Sur initiative de Philippe Latombe, le cyberscore adopté par les députés vendredi a été enrichi en séance. En l’état, cette version numérique du Nutriscore informera l’utilisateur de la localisation des données. Le député MoDem revient dans nos colonnes sur l’intérêt d’une telle précision.
« Il parait essentiel que les consommateurs puissent savoir où leurs données sont hébergées lorsqu’ils se connectent à une plateforme » a soutenu le député MoDem Philippe Latombe en appui de son amendement adopté contre l’avis du gouvernement.
En plus d’afficher le résultat d’un audit de sécurité réalisé par un PASSI (prestataire d'audit de la sécurité des systèmes d'information, agréé par l’ANSSI), tous les éditeurs dépassant un seuil défini par décret devront indiquer où sont hébergées les données traitées. Si du moins la mesure est confirmée en seconde lecture au Sénat.
En attendant, le député MoDem a bien voulu répondre à nos questions sur le sujet.
Pourquoi avoir insisté pour introduire le critère de la localisation des données hébergées dans le cyberscore ?
Pour trois raisons, toutes aussi importantes les unes que les autres et qui, misent bout à bout, rendent le processus indispensable et incontournable.
Premièrement, l’idée du cyberscore est d’éduquer les consommateurs pour qu’ils puissent développer des gestes barrières, des gestes réflexes, en tout cas une éducation à la protection des données. La localisation fait partie de cette éducation. Il faut que ces personnes sachent si les données sont stockées en Europe, en Chine, en Inde, aux États-Unis.
Deuxièmement, aujourd’hui une règlementation européenne nous donne une vision de la donnée personnelle différente de celle du reste du monde. Des pays s’alignent plus ou moins sur l’Europe, mais d’autres développent une approche complètement différente. Et donc, là aussi il est bon que les consommateurs Européens et donc Français sachent où sont stockées leurs données et comment elles sont traitées.
Enfin, troisièmement, je pense que dans une volonté de souveraineté, nous avons besoin de redévelopper des activités économiques en Europe. Pour cela, la localisation est un bon moyen d’avoir des data centers, et non des filières numériques, en Europe qui permettent de contrebalancer des solutions de type cloud américain.
Ces trois raisons, prises indépendamment, méritaient qu’on prenne en compte la localisation. Prises de façon coordonnée, elles rendent ce critère indispensable. D’ailleurs, il n’y a pas eu beaucoup de débats en séance. Le débat n’a eu lieu qu’avec le gouvernement.
Des données sont aussi répliquées par sécurité... faudra-t-il que Facebook, Google, et les autres affichent la liste des centres de données où sont stockées toutes ces informations ?
Techniquement, oui. Il reviendra au décret de le déterminer, mais dans l’esprit du texte que nous avons déposé, la localisation est bien celle de l’ensemble des serveurs sur lesquels il peut y avoir des réplications.
Vous le disiez, le gouvernement s’est opposé ouvertement à cet amendement. Comment avez-vous réagi ?
Il s’est opposé sur un seul critère que je n’ai pas évoqué dans l’amendement, à savoir qu’il ne faut pas confondre localisation et sécurité. On est d’accord ! la localisation ne veut pas dire sécurité. Elle permet de savoir où sont les données et quel est le régime juridique qui leur est applicable.
C’est d’ailleurs un argument que l’exécutif lui-même utilise en sens inverse quand il nous explique en matière de cloud, en prenant exemple sur Bleu ou Google Thales, qu’avec le cloud de confiance, on est sûr que les données seront localisées en Europe. Ce serait même un critère de sécurité. On ne peut pas avoir le même argument dans un sens et dans un sens inverse dès que cela nous fait plaisir !
En séance, Cédric O dénonçait en effet un mirage sécuritaire, une « sécurité illusoire »…
C’est exactement cela. Le gouvernement pense que la localisation n’est pas un critère de sécurité. C’est vrai en partie, mais d’un autre côté il ne peut utiliser cet argument-là en hémicycle, et dire l’inverse à chaque fois qu’il parle de Bleu ou Google Thalès, pour affirmer que c’est la localisation qui fait la sécurité. Il faut qu’il soit cohérent avec lui-même. Il ne l’est pas sur ce sujet, ni sur le cloud depuis le début !
On se retrouve face à une obligation franco-française, qui va s’appliquer à l’ensemble des plateformes, même hors UE. Ne faudrait-il pas élever le débat à l’échelle européenne ?
Le texte est en première lecture. Il doit repasser au Sénat. Il a encore du temps devant lui. L’idée est de voir comment le rendre européen. Pour cela, il faut que l’on montre une volonté. En l’état, il ne peut être appliqué puisqu’il n’a pas été voté dans les mêmes termes par les deux assemblées.
De même, il n’a pas été notifié à la Commission européenne…
Non, il refait une navette et ne sera notifié que si le gouvernement décide de l’inscrire à l’ordre du jour. Aujourd’hui, l’exécutif peut parfaitement décider de ne pas l’inscrire au Sénat.
