Sur initiative de Philippe Latombe, le cyberscore adopté par les députés vendredi a été enrichi en séance. En l’état, cette version numérique du Nutriscore informera l’utilisateur de la localisation des données. Le député MoDem revient dans nos colonnes sur l’intérêt d’une telle précision.
« Il parait essentiel que les consommateurs puissent savoir où leurs données sont hébergées lorsqu’ils se connectent à une plateforme » a soutenu le député MoDem Philippe Latombe en appui de son amendement adopté contre l’avis du gouvernement.
En plus d’afficher le résultat d’un audit de sécurité réalisé par un PASSI (prestataire d'audit de la sécurité des systèmes d'information, agréé par l’ANSSI), tous les éditeurs dépassant un seuil défini par décret devront indiquer où sont hébergées les données traitées. Si du moins la mesure est confirmée en seconde lecture au Sénat.
En attendant, le député MoDem a bien voulu répondre à nos questions sur le sujet.
Pourquoi avoir insisté pour introduire le critère de la localisation des données hébergées dans le cyberscore ?
Pour trois raisons, toutes aussi importantes les unes que les autres et qui, misent bout à bout, rendent le processus indispensable et incontournable.
Premièrement, l’idée du cyberscore est d’éduquer les consommateurs pour qu’ils puissent développer des gestes barrières, des gestes réflexes, en tout cas une éducation à la protection des données. La localisation fait partie de cette éducation. Il faut que ces personnes sachent si les données sont stockées en Europe, en Chine, en Inde, aux États-Unis.
Deuxièmement, aujourd’hui une règlementation européenne nous donne une vision de la donnée personnelle différente de celle du reste du monde. Des pays s’alignent plus ou moins sur l’Europe, mais d’autres développent une approche complètement différente. Et donc, là aussi il est bon que les consommateurs Européens et donc Français sachent où sont stockées leurs données et comment elles sont traitées.
Enfin, troisièmement, je pense que dans une volonté de souveraineté, nous avons besoin de redévelopper des activités économiques en Europe. Pour cela, la localisation est un bon moyen d’avoir des data centers, et non des filières numériques, en Europe qui permettent de contrebalancer des solutions de type cloud américain.
Ces trois raisons, prises indépendamment, méritaient qu’on prenne en compte la localisation. Prises de façon coordonnée, elles rendent ce critère indispensable. D’ailleurs, il n’y a pas eu beaucoup de débats en séance. Le débat n’a eu lieu qu’avec le gouvernement.
Des données sont aussi répliquées par sécurité... faudra-t-il que Facebook, Google, et les autres affichent la liste des centres de données où sont stockées toutes ces informations ?
Techniquement, oui. Il reviendra au décret de le déterminer, mais dans l’esprit du texte que nous avons déposé, la localisation est bien celle de l’ensemble des serveurs sur lesquels il peut y avoir des réplications.
Vous le disiez, le gouvernement s’est opposé ouvertement à cet amendement. Comment avez-vous réagi ?
Il s’est opposé sur un seul critère que je n’ai pas évoqué dans l’amendement, à savoir qu’il ne faut pas confondre localisation et sécurité. On est d’accord ! la localisation ne veut pas dire sécurité. Elle permet de savoir où sont les données et quel est le régime juridique qui leur est applicable.
C’est d’ailleurs un argument que l’exécutif lui-même utilise en sens inverse quand il nous explique en matière de cloud, en prenant exemple sur Bleu ou Google Thales, qu’avec le cloud de confiance, on est sûr que les données seront localisées en Europe. Ce serait même un critère de sécurité. On ne peut pas avoir le même argument dans un sens et dans un sens inverse dès que cela nous fait plaisir !
En séance, Cédric O dénonçait en effet un mirage sécuritaire, une « sécurité illusoire »…
C’est exactement cela. Le gouvernement pense que la localisation n’est pas un critère de sécurité. C’est vrai en partie, mais d’un autre côté il ne peut utiliser cet argument-là en hémicycle, et dire l’inverse à chaque fois qu’il parle de Bleu ou Google Thalès, pour affirmer que c’est la localisation qui fait la sécurité. Il faut qu’il soit cohérent avec lui-même. Il ne l’est pas sur ce sujet, ni sur le cloud depuis le début !
On se retrouve face à une obligation franco-française, qui va s’appliquer à l’ensemble des plateformes, même hors UE. Ne faudrait-il pas élever le débat à l’échelle européenne ?
Le texte est en première lecture. Il doit repasser au Sénat. Il a encore du temps devant lui. L’idée est de voir comment le rendre européen. Pour cela, il faut que l’on montre une volonté. En l’état, il ne peut être appliqué puisqu’il n’a pas été voté dans les mêmes termes par les deux assemblées.
De même, il n’a pas été notifié à la Commission européenne…
Non, il refait une navette et ne sera notifié que si le gouvernement décide de l’inscrire à l’ordre du jour. Aujourd’hui, l’exécutif peut parfaitement décider de ne pas l’inscrire au Sénat.
Certes, le Sénat peut le reprendre pour l’inscrire, ce qui risque à mon avis d’être fait assez rapidement, mais restera ensuite à voir le texte tel qu’il va revenir à l’Assemblée nationale.
