[Interview] Bernard Benhamou explore les enjeux de la souveraineté numérique

Du numérique hors d'Amérique 4
Accès libre
image dediée
Société
Guénaël Pépin

En plein débat sur le projet de loi renseignement, ont eu lieu mardi les deuxièmes Assises de la souveraineté numérique. Au programme : son influence sur l’économie française et la création de l’Institut de la souveraineté numérique, censé épauler les pouvoirs publics. Nous avons discuté avec Bernard Benhamou, spécialiste des enjeux numériques et secrétaire général de l’institut.

Mardi, les deuxièmes Assises de la souveraineté numérique ont regroupé des spécialistes du numérique, des régulateurs (comme l’ARCEP ou la CNIL), des entreprises et des universitaires, sur le thème de l’économie numérique. C'est un des enjeux du moment pour le gouvernement, avec les rachats successifs de Dailymotion par Vivendi et d’Alcatel-Lucent par le Finlandais Nokia. Au fil des interventions et des tables rondes, s’est dessiné le portrait d’une Europe qui peine à faire émerger des géants du numérique à même de rivaliser avec les GAFA (Google, Apple, Facebook, Amazon), tant à cause de faiblesses politiques qu’économiques.

Deux points ressortent des discours : le manque de coordination européenne pour développer des mastodontes du numérique et la domination des groupes américains, avec Google en première ligne. Si les politiques commencent à s’attaquer aux abus des géants étrangers (surtout sur la fiscalité, leur pré-carré), ils peinent à faire émerger les talents français et européens. L'une des clés pour l'avenir serait la sécurité des infrastructures, des entreprises et des citoyens, estiment les intervenants.

Drapeaux Europe
Crédits : artJazz/iStock

Un institut pour fédérer et aiguiller les acteurs du numérique

Pour tous, il s’agit de promouvoir le développement d’entreprises européennes qui intègrent certaines valeurs, comme la protection de la vie privée. « Il y a un marché de la sécurité et de l'anonymisation à promouvoir en Europe » estime Sophie Vuillet Tavernier de la CNIL. Dans le même sens, le député socialiste Eduardo Rihan Cypel, défenseur de la loi sur le renseignement, affirme qu’il faut des solutions de sécurité informatique françaises, « à l’avant-garde » des évolutions du secteur. « La souveraineté ne doit pas être un repli sur soi, mais une maîtrise complète qui permet l'ouverture aux autres » résume la députée Corinne Erhel (PS).

C’est en ce sens qu’a été officialisé début mars l’Institut de la souveraineté numérique, qui veut promouvoir une souveraineté européenne menant les débats et les industries face aux États-Unis ou encore la Chine. L’institut est présidé par Didier Renard, le président de Cloudwatt, le fournisseur de « cloud souverain » (voir notre dossierrécemment repris à 100 % par Orange. Le conseil scientifique regroupe pour l’instant une vingtaine d’experts, entrepreneurs et universitaires, censés aiguiller les pouvoirs publics et les acteurs du numérique dans leurs décisions. Nous nous sommes entretenus avec Bernard Benhamou, secrétaire général de l’institut, professeur sur la gouvernance d’Internet à l’université Panthéon-Sorbonne, ancien délégué interministériel aux usages de l’Internet et fin connaisseur des questions de souveraineté et de gouvernance.

Quel est le but concret de l’Institut de la souveraineté numérique ?

Il s’agit de produire des éléments qui participeront à éclairer les différents acteurs impliqués dans les questions de souveraineté numérique. Ce sera le cas pour les acteurs publics, y compris lors de négociations internationales, en particulier sur les aspects de protection des infrastructures critiques, des intérêts du pays et de son fonctionnement. Les infrastructures critiques d’un pays sont en effet de plus en plus indissociables des infrastructures technologiques.

