Dans la guerre à laquelle se livrent les différents acteurs du cyberespace pour la captation et l’exploitation de la donnée stratégique, l’on retrouve un élément structurant et dont l’importance est parfois sous-estimée : le droit. Comme tous les autres aspects du monde moderne, ce dernier a étendu son champ dans la sphère numérique et y est devenu, à la fois un enjeu – avant son élaboration – et un moyen incontournables. Me de Maison Rouge, spécialiste de ces questions et acteur dans le domaine normatif, nous a fait part de son analyse au cours d’un long entretien.
Olivier de Maison Rouge est avocat spécialisé en Intelligence économique. Docteur en droit, il enseigne à l’École nationale de la magistrature (ENM), l’École de guerre économique (EGE) et l’Institut libre d’étude des relations internationales (ILERI). Membre du bureau du Syndicat français de l’IE (SYNFIE), vice-président et membre fondateur de la Fédération européenne des experts en Cybersécurité (EFCSE), il travaille sur de nombreuses thématiques et notamment sur la gouvernance de la donnée stratégique. Il a ainsi été rapporteur auprès du Commissaire à l’information stratégiques et la sécurité économiques (CISSE) pour les travaux de transposition de la directive européenne menés sur le secret des affaires. Depuis le 1er janvier 2019, il est également co-président de la commission renseignement et sécurité économiques de l’ACE (Avocats conseils d’entreprises).
Après avoir écrit entre autres sur le droit de l’Intelligence économique et du renseignement, la guerre économique et le secret des affaires, son dernier ouvrage s’intitule Les Cyberisques (LexisNexis, 2018).
Portail de l’IE (PIE) : Depuis quelques mois, les affaires – parfois les scandales – s’accumulent autour des mastodontes du numérique : on pense par exemple à l’affaire Cambridge Analytica l’année dernière, première d’une longue série pour Facebook ; aux amendes de Google ; etc. – bien que leurs recettes ne cessent d’augmenter. Par ailleurs, les cyber-attaques et autres fuites de données se multiplient et se médiatisent. On observe corrélativement une prise de conscience au niveau individuel et collectif. La question de la sécurité de l’information est plus que jamais sur le devant de la scène.
Quelle est votre analyse générale sur le rapport de force entre la sécurité de l’information d’un côté et son exploitation abusive de l’autre ? Peut-on dire que le droit a pris sa « part à l’effort » et que l’enjeu réside désormais dans la bonne utilisation des outils à disposition, ou bien faut-il aller plus loin ?
Olivier de Maison Rouge (OMR) : Internet a longtemps été présenté comme un espace ouvert, une autoroute de l’information sans code de la route. Rien n’est plus faux en réalité.
Tout d’abord parce l’histoire montre que si Internet (auparavant nommé Arpanet) a connu un usage civil à l’origine (pour relier les universités de la côte Est à celles de la côte Ouest), il a ensuite été préempté par l’armée américaine avant d’être reversé dans le civil à la fin des années 1990. Cela signifie que les réseaux et les infrastructures, comme la plupart des opérateurs historiques, sont directement ou indirectement liés au complexe militaro-industriel américain. En outre, je rappelle que malgré les velléités avortées, l’administration du réseau a été confiée à une association américaine qui dépend du département d’État du Commerce. Tout cela n’est donc pas neutre. Enfin, treize des méga serveurs sont présents sur le territoire américain, tandis que 80% des câbles sous-marins convergent sur le même lieu. C’est dire s’il y a une hyperpuissance américaine en la matière.
Dès lors, dans ce cyberespace largement domestiqué, l’accès à la data devient nécessairement un atout stratégique à l’ère de la société-connaissance en tant que valeur économique. C’est pourquoi, dans les conditions ci-dessus, les GAFAM ont été en mesure de se positionner en amont et capter cette valeur ajoutée, confinant parfois à l’ingérence numérique dans la vie privée des utilisateurs.
Des législations sécuritaires ont permis de tels dispositifs à l’instar du Patriot Act qui a largement étendu l’espionnage électronique à grande échelle, et plus récemment encore le Cloud Act. Cela démontre de toute évidence combien le cyberespace et la captation des données est au cœur des nouvelles rivalités géostratégiques.
