Lors d’une conférence le 27 mars à l’École de Guerre Économique (EGE), Isabelle Guibert, experte en gestion des risques financiers et opérationnels, à l’occasion de la parution de son ouvrage Les nouvelles frontières numériques, RGPD et politique de protection des données et Christian Harbulot, directeur de l’École de Guerre Économique ont animé un débat exposant l’importance stratégique et financière des données personnelles.
Les conférenciers ont ouvert le débat par le constat suivant : les données personnelles sont devenues le pétrole du XXIème siècle. Enjeux de puissance stratégiques, elles font donc l’objet de rapports de forces mêlant États et géants de la tech. En moins de vingt ans, les géants américains des nouvelles technologies, les GAFAM, ont mis en place un réseau de captage de volumes gigantesques de renseignements professionnels et privés au cœur du cyberespace. Ces données devenant le moteur d’une industrie extrêmement lucrative, les opérateurs se sont rendus indispensables aux États pour la collecte, la gestion et la diffusion de données personnelles.
Le RGPD est-il le bouclier pour le contrôle des flux de données ?
Tout d’abord, le règlement n°2016/679, dit « Règlement général sur la protection des données » (RGPD), offre des marges d’interprétation, permettant à chaque pays d’adapter les différents volets du règlement selon sa culture numérique. Par exemple, la majorité numérique varie selon les pays et les sanctions pénales ne sont pas imposées par le Danemark et l’Irlande. Ce dernier a une interprétation très souple du RGPD, ce qui lui permet de continuer à attirer certains opérateurs et hébergeurs.
Le RGPD est voué à évoluer dans les pays européens, à la fois séparément et de manière concomitante. Cette marge d’interprétation législative, d’adaptation au RGPD selon les États, peut constituer des points de failles dans lesquels peuvent s’immiscer certains acteurs mondiaux dans une stratégie de conquête. Cependant, le RGPD est aussi conçu comme une arme concurrentielle, par l’extraterritorialité du droit. Ainsi, la Suisse a intégré le RGPD à sa logique du secret.
Certains États, par leur histoire, semblent avoir saisi l’importance de la protection des données personnelles pour leur économie et leurs citoyens. Ces petits états, se sentant menacés développent une résilience numérique qui dépassent celle des grandes puissances voisines. L’Estonie, connue pour avoir subi une cyberattaque spectaculaire aux conséquences majeures en 2007, est l’un des États les plus avancés en matière de protection des données mais aussi en cybersécurité. L’Estonie a notamment mis en place une e-ambassade au Luxembourg pour protéger ses données étatiques. Cette conception défensive estonienne souligne la problématique des données comme un enjeux de souveraineté.
Néanmoins le stockage des données personnelles reste un enjeux stratégique sous-estimé en Europe
Les conférenciers ont ensuite rappelé que l’Europe est vulnérable quant au stockage des données personnelles, qui dans de nombreux cas se situent aux États-Unis. Cependant, les enjeux du stockage ne sont pas seulement liés au facteur géographique, mais sont aussi liés au facteur de la nationalité des opérateurs qui captent les données personnelles. Le Patriot Act permettait aux agences gouvernementales américaines d’obtenir un mandat pour accéder aux données personnelles stockées aux États-Unis dans le cadre d’une enquête relative à des actes de terrorisme. De son côté, le CLOUD Act, loi jointe au budget fédéral américain de 2018, dispose que toute société de droit américain doit livrer ses données à la demande des autorités américaines disposant d’un mandat d’enquête pénale.
En France, cet enjeu stratégique n’a jamais donné lieu à un débat politique et économique ; les entreprises, dont la culture en silos persiste, négligent cet aspect de dépendance. On observe en France une souveraineté numérique quasi-inexistante, mais dont les enjeux pourraient impacter l’ensemble de l’économie nationale. Pour Christian Harbulot, la France doit construire une politique stratégique de la protection des données personnelles qui devra nécessairement passer par une prise de conscience du citoyen lui-même.
Club cyber de l’AEGE