Aujourd’hui, fragiliser le fonctionnement des infrastructures numériques revient à remettre en cause la souveraineté, voire la capacité de décision d’un pays. C’est ce qu’ont démontré les récentes attaques comme le piratage de TV5 Monde, ou de France Télévisions. En outre, on dit qu’Internet pourrait résister aux attaques physiques sur une partie du réseau, mais il ne résisterait pas à une crise systémique de confiance.

En modifiant les outils cryptographiques [comme l’a fait la NSA, ndlr], en créant des portes dérobées, on remet en cause la confiance même dans le réseau, qui est la clé de voûte de l’édifice, ce par quoi tout tient ensemble ! Le développement d’un réseau de communication est lié au fait que les utilisateurs n’ont pas l’impression de se mettre en danger en l’utilisant plutôt que d’avoir recours à d’autres moyens.

C’est ce qui s’est produit aux USA, avec l’affaire Snowden. Une fois créées, ces portes dérobées sont devenues accessibles à tous, et pas seulement aux officines de sécurité américaine. Elles sont utilisables par d’autres pour des attaques. On prend alors un risque systémique de remise en cause du réseau.

Il nous faudra légiférer sur les limites que doivent s’imposer les États. Ainsi, altérer les piliers de la confiance dans le réseau, devrait être en dehors de leur champ d’action. Ce sont des enjeux que l’on commence à peine à formaliser. L’avis de la FCC [l’ARCEP américaine, ndlr] sur la neutralité du Net est à cet égard très important.

Ces thèmes seront essentiels pour l’Institut. Ainsi, le premier groupe de travail que nous réunirons sera intitulé « Confiance et sécurité ». Ces thèmes concerneront à la fois les États, les entreprises et les citoyens : La protection des infrastructures critiques pour les États, la confidentialité des données pour les entreprises et enfin la protection des données personnelles pour les citoyens. On ne perçoit pas encore de danger global lorsqu’il est question d’agissements portant sur telle ou telle technologie. Or, ces actions pourraient avoir des conséquences politiques, ainsi qu’elle pourrait remettre en cause le fonctionnement économique global de nos sociétés.

Bernard Benhamou

Pour définir ce qu’un État peut faire ou non en ligne, vous avez suggéré de s’inspirer du droit de la mer, dans le but de les responsabiliser devant les autres pays.

Évidemment, l’internet n’est pas la mer, mais des règles globales devront un jour y prévaloir. À la différence des règles qui régissent notre environnement qui sont plus ou moins statiques, celles de l’Internet évoluent en permanence. Ainsi, je n’utilise pas le mot « cyberespace », qui donne l’impression d’un espace différent du nôtre, alors que nous vivons désormais quotidiennement connectés. Ce sera encore plus le cas quand nous serons entourés de milliards d’objets connectés.

Le droit maritime s’est structuré sur 400 ou 500 ans à partir du Moyen-Âge, avant d’être formalisé. Il est évident aux vues de l’importance de l’internet pour l’ensemble des pays qu’il nous faudra un traité pour les réseaux numériques. Il pourra établir des règles sur la protection de l’architecture du réseau (neutralité du Net, ouverture, interopérabilité…) et introduire des notions sur l’auto-limitation de l’action des États (« self restraint »). Il faut éviter de nouvelles formes de pollution, voire de destruction du réseau. Modifier volontairement des infrastructures critiques, devra être interdit à tous.

Nous pourrions commencer par un traité bilatéral, avec nos voisins allemands, et par la suite entamer une négociation transatlantique. À terme, d’autres démocraties pourraient alors signer ce traité comme le Brésil [très sensibles à l’ouverture d’Internet et à la souveraineté numérique, ndlr] ou l’Inde. Nous devrons d’abord nous appuyer sur les démocraties qui partagent nos principes et nos valeurs.

L’un des buts de l’institut est d’aiguiller les politiques dans leurs décisions. Pourtant, il n’y avait pas de ministres aux assises mardi, alors qu’ils ont été invités, à ce qu'on m'a dit. Toucher les politiques ne sera-t-il pas un défi en soi ?