Dans ce rapport de force, le droit n’a pas été en retard (songez à la loi française en matière de protection des données personnelles qui datait de 1978), mais l’on s’aperçoit que les règlementations (RGPD, Cloud Act, etc.) sont désormais instrumentalisées dans cette compétition économique exacerbée. Le droit est donc davantage devenu un ressort de cette guerre numérique.
PIE : En 2013, la publication du « Manuel de Tallin » résultait d’une urgence, pour les experts de l’OTAN, à combler le vide juridique dans le cyberespace. Plus récemment, en novembre 2018, le président Macron lançait l’Appel de Paris, visant à relancer les négociations pour « développer la confiance, la sécurité et stabilité dans le cyberespace ». Face à la polarisation des acteurs étatiques et l’émergence de nouveaux acteurs privés, une « convention de Genève numérique » est-elle envisageable ?
OMR : La cyberdéfense doit à mon sens être pensée comme la dissuasion nucléaire a été instaurée : avec une doctrine d’intervention. La France a développé sa stratégie en la matière tout récemment. J’ai moi-même contribué aux réflexions parlementaires sur le sujet. Le COMCYBER a été institué. Reste à savoir si cette arme cyber doit être intégrée à l’OTAN, ou être souveraine. Je penche pour la deuxième solution.
Au niveau international, peu de gouvernements reconnaissent officiellement s’être dotés de cyber-forces. Néanmoins, on voit que la plupart des grandes attaques numériques sont déployées par des groupes constitués. Il existe donc des stratégies cyber-offensives à côté de stratégies de cyberdéfense. Même s’il n’existe pas encore d’unanimité sur la question, on peut effectivement imaginer à terme un accord mondial sur l’arme cyber, régissant les droits de riposte et d’emploi de cette arme – sauf à considérer que la charte de l’ONU, qui régit le droit de la guerre, embrasse d’ores et déjà cette approche. La question est actuellement en débat parmi les juristes aguerris à ces questions.
PIE : Face à l’extraterritorialité du droit américain, qui s’exprime notamment à travers le Cloud Act, le RGPD doit-il se positionner comme une arme extraterritoriale concurrente ?
OMR : Certains juristes ont, avec une audace mal soupesée, prétendu que le Cloud Act a été une réponse au RGPD qui est de portée extraterritoriale. Il n’en est rien. Le Cloud Act a été adopté afin de clarifier les textes enjoignant les opérateurs numériques américains à communiquer des informations aux autorités administratives ou judiciaires U.S., où qu’elles se trouvent dans le monde. En revanche, la volonté de rendre le RGPD extraterritorial – avec de lourdes sanctions financières le cas échéant (il suffit de voir l’amende infligée à Google) – a été manifeste et les révélations d’Edward Snowden ont accéléré l’adoption du RGPD en ce sens. L’affaire Facebook (CJUE 6 octobre 2015) a été un premier acte d’indépendance numérique européen après une prise de conscience de l’emprise américaine sur les données des citoyens européens (les données étaient transférées aux États-Unis et scrutées par les « grandes oreilles » des agences de renseignement).
À mon sens, ce n’est pas au niveau du RGPD qu’il convient de répondre à cette colonisation numérique (le règlement ne portant que sur les données personnelles, moins stratégiques à mes yeux), mais davantage à travers un texte de sécurité numérique ambitieux, une véritable refonte de la loi de blocage revue à l’heure électronique, portant sur les données stratégiques, avec des sanctions pécuniaires dissuasives. Un rapport parlementaire doit être rendu prochainement public en ce sens. En ce qui me concerne, j’ai d’ores et déjà été mandaté pour en rédiger le texte de loi qui en découlera.
PIE : Quels sont les enjeux juridiques de la robotisation du cyberespace ? Cette dynamique doit-elle engendrer une réflexion sur l’élaboration d’une nouvelle personnalité juridique ?
OMR : Vous abordez là la question de l’intelligence artificielle (IA) développée dans les activités civiles et économiques.
Comme la cybernétique en son temps, et plus largement le numérique, il est évident que toute technologie nouvelle s’apprécie comme un progrès si elle conduit à une industrialisation des tâches et procédés, dans un nouveau modèle économique, réduisant le labeur de l’homme. J’ai participé dernièrement à un groupe de travail pour la Fédération française du bâtiment en ce sens.