Certes, le Sénat peut le reprendre pour l’inscrire, ce qui risque à mon avis d’être fait assez rapidement, mais restera ensuite à voir le texte tel qu’il va revenir à l’Assemblée nationale.
L’idée est quand même de l’intégrer dans le cadre des discussions à l’échelle européenne. Cela n’a aucun intérêt de faire un texte franco-français.
Avez-vous eu des échanges avec des acteurs privés sur ce critère de localisation ?
J’ai bossé avec pas mal de monde, dont des plateformes françaises qui trouvent que l’argument de la localisation est en plus un bon argument marketing. Un peu comme le « Made In France » ou « Produit près de chez vous ». Cela a un intérêt.
J’ai discuté par exemple Hexatrust. Le critère de la localisation ne leur pose pas de problème. Ce n’est pas LE critère spécifique de sécurité maximale, mais c’est l’un des critères.
Sauf qu’on peut très bien avoir des acteurs français qui hébergent hors de France voire hors de l'UE, et des acteurs hors UE qui hébergent en Europe voire en France…
C’est pour cela que le critère de la nationalité n’a pas été mis dans l’amendement et qu’on a préféré celui de la localisation.
Ce qui m’intéresse, c’est aussi et surtout la possibilité pour les consommateurs de savoir où sont les données, comme on peut le faire sur l’origine de la viande où il n’y a pas d’interdiction de la viande d’origine américaine ou britannique.
Tant que c’est affiché, cela me va. Nous sommes sur une proposition de loi d’éducation et de sensibilisation. Elle n’impose pas la localisation.
Mais est-ce que cela ne va pas faire doublon avec le RGPD qui prévoit déjà une obligation d’information sur l’existence d’un transfert de données vers un pays tiers à l’UE ?
C’est toujours le principe des petites lignes en bas de page. Certes, c’est marqué, sauf que personne ne les lit. L’avantage du cyberscore, et donc de la localisation, est que ce sera visible de façon rapide et simple.
Cela sera affiché en tête de gondole, avec un classement sous forme de code couleur. C’est plus simple !
Comment expliquez-vous les résistances à cette précision ? S’agit-il de raisons purement juridiques, de faisabilité technique ou de résistances stratégiques ?
Je vois deux résistances. D’une part, celle d’une administration qui ne voulait pas s’occuper de la certification et donc préférait au départ une autoévaluation. Après négociation tendue avec le gouvernement, l’exécutif a finalement accepté au dernier moment une solution de compromis, cette fameuse certification faite par tiers.
Le gouvernement avait peur que ce soit l‘État, donc l’ANSSI ou quelqu’un d’autre, qui doivent s’en charger alors que ces structures n’ont pas les moyens ou que cela allait être juste insupportable.
Je pense d’autre part qu’il y a une vraie résistance parce qu’une localisation des données affichée sur le site fait que le prestataire ne pourra plus ensuite dire ou ne pas prouver ce qu’il a fait. Si par exemple Facebook dit que les données sont localisées en Europe, l’éditeur devra derrière assumer le fait, devant les CNIL, qu’éventuellement il a menti.
Quelle serait la sanction d’un service en ligne qui affirmerait que les données sont hébergées en France alors qu’elles le sont en réalité en Californie ?
En l’état actuel du texte, il n’y a rien, puisque cela renverra à un décret. On pourrait appliquer les mêmes règles du Code de la consommation, et donc les sanctions DGCCRF qu’on trouve aujourd’hui sur la provenance de la nourriture, entre celle affichée et la réalité. La DGCCRF peut faire un contrôle et vous imposer des sanctions.
Aujourd’hui, dans une économie ouverte où on utilise tous du matériel fabriqué en Asie, la notion de souveraineté fait-elle encore sens ? Comment la définissez-vous, d’ailleurs ?
La souveraineté pour moi est la capacité à faire un choix à un moment et de conserver cette liberté de choix à tout moment. J’ai une problématique numérique, j’ai deux solutions en face de moi : une américaine qui fonctionne très bien, qui est très simple et une française ou européenne, qui n’est pas au niveau. Confronté à une urgence, je choisis l’américaine. En revanche, je veux garder en permanence ce choix et rester en capacité de pouvoir migrer vers une solution européenne si jamais je vois qu’elle est meilleure, moins chère ou plus sécurisée.
Ce choix, je dois pouvoir le faire à chaque moment, chaque instant. Le bon contre-exemple est le Health Data Hub. J’ai fait le choix de Microsoft, et je suis coincé et ne peux avoir de réversibilité du système avant 18 à 24 mois minimum. C’est trop long !
C’est ce que j’appelle la piqure d’héroïne. On commence, on est accroc et on est obligé de rester dans le système. Je pense que la pression des consommateurs qui marche bien dans le monde réel doit aussi marcher dans le monde numérique. Les consommateurs seront aussi de plus en plus intéressés à savoir où sont leurs données.