Qu’il y ait une prudence de l’exécutif en cette période de controverses sur la loi renseignement, c’est presque évident. Nous voyons toute la difficulté qu’il y a à concilier les avis au sein des instances politiques traditionnelles. Le hasard a voulu que nos assises aient lieu au moment des débats les plus intenses.

Les équipes des responsables politiques sont désormais intéressées par les travaux de fond sur les enjeux stratégiques liés aux choix technologiques. Ce qui déterminera la qualité de notre travail sera aussi notre capacité de persuasion en particulier auprès d’autres instances européennes. Des contacts existent, et d’autres seront pris d’ici l’automne. Il y a un frémissement du côté politique sur la souveraineté, même si on remarque encore mais un manque de culture et de maîtrise des enjeux technologiques.

Le conseil scientifique de l’institut semble assez divers, avec des entrepreneurs, des régulateurs et des universitaires, dont certains sont peu présents dans de telles initiatives.

Notre credo est que l’informatique est devenue trop sérieuse pour être laissée aux seuls informaticiens… Ainsi, IBM et Microsoft étaient hégémoniques dans le secteur informatique. Les nouveaux acteurs de l’Internet peuvent désormais avoir une action sur des secteurs comme l’agriculture, l’énergie, le tourisme ou encore la santé. La maîtrise des algorithmes relève désormais autant des sciences sociales que des mathématiques. Ces algorithmes seront de plus en plus utilisés par l’ensemble des organisations pour prédire les comportements des individus, voire de groupes entiers.

Pour revenir aux freins culturels européens, la pluridisciplinarité n’est pas encore valorisée. Lawrence Lessig, par exemple, n’était pas prédestiné aux vues parcours universitaire à devenir l’un des meilleurs experts mondiaux de la gouvernance des réseaux, et plus tard devenir le créateur des licences Creative Commons. Ce profil est exceptionnel. En France, où l’on reste rétif à ces mélanges de compétences.

snowden

À suivre les assises mardi, on a l’impression que les politiques ont encore du mal à s’emparer du sujet. Ils semblent prendre en main les questions de régulation (surtout sur la fiscalité), mais moins celles de politique industrielle sur le numérique.

Oui. L’usage de solutions essentiellement politiques ou fiscales pour régler ces questions ne sera pas suffisant. Les politiques ont tendance à se replier sur leurs fonctions traditionnelles, régaliennes, comme la fiscalité. Nous parlons actuellement beaucoup d’encadrement mais il ne sera possible de participer pleinement aux débats internationaux sur la gouvernance des réseaux que lorsque nous (européens) aurons des acteurs de taille internationale qui participeront à créer l’architecture des réseaux et faire évoluer les normes et standards de l’Internet. Il y a quelques années, les responsables du Département d’État américain nous demandaient : « L’Europe c’est bien, mais pour combien de divisions technologiques ? ».

La liste des entreprises françaises qui tirent leur épingle du jeu international reste effrayamment courte. On a cité un acteur B2B (la plateforme de publicité Criteo), B2C (Blablacar) et Sigfox pour l’internet des objets. Il faut rétablir les conditions d’un véritable rebond du marché européen des technologies et des services de l’Internet.

Ainsi, le « small business act » [le soutien direct des PME par l’État, notamment par la commande publique, N.D.L.R.] a été historiquement abandonné lors des négociations transatlantiques au profit de la Politique agricole commune (PAC). Nous en payons aujourd’hui le prix. Et il est faux de dire que nous ne pourrons pas revenir sur cette négociation. Il nous faut une stratégie industrielle, qui ne consistera pas seulement à définir les secteurs à aider mais aussi à savoir comment coordonner les actions.

Il manque un CTO (« directeur des technologies ») de l’État. C’est plus que jamais nécessaire. Nous n’avons pas besoin d’un « super DSI » [directeur informatique, ndlr], mais d’un responsable de haut niveau qui aura à la fois une vision stratégique, technique et politique. Aux États-Unis, le CTO de la Maison Blanche publie sur la page d’accueil de leur site, nous en sommes encore loin.

