Le texte de l'article 1er du projet de loi qui fut déposé sur le bureau du Sénat , le 19 novembre 1986, illustre en effet une ambition qui n' a pas été atteinte par ses successeurs. La dernière ayant été Rachida Dati qui le présenta comme son mentor.
L'article premier du projet de 1986 disposait:” Le service public pénitentiaire est assuré parl'Etat. Celui-ci peut, dans les conditions prévues par la présente loi, confier à des personnes morales de droit public et privé habilitées à cet effet l'exécution de tout ou partie des prestations permettant d'assurer cette mission. Ces prestations peuvent comprendre la conception, la construction, le financement, l'aménagement et la prise en charge du fonctionnement courant des établissements pénitentiaires, ainsi que la garde et la détention des personnes incarcérées”..
Les rétiscences soulevées par le projet initial eurent pour conséquence une rédaction plus édulcorée de la loi de juin 198757. La dernière séquence relative à “la garde et la détention” disparaissant notamment. L'idée de la supériorité des modes de gestion privé subsistant néanmoins plusieurs projets de partenariats furent développés à la suite de la loi de 87. Sur 188 établissements de détention, le rapport de la Cour des comptes de 2007 établissait à 14,4% des établissements (27) hébergeant 25% des personnes incarcérés la part de la gestion mixte utilisée par l'administration
54 F. Rouvillois:”L'externalisation ou comment recentrer l'Etat sur ses compétences essentielles” 55 “Dès lors qu'elle s'exerce sur la voie publique, une activité de surveillance ou de télésurveillance ne peut faire
l'objet d'aucune délégation, et doit être prise directement en charge par l'autorité de police municipale”.TA Nice SA VigitelC/Commune de Fréjus, 22 décembre 2006, AJDA, 27 juillet 2007, conclusions F. Dieu
56 Op. cit. p.16.57 Loi n°87-432 du 22 juin 1987,
http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006071199&dateTexte=20091012 Evoqué
13
pénitentiaire dans des Etablissements pénitentiaires a gestion déléguée (EPGD)58.
C'est aux Etats-Unis que l'on retrouvera le plus grand nombre de prisons appartenant à des entreprises privées, construites et gérées par celles-ci. On en trouve également au Royaume-Uni, en Allemagne, en Australie et au Canada. La question que l'on pourra se poser sera celle de savoir jusqu'où pourra aller cette privatisation. Des employers du secteur privé peuvent-ils y être autorisés à employer la force? Jusqu'à quel point? Peuvent-ils emettre des avis concernant les libérations conditionnelles ou appliquer des mesures disciplinaires qui pourraient affecter les possibilités de libération?
La mise en oeuvre de la surveillance par “bracelet electronique” constitue un autre domaine où pourra s'exercer le partenariat public privé entre l'administration et le secteur privé. Ainsi que le rappelle le rapport de la Cour des Comptes , évoqué officiellement pour la première fois en 1989, le placement sous surveillance électronique (PSE) a été consacré comme modalité d’exécution des peines privatives de liberté huit ans plus tard par la loi n° 97–1159 du 19 décembre 1997. Pour préciser les modalités de sa mise en oeuvre, un décret d’application n’est intervenu que le 13 avril 2002, soit après un délai de cinq ans. En outre, l’autorisation, donnée par la loi du 15 juin 2000 sur la présomption d’innocence, d’utiliser le PSE à la place de la détention provisoire a été supprimée par la loi d’orientation et de programmation n° 2002-113 du 9 septembre 2002 (LOPJ), qui en a fait une modalité d’exécution du contrôle judiciaire.
Cette loi, dont le décret d’application est paru le 17 mars 2004, prévoyait, en outre, la généralisation du dispositif pour parvenir, à échéance de 5 ans, au placement de 3 000 personnes sous surveillance électronique59.
Le Conseil d'Etat ayant refusé que la pose et la dépose des bracelets soient confiés à un prestataire privé60, à l'heure actuelle l'externalisation se limite à la location et à la maintenance du matériel. Mais un contrat devrait être prochainement passé par le ministère de la justice pour confier ue partie de la surveillance et du suivi informatique au prestataire.