L’idée est quand même de l’intégrer dans le cadre des discussions à l’échelle européenne. Cela n’a aucun intérêt de faire un texte franco-français.
Avez-vous eu des échanges avec des acteurs privés sur ce critère de localisation ?
J’ai bossé avec pas mal de monde, dont des plateformes françaises qui trouvent que l’argument de la localisation est en plus un bon argument marketing. Un peu comme le « Made In France » ou « Produit près de chez vous ». Cela a un intérêt.
J’ai discuté par exemple Hexatrust. Le critère de la localisation ne leur pose pas de problème. Ce n’est pas LE critère spécifique de sécurité maximale, mais c’est l’un des critères.
Sauf qu’on peut très bien avoir des acteurs français qui hébergent hors de France voire hors de l'UE, et des acteurs hors UE qui hébergent en Europe voire en France…
C’est pour cela que le critère de la nationalité n’a pas été mis dans l’amendement et qu’on a préféré celui de la localisation.
Ce qui m’intéresse, c’est aussi et surtout la possibilité pour les consommateurs de savoir où sont les données, comme on peut le faire sur l’origine de la viande où il n’y a pas d’interdiction de la viande d’origine américaine ou britannique.
Tant que c’est affiché, cela me va. Nous sommes sur une proposition de loi d’éducation et de sensibilisation. Elle n’impose pas la localisation.
Mais est-ce que cela ne va pas faire doublon avec le RGPD qui prévoit déjà une obligation d’information sur l’existence d’un transfert de données vers un pays tiers à l’UE ?
C’est toujours le principe des petites lignes en bas de page. Certes, c’est marqué, sauf que personne ne les lit. L’avantage du cyberscore, et donc de la localisation, est que ce sera visible de façon rapide et simple.
Cela sera affiché en tête de gondole, avec un classement sous forme de code couleur. C’est plus simple !
Comment expliquez-vous les résistances à cette précision ? S’agit-il de raisons purement juridiques, de faisabilité technique ou de résistances stratégiques ?
Je vois deux résistances. D’une part, celle d’une administration qui ne voulait pas s’occuper de la certification et donc préférait au départ une autoévaluation. Après négociation tendue avec le gouvernement, l’exécutif a finalement accepté au dernier moment une solution de compromis, cette fameuse certification faite par tiers.
Le gouvernement avait peur que ce soit l‘État, donc l’ANSSI ou quelqu’un d’autre, qui doivent s’en charger alors que ces structures n’ont pas les moyens ou que cela allait être juste insupportable.
Je pense d’autre part qu’il y a une vraie résistance parce qu’une localisation des données affichée sur le site fait que le prestataire ne pourra plus ensuite dire ou ne pas prouver ce qu’il a fait. Si par exemple Facebook dit que les données sont localisées en Europe, l’éditeur devra derrière assumer le fait, devant les CNIL, qu’éventuellement il a menti.
Quelle serait la sanction d’un service en ligne qui affirmerait que les données sont hébergées en France alors qu’elles le sont en réalité en Californie ?
En l’état actuel du texte, il n’y a rien, puisque cela renverra à un décret. On pourrait appliquer les mêmes règles du Code de la consommation, et donc les sanctions DGCCRF qu’on trouve aujourd’hui sur la provenance de la nourriture, entre celle affichée et la réalité. La DGCCRF peut faire un contrôle et vous imposer des sanctions.
Aujourd’hui, dans une économie ouverte où on utilise tous du matériel fabriqué en Asie, la notion de souveraineté fait-elle encore sens ? Comment la définissez-vous, d’ailleurs ?
La souveraineté pour moi est la capacité à faire un choix à un moment et de conserver cette liberté de choix à tout moment. J’ai une problématique numérique, j’ai deux solutions en face de moi : une américaine qui fonctionne très bien, qui est très simple et une française ou européenne, qui n’est pas au niveau. Confronté à une urgence, je choisis l’américaine. En revanche, je veux garder en permanence ce choix et rester en capacité de pouvoir migrer vers une solution européenne si jamais je vois qu’elle est meilleure, moins chère ou plus sécurisée.
Ce choix, je dois pouvoir le faire à chaque moment, chaque instant. Le bon contre-exemple est le Health Data Hub. J’ai fait le choix de Microsoft, et je suis coincé et ne peux avoir de réversibilité du système avant 18 à 24 mois minimum. C’est trop long !
C’est ce que j’appelle la piqure d’héroïne. On commence, on est accroc et on est obligé de rester dans le système. Je pense que la pression des consommateurs qui marche bien dans le monde réel doit aussi marcher dans le monde numérique. Les consommateurs seront aussi de plus en plus intéressés à savoir où sont leurs données.
Pensez-vous qu’un héroïnomane de Facebook deviendra junky de Copains d’Avant parce qu’il saura que les données y sont hébergées en France ?
Non, si on reste sur un choix binaire entre Facebook et Copains d’Avant, car ce n’est pas du tout les mêmes niveaux de taille et de communication possible avec ses « amis ».
Oui, sur le principe, comme on l’a bien vu avec Whatsapp. Le jour où la messagerie a expliqué qu’elle allait interopérer ses données avec Facebook, il y a eu une fabuleuse migration vers Signal.