La concurrence est le domaine sur lequel l’Union européenne semble agir le plus directement.

Il nous faut en effet veiller à ce que les entreprises américaines ne soient plus en mesure d’abuser de leur situation dominante. Il faut aussi effectuer une véritable analyse critique des acteurs européens dans leurs politiques technologiques. Fondamentalement, on ne doit plus simplement dire que nous devons être capables de créer des entreprises mondiales, il faut définir dans quels domaines. Il y a en effet deux secteurs clés pour les prochaines générations de technologies de l’Internet : la santé ainsi que l’énergie et l’environnement, au sens large. Ces secteurs seront cruciaux pour l’économie et l’avenir des sociétés européennes et ils mettront à contribution l’ensemble des technologies allant de la robotique, à l’intelligence artificielle et aux objets connectés.

La nature même de la protection sociale pourrait évoluer avec les objets connectés dédiés à la santé. La possible remise en cause de la mutualisation des risques (par exemple des assurances personnalisées selon notre comportement, nos antécédents ou notre acceptation du tracking) doit faire l’objet d’un débat public.

La loi renseignement montre qu’il peut être difficile de concilier des enjeux de souveraineté : la sécurité, la liberté d’expression et le besoin d’entreprises performantes, avec la menace des hébergeurs de délocaliser. Pensez-vous que ce type de dilemmes se posera davantage à l’avenir ?

La perception du risque de surveillance est tellement floue qu’elle pourrait conduire à une forme généralisée d’autocensure. Ce qu’a dit Octave Klaba [fondateur d’OVH, dans un entretien aux Échos, où il évoque la surveillance de la Pologne communiste, N.D.L.R.] a été très fort. Son propos est très puissant.

Si les entreprises ont l’impression d’être sur un territoire où elles rencontreront des risques fonctionnels majeurs, cela représente un problème. Nous ne devons pas être une « passoire » par rapport aux acteurs internationaux, mais dans le même temps nous devons aussi mesurer les risques que génèrent certaines lois sur le fonctionnement même de l’écosystème Internet.

Nous devrons aller vers la reconnaissance d’un objet de droit nouveau : l’écosystème numérique. Nous devrons le protéger parce qu’il sera porteur de nos valeurs, au sens le plus large. Si nous devions remettre en cause ces valeurs sur les réseaux en raison d’attaques, issue de groupes terroristes, ils auraient d’une certaine manière déjà gagné.

Les citoyens devront devenir co-architectes du réseau et plus seulement usager-consommateur. L’ergonomie et la simplicité d'usage devront devenir des principes de la vie démocratique. En effet, des systèmes conçus uniquement par une élite technico-scientifique pour son seul usage seraient profondément antidémocratiques.

L’architecture des systèmes technologiques est politique, et doit donc être sous le contrôle du citoyen. Nous devons veiller à ne pas créer les conditions d’un Big Brother antidémocratique, surtout avec la multiplication des objets connectés, qui pourraient être dans le pire des cas basés sur des logiciels opaques, encadrés par une législation elle-même floue.

Nos politiques sont-ils suffisamment armés face à ces enjeux ?

Ce sont le plus souvent des parlementaires qui s'expriment sur ces sujets. Il y a eu lundi un débat dans « Mots croisés » sur la surveillance. On y voyait Hervé Morin critiquer la portée de la loi renseignement, « en tant qu’ancien ministre ». Cela n’aurait pas eu le même impact s’il était uniquement député.

Nous venons d’une culture où l’informatique a trop longtemps été perçue comme relevant de « l’intendance ». On commence tout juste à considérer qu’il y a un phénomène d’« uberisation » massive, pour les filières traditionnelles venant de nouveaux acteurs, comme l’est Uber pour les taxis.