Pensez-vous qu’un héroïnomane de Facebook deviendra junky de Copains d’Avant parce qu’il saura que les données y sont hébergées en France ?
Non, si on reste sur un choix binaire entre Facebook et Copains d’Avant, car ce n’est pas du tout les mêmes niveaux de taille et de communication possible avec ses « amis ».
Oui, sur le principe, comme on l’a bien vu avec Whatsapp. Le jour où la messagerie a expliqué qu’elle allait interopérer ses données avec Facebook, il y a eu une fabuleuse migration vers Signal.
Commentaires (6)
#1
C’est un joli voeux pieux. Avec le DMA et DSA aussi, on voit bien la volonté de faire d’internet et des services qui s’y développe d’en faire un produit comme un autre comme ceux du monde physique. Quitte à y mettre des logos comme le nutriscore / cyberscore, ou autre suivant la législation du pays du client ? Le RGPD le fait déjà donc pourquoi
#2
Il était une fois, au royaume de Navarre (…)
(…) et ils eurent beaucoup de cotisation foncière des entreprises*.
*ps : même avec 5m2 de télé-travail sans quintuples points de sécurité à tous les ouvrants de la cabane.
J’aime beaucoup les récits alternatifs. Il y a de quoi alimenter notre Fediverse dont tout le monde se bidonne à toutes les pages du récit souverainiste .
#3
Merci papa !
Quelque peu hors sujet mais c’est en vogue donc …
Décidément, il est gentil papouné
A coté de cela, j’ignore ce que ça pourra donner, ça sent un peu l’usine à gaz, surtout le coté non UE qui viendrait plus tard, mais pourquoi pas tout de suite ?
#4
Ce que veulent les gens, c’est d’abord avoir un travail stable pour pouvoir bouffer et se loger, avoir un système de santé de qualité avec des médecins accessibles où vous n’êtes pas obligés d’attendre des mois pour remplacer de simples lunettes, etc En Corée du Sud, vous avez un système de santé ultra-réactif et coordonné. Où est passée l’excellence française que le monde nous enviait dans les années 80 ?
En attendant, la localisations des données, ils n’ont rien à foutre dans leur quotidien ! Encore un député qui ne doit pas mettre souvent le nez dehors entre ses deux homards quotidiens.
Quant à ceux qui ont la chance de pouvoir s’en soucier, on a vu dernièrement scaleway se retirer d’un projet de cloud souverain, miné comme il se doit pas les GAFAM. Voilà la souveraineté numérique réelle en UESS !
Bref, les branquignoles de l’assemblée, qui ont vendu leur pouvoir à l’UE en 1992, et qui viennent maintenant faire les beaux avec des délires de type “il faudrait que”, alors qu’ils sont les premiers responsables de la situation minable du numérique en France, et de l’omnipotence des GAFAM, c’est bien gentil, mais c’est surtout du pur délire ! Il va bien falloir que les français comprennent que ces gens n’ont en fait plus aucun pouvoir réel à part celui d’obéir à Bruxelles et de nous nuire avec des lois sur les mœurs toujours plus débiles. Et si ces gens avaient activé l’article 68 de la Constitution, dès les premières tortures de gilets jaunes dans nos rues, on en serait peut-être pas arrivé à la situation d’un pass nasitaire qui n’a plus rien à voir avec la santé. Mais c’est encore un autre débat !
Je rappelle que sur les 20 ans écoulés, les politiques de tous bords n’ont cessé de cracher sur les solutions et formats libres qu’on leur présentait, au nom d’une sacro-sainte libre concurrence prônée et favorisée par l’EuroReich et ses grandes régions. Ces gens ont tous continués à acheter du logiciel microsoft inutile sur étagère, comprenez : à ruiner les contribuables et à ruiner notre souveraineté, quand nos amis anglais, un an avant le vote du Brexit, retenaient officiellement les formats de LibreOffice pour leurs administrations !
J’arrête là : de Anéfé à Batman, les clowns du cirque n’ont jamais été drôles. Et Asselineau a bien raison : il faut reprendre le pouvoir qu’on nous a volé, et faire le ménage qui s’impose dans nos institutions. Tous ceux qui promettent la lune en voulant rester dans l’UE sont au mieux des menteurs, au pire des traîtres.
#5
la 1ère action que DEVRONT faire les candidats.à.la.Présidentielle
afin de pouvoir, les*, appliquer, c’est :
un Référendum Populaire pour réformer la Constitution
et qui s’imposera aux Juges des ‘CC. et du CE., sinon toutes leurs
propositions de campagne seront retoquées par ces derniers
leurs propositions
#6
Le critère de nationalité a été écarté mais il faudrait peut être un critère de droit d’accessibilité aux données par des entités étrangères. Si une entreprise est soumis au “Cloud act” américain, les données qu’elle traite ne sont pas à l’abri, même hébergées en France.