Aujourd’hui, treize centres de surveillance sont en fonctionnement et le PSE peut intervenir dans l’ensemble des directions régionales. Pour rationaliser sa démarche, l’administration pénitentiaire aenvisagé la passation d’un marché national afin de couvrir les besoins de l’ensemble des sites. Mais ce marché n’a pas été conclu et les directions régionales ont dû continuer à s’approvisionner localement auprès des fournisseurs qu’elles avaient elles-mêmes sélectionnés. En 2003 et 2004,l’ensemble des marchés passés par les directions régionales a représenté un montant total de, respectivement, 0,9 M€ et 2 M€. Au 31 décembre 2004 le nombre de placements sous surveillance électronique accordé depuis le débute de l'expériementation était de 4361 sur l'ensemble du territoire, et pour un parc de bracelets disponibles de 1495 bracelets, seuls 714 étaient utilisés.61
58 Dans le système français la délégation de gestion de certaines fonctions à des entreprises privées n'est pas considérée comme une privatisation.
59 Le PSE est actuellement géré par la seule administration pénitentiaire qui a commencé à le mettre en oeuvre à partir de 2000.S’inspirant d’exemples étrangers, elle a défini les modalités techniques du dispositif et décidé de recourir à une expérimentation sur quatre sites pilotes volontaires : Agen, Aix en Provence, Grenoble et Lille. Chacun d’entre eux a choisi les logiciels et les appareils de surveillance lui paraissant les mieux adaptés localement et a déterminé ses propres procédures. C’est également de manière dispersée que les quatre directions régionales concernées ont signé les marchés publics nécessaires pour disposer des équipements informatiques et des appareils de surveillance requis. L’éclatement de la démarche n’a pas été remis en cause lorsque l’expérimentation a été étendue à cinq nouveaux sites (Angers, Béziers, Colmar, Dijon et Osny-Pontoise) en novembre 2001. Rapport de la Cour des Comptes, p. 102. http://www.ccomptes.fr/fr/CC/documents/RPT/RapportGestionPrisons2.pdf 60 Art. R57-19 du Code de Procédure Pénale.61 Rapport de la Cour desComptes, p. 102 et
14
On observera enfin que lee domaine de la défense, domaine régalien par essence et expression d'une souveraineté détentrice exclusive du monopole de la violence légitime, est celui qui a subi la plus forte évolution. L'abandon du service militaire obligatoire62, l'externalisation de certaines activités ont fait qu'ainsi que l'écrit Ramu de Bellescize63,”des activités précédemment considérées comme typiquement régaliennes ont pu...recevoir un statut hybride, à la fois public et privé, et civil et militaire, sans que ce boulversement ait suscité une réelle opposition”.
Historiquement, en France, l'externalisation dans le domaine de la défense va apparaitre comme le corollaire de la professionalisation de l'armée à partir de la fin des années 1990. L'une des question qui se posera sera de savoir si l'on risque de passer de l'externalisation des prestations périphériques à une privatisation de la défense elle même?
L'expérience irackienne des affaires liées à Halliburton64 et à Blackwater (devenue Xe)65 sont là pour nous montrer comment le cheminement peut s'opérer.
Les Société militaires privées (SMP)66, le Mercenariat Entrepreneurial67 nous annoncent ils l'avenir de la privatisation du monopole de la violence légitime et du pouvoir régalien?
Odoacre est-il en route? La souveraineté à l'encan nous annoncera-t-elle l'arrivée de ces barbares, dont parlait Laurent Joffrin, dans des Etats en pleine décadence? La réponse à ces question sera liée à la fiabilité du ou des partenaires externalisés. Or à ce niveau tout pourra dépendre des intérêts et des circonstances. Lorsque dans un spectacle le dompteur met sa tête dans la gueule du lion, on peut se demander qui est véritablement le maître du jeu. Ladépossession de l'Etat, l'effritement de la souveraineté entrainera la dépossession du citoyen.
B- La citoyenneté au risque de la privatisation des architectures technologiques mises en place par l'Etat.