L’important n’est pourtant pas le domaine exercé par les acteurs des technologies, mais la méthode qu’ils emploient pour attaquer de nouveaux secteurs industriels. Des sociétés comme Apple, se consacrent aux produits haut de gamme à forte marge en développant un savoir-faire extrêmement poussé sur l’ergonomie et l’interface. Cette même démarche sur l’expérience utilisateur (« user centric ») est aussi la clé pour Google et elle est là encore duplicable dans différents secteurs, comme l’automobile, l’horlogerie ou la maîtrise de l’énergie.

L’ADN des sociétés qui dominent aujourd’hui est « user centric ». Les changements qui ont lieu sont portés par l’usager lui-même. Les sociétés qui mettent un designer en haut de leur pyramide, ont en effet tout compris. Les responsables de la conception ergonomique des produits sont désormais épaulés par des armées d’ingénieurs, mais ils prennent in fine la décision.

L’expérience utilisateur est le vecteur des transformations auxquelles nous assistons. Or nous avons parmi les meilleurs designers, développeurs et mathématiciens de la planète. Cependant, les faire travailler avec comme objectif premier le plaisir de l’utilisateur, et non la conception de solutions élégantes pour les ingénieurs, reste difficile en France et en Europe.

Sur un autre sujet, l’organisme qui est en charge des ressources d’Internet, l’ICANN, est en voie de transition d’une gouvernance américaine à une gouvernance mondiale. Depuis le sommet mondial au Brésil à ce sujet début 2013, l’avancée du processus semble floue. Où en est-on selon vous ?

Croire que l’ICANN est l’unique enjeu de la gouvernance d’Internet est une erreur. Aucun des sujets de l’affaire Snowden ne concernait les prérogatives de l’ICANN. La vraie gouvernance est en dehors de cet organisme. Elle est dans les normes de sécurité, dans les travaux de l’IETF [qui définit les standards d’Internet, encore largement dominé par les Américains, ndlr] ou le W3C [qui définit les standards du web, ndlr]. L’ICANN est un trompe-l’œil.

Concrètement, le calendrier du changement de la fonction IANA [la gestion des ressources mondiales du Net, ndlr] a été totalement dépassé. Or, la période dans laquelle nous entrons rendra ces changements encore plus difficiles. Les risques sécuritaires sur les infrastructures critiques américaines, soulèveront une opposition de plus en plus vive du Congrès américain. Le statu quo ne devrait pas évoluer rapidement en raison des élections présidentielles américaines à venir.

Qu’en est-il des relations avec l’Europe ? Un débat a opposé l’ICANN et la France sur la création d’extensions de noms de domaine dédiés au vin, que la France avait contesté parce qu’elle n’avait pas été assez impliquée et à cause des conditions d’attribution. Cela s’est conclu par une interview du président de l’ICANN critiquant vertement la secrétaire d’État au Numérique, Axelle Lemaire.

L’ICANN a perdu beaucoup de points avec sa gestion hasardeuse de l’extension .wine/.vin. Celle-ci recouvre en effet des questions économiques et commerciales, mais a surtout une dimension culturelle. Cela a été une véritable maladresse politique de la part de l’ICANN de s’attaquer ainsi au gouvernement français. Le dossier est pour l’instant gelé, et il n’est pas dit que l’on puisse déposer bientôt ces extensions.

Est-ce que les Européens ont appris de ce conflit ? Peut-être. Il y a une méfiance suite à cet épisode. Il faut désormais attirer l’attention sur d’autres acteurs clés comme l’IETF, l’IAB (Internet Architecture Board)… Je citerai le ministre de l’Économie allemand, Sigmar Gabriel : « Il nous faut être présent là où s’élaboreront les normes et standards des technologies de l’Internet ». C’est vrai pour la sécurité et c’est vrai globalement pour l’ensemble des technologies clés pour le continent européen.

Il nous faut une industrie à même de créer des normes mondiales, ainsi que des politiques qui puissent comprendre qu’il faut s’en préoccuper. Beaucoup d’avancées américaines ont été issues de collaborations entre les entreprises et le secteur public.

Merci Bernard Benhamou.


chargement
Chargement des commentaires...