En revanche, là où l’IA interpelle, c’est sur la responsabilité des robots, dans la mesure où ces « machine learnings » sont en mesure de gagner une autonomie fonctionnelle, sans intervention de l’homme ultérieurement. C’est tout l’enjeu de la personnalité électronique, destinée à décharger le cas échéant l’homme de cette « responsabilité autonome ». En d’autres termes, le coupable est-il la créature de Frankenstein ou son géniteur ? Là est la question qui doit nous interpeller, sachant que la réponse n’est pas seulement juridique, elle est avant toute chose philosophique (cf. le mythe de Prométhée).
PIE : Dans cette course aux innovations technologiques dont la dynamique se situe outre-Atlantique, la France et l’Union européenne peuvent-elles anticiper un cadre législatif pour les technologies émergentes ?
OMR : De la même manière que le général de Gaulle avait fixé pour but l’autosuffisance énergétique avec le programme nucléaire civil, avec une approche tout autant néo-colbertiste, je pense qu’il faut effectivement être en mesure de rivaliser pour tendre à cette même finalité dans le numérique. Le but est l’indépendance électronique. Cela étant, nous en sommes loin. Les grands compétiteurs actuels sont américains, chinois et, dans une moindre mesure, russes.
L’U.E. doit créer un cadre favorable à l’innovation, et une filière structurant à l’instar de Galileo qui commence à faire ses preuves. Sachez que d’une certaine manière, bien que peu connu, le J.E.D.I. (Joint European Disruptive Initiative) s’y emploie.
Tout cela est encore insuffisant mais l’histoire n’est jamais écrite à l’avance. L’U.E. est une grande puissance, certes en dormition, mais qui a les capacités de rebond si elle n’est pas soumise.
PIE : Revenons sur les enjeux autour de l’information stratégique. Lors de notre dernier entretien, nous avions traité la question du secret des affaires, qui restait en suspens suite à une proposition de loi sur le sujet, adoptée quelques jours après. Où en sommes-nous aujourd’hui ?
OMR : La loi du 30 juillet 2018 relative à la protection du secret des affaires a été votée, et validée par le Conseil constitutionnel. Le décret d’application a été publié le 11 décembre 2018. Il existe donc à présent une transposition complète de la directive. Les préconisations qu’avait émises notre groupe de travail à l’époque se retrouvent dans le futur projet de loi de sécurité économique, auquel je contribue également.
PIE : Pourrions-nous parler de la fiscalité du cyber, et notamment de la question de la taxation des GAFAM ?
De toute évidence, la France n’a pas su convaincre l’Union européenne. Les intérêts divergent entre les États membres : l’Allemagne craint des mesures de rétorsion concernant son industrie automobile et les pays du Nord se sont également farouchement opposés à cette mesure. La France part donc seule pour l’instant, avec une taxation à hauteur de 3% du chiffre d’affaires, à effet rétroactif au 1er janvier 2019, avec un gain annoncé de 500 millions d’euros pour l’État – une somme non négligeable, mais qui reste faiblement impactant pour les structures en question. Faute de consensus européen, la France pourrait se tourner vers l’OCDE pour définir une véritable fiscalité du numérique.
Plus généralement, il semblerait qu’aujourd’hui le principal danger pour les GAFAM vienne des États-Unis eux-mêmes. On sait que le monde libéral et l’économie américaine ne supportent pas les trusts (abus de position dominante) ; c’est d’ailleurs outre-Atlantique qu’ont été érigées les premières règles de concurrence. On se souvient par exemple du démantèlement de l’opérateur AT&T. Actuellement, c’est la menace brandie par Donald Trump ainsi que des membres du Congrès, notamment démocrates. Les GAFAM représentent aujourd’hui un « État dans l’État », avec un pouvoir affirmé ; et l’on sait que ceux-ci ne sont pas nécessairement favorables au programme économique de la Maison Blanche. Il faut toutefois rester prudent, le Président américain demeure un homme d’affaire, qui a mis l’économie au centre de son action politique, et il n’ignore pas l’émergence d’une très sérieuse concurrence avec les BATX (équivalent des GAFAM chinois), positionnés sur les mêmes cœurs de métier. S’ils restent pour l’instant cantonnés à leur sphère d’influence civilisationnelle asiatique, il n’est absolument pas certain qu’il en soit ainsi très longtemps encore. C’est peut-être la chance des GAFAM. On constate ici, une fois encore, une bipolarisation du monde : la même qui s’observe du point de vue géopolitique et stratégique, s’étend désormais dans le monde numérique.
Propos recueillis par Marvin Looz
Avec le Club Cyber de l’AEGE