Ainsi que le déclarait, en France, Alex Türk, président de la Commission Nationale Informatique et libertés (CNIL) « Si l'on accepte sans rien dire de se laisser tracer et profiler, sur le Net, dans les leux publics comme les aeroports ou cette boite de nuit en Espagne où les jeunes se font incruster des puces RFID sous la peau, si l'on laisse les bases de données et fichiers de police ou autres proliférer, le réveil sera très douloureux. Même si l'on n'a rien à cacher, toutes ces données pourront être utilisées contre vous si elles ne sont pas encadrées68. Le droit à l'oubli, à l'anonymat, au silence des puces, c'est la seule garantie d'un avenir viable.” On peut également s'interroger sur la possibilité que ces données soient récueillies par des entreprises privées, des organismes publics étrangers, et transférées dans un pays tiers?103.http://www.ccomptes.fr/fr/CC/documents/RPT/RapportGestionPrisons2.pdf 62 Loi du 28 octobre 1997.63 Ramu de Bellescize:” Les services publics constitutionnels”, LGDJ, 2005, p.184-185.64 http://www.irishtimes.com/newspaper/opinion/2009/0213/1233867934795.html 65 http://fr.wikipedia.org/wiki/Xe 66 http://www.theatrum-belli.com/archive/2009/08/25/la-problematique-des-societes-militaires-privees-de-
nouveau.html 67 http://doc-iep.univ-lyon2.fr/Ressources/Bases/Somrev/sommaire.html?ID=195 68 J.J. Lavenue & G. Beauvais :« L'externalisation de la gestion des données produites dans le cadre de
l'administration électronique: rationalisation ultralibérale ou tentative de hold-up?», Revue Terminal, n°99-100, pp.55-69, juin 2007.
15
Reprenant le propos du président de la CNIl, la question qui se pose est de savoir si un Etat dans un contexte de dépendance technologique aura encore le pouvoir d'imposer le silence aux puces en question et de s'interroger sur le fait de savoir si les puces ont une nationalité?
Lorsque Microsoft, Yahoo ou un autre groupe gére l'informatique d'un ministère, de l'Etat, ses communications, ses fichiers, lorsqu'il installe des systèmes de surveillance d'internet, du trafic routier, des aéroports; lorsqu'il gére et/ou forme les responsables informatiques de la police, des douanes, de l'armée, mais aussi des banques, des assurances, des chemins de fer, des transports aériens, des hopitaux, du service des traitements etc... peut on croire un seul instant que ces systèmes soient imperméables et étanches à ceux qui les ont conçus, installés et mis en oeuvre?
La facilité du recours à l'externalisation, au partenariat public privé, voire à la privatisation, qui peut représenter une économie immédiate et permettre une modernisation rapide de la gestion du service publique ne doit pas se faire aux dépens des capacités de contrôle de l'Etat. Or bien souvent la réduction du périmêtre de l'action de l'Etat, le conduira à supprimer jusqu'aux services de contrôle et de développement dans les domaine transférés. A l'étiolement de la compétence de l'Etat correspondra alors l'étiolement de sa souveraineté.
La disparition de l'expertise de l'Etat dans la mise en place et la gestion de certains projets, par exemple, peut avoir pour résultat une atteinte à la protection des individus, des citoyens et à la limite de l'Etat lui même. Ce sera le cas lorsque l'on verra un Gouvernement dans le cadre de la mise en place d'un projet de carte d'identité électronique, ou de passeport du même type, consulter à travers sa Direction de la Sécurité des Services Informatiques, un expert qui sera un employé de l'entreprise candidate à la réalisation du projet.
En terme de protection des données personnelles dans l'élaboration des projets mixte de recherche pour la mise au point de systèmes de surveillance (video, audio, multitechniques): on s'interrogera de même sur le discours tenu par de grandes entreprises privéees sur la nécessité de faire sauter « les verrous juridiques ». Verrous juridiques qui préciséments auront pour finalité de protéger les citoyens, de reconnaître une valeur spécifique aux données, personnelles les concernant, d'interdire le transfert automatique de données, dans des succursalles à l'étranger ou de les mettre à la merci de services pouvant un jour devenir malveillants.
Il est donc extrêmement important , et ce sera ma conclusion, que l'enthousiasme pour les nouvelles technologies soit accompagné par la pratique d' une vertu antique permettant de voir au delà même du progrès immédiat : la prudence. Après tout rappelons nous comme une Cassandre post moderne que le Cheval de Troie existe dans le monde des technologies de l'information et de la Communication, et qu'il peut conduire la cité à sa perte.
