Il n’y a pas si longtemps, dans un monde où la mondialisation, les interdépendances et l’ultralibéralisme se pensaient garants du « doux commerce » et de la paix, la souveraineté était un terme péjoratif. Synonyme de protectionnisme, et donc de repli commercial, géopolitique, voire identitaire, les États s’appelaient encore entre eux des « alliés ». Frans Imbert-Vier, spécialiste des enjeux de cybersécurité et de souveraineté numérique, revient pour le Portail de l’IE sur cette notion de souveraineté, qui théoriquement devrait se trouver au cœur des préoccupations électorales dans un contexte de guerre économique.
Une guerre économique numérique
Portail de l’IE (PIE) : Frans Imbert-Vier, vous êtes le président d’UBcom, une société de cybersécurité engagée pour la protection de la donnée souveraine et pour l’innovation européenne. Selon vous, à quel moment nos États / entreprises se sont-ils déclarés la guerre économique ? Comment cette dernière se décline-t-elle sur le terrain numérique ?
Frans Imbert Viers (FIV) : La guerre économique sur le terrain numérique a commencé à l’explosion de la bulle internet, la “Dotcom bubble”, en 1999. C’est l’époque où la politique européenne au sens global, s’est résignée en partant du principe suivant : “les Américains savent bien mieux gérer que nous. Laissons-les gérer ce problème, nous avons perdu beaucoup trop d’argent, continuons dans le monde d’avant”.
Les Américains avaient dès lors, la voie royale pour pouvoir offrir un panel d’offres de leurs solutions numériques sans aucun concurrent au niveau mondial. Leur vision et leur stratégie étaient déjà en place depuis la guerre froide, et elle consistait non plus à faire du renseignement ciblé, mais de la collecte de masse. Cette dernière s’est faite au travers d’un smartphone, qui malgré le constructeur du terminal, partage un grand nombre d’informations nous concernant.
Si la collecte de masse débute vraiment en 1996 sous Clinton, c’est en 2008 qu’elle devient mondiale en raison du succès des mobiles connectés. Et c’est en 2015 à peu près, au moment des attentats de Charlie Hebdo, que le Parti socialiste dont l’idéologie est plutôt universaliste et humaniste a porté la nouvelle loi de programmation militaire (LPM 2015). Sorti du chapeau de l’ex-président François Hollande 15 jours après l’attentat, cette loi de programmation militaire comprenait un certain nombre de restrictions liberticides qui s’appuyait beaucoup sur la collecte de données numériques et la traçabilité au nom de la lutte contre le terrorisme… C’est à ce moment-là que le besoin et la prise de conscience souveraine a commencé à naître très fébrilement dans les propos publics et dans l’opposition de gauche essentiellement, mais aussi au centre. Or nous verrons qu’entre le propos et l’acte, il y a souvent un fossé très large.
PIE : Dans quelle mesure peut-on dire que cette guerre numérique est un processus de conquête, voire de colonisation dématérialisée auquel s’oppose la souveraineté ?
FIV: Le principe de la guerre, c’est de conquérir les autres. Et l’enjeu numérique est la colonne vertébrale de la volonté invasive d’un État offensif, qui a pour mission d’aller connaître ce que l’autre sait, pour avoir un coup d’avance. On ne parle donc pas d’alliés. C’est un principe essentiel. Il est d’autant plus marqué dans les systèmes politiques qui sont gérés sur des schémas empiriques comme les États-Unis et la Chine, où l’enjeu ne consiste pas du tout à travailler avec les autres, mais à les anéantir : c’est le principe de l’empire.
PIE : Concrètement quelle est la chaîne de valeur qui rend souveraine une infrastructure cyber ?
FIV: La chaîne de valeur d’une infrastructure cyber est avant tout philosophique. Elle consiste à se poser la question : si je produis un logiciel, une intelligence qui est destinée à gérer la donnée, quelle est la nature stratégique de sa valeur ? Est-ce que je destine ce logiciel à être partagé avec tous ou dois-je le protéger ? Dès lors, si ce logiciel est stratégique et que je souhaite en garder la possession, le principe de souveraineté s’instaure.
Dans un deuxième temps, la chaîne de valeur contient des facteurs techniques dépendant du facteur politique qui pose la question suivante : suis-je libre de gérer mon outil et la donnée qui le contient ?
En Chine par exemple, c’est interdit. La constitution chinoise interdit de produire un système de données qui ne soit pas maîtrisable par l'État. Aux États-Unis, il est interdit de fournir un système qui gère de la donnée à un État tiers sans que l’État américain ait un droit de préemption sur cette information. Plus surprenant pour les États-Unis qui se définissent comme « pays des droits de l’homme » ou « monde libre » mais qui pratiquent encore la peine de mort et dont les sociétés sont toujours contrôlées par l’État. En France, nous avons des idées, mais pas de pétrole, donc pas d’argent, alors nous ne réfléchissons pas “monétique”. Or quand s’immisce la perspective de faire du business au moment où la pépite numérique se construit, c’est le plus fort en cupidité qui rachète les bonnes idées : en l'occurrence, l'Américain plus que le Français.
Nous pouvons citer des exemples dramatiques : Alsid par exemple, une société qui gère la colonne vertébrale du système d’information des grandes entreprises, ce que l’on appelle “l’active directory” a été financé par des fonds publics, donc par nos impôts. C’était tune belle startup, une superbe idée, un très bon produit, qui vient de rentrer en bourse aux États-Unis et qui est maintenant sous capitaux américains. Non seulement, nous avons payé l’innovation, mais nous n’en récupérons pas les fruits et avons au passage perdu toute souveraineté dont ce produit était vecteur. En effet, sa particularité est qu’il collecte beaucoup d’informations, notamment des informations qui peuvent faciliter la pénétration d’un système d’information sans être repéré.
Nous pouvons citer Sipearl dirigé par Philippe Notton. C’est un fabricant de supercalculateurs, donc de semi-conducteurs et la seule entreprise européenne aujourd’hui capable de fabriquer cela. Ses ingénieurs sont souverains, c’est-à-dire européens pour la plupart, dont des anciens d’Intel Allemagne fermé par le constructeur en 2017. Il n’y avait aucune présence d’Américains dans la conception du produit. Sipearl a demandé à la BPI des financements que celle-ci n’a finalement pas donnés malgré ses promesses et les relances faites par son dirigeant. Or l’entreprise qui avait besoin de se rémunérer a dû trouver de l’argent ailleurs et les premiers qui ont répondu à l’appel sont les Américains. Les Français n’ont jamais répondu à l’appel pour le public ni au travers du fonds d’innovation stratégique et encore moins des banques. Des sociétés comme Dassault, Gemalto, ont préféré laisser mourir Sipearl pour gagner du temps et éviter d’avoir à le racheter. Résultat, Sipearl est aujourd’hui une société alimentée en partie par des capitaux américains et la souveraineté, c’est-à-dire que la propriété intellectuelle de l’entreprise pourrait être remise en cause par les Américains, car elle est désormais liée aux États-Unis. Il faut donc retenir que la technologie de Sipearl aurait pu permettre à l’Europe d’avoir sur les cinquante prochaines années, une autonomie industrielle sur les supercalculateurs, sachant qu’aujourd’hui seuls la Chine et les États-Unis l’ont. L’Europe a manqué le coche et aucun pays dans l’Union n’a jusqu’alors touché du doigt cette capacité.
Troisièmement, ce qui constitue la souveraineté d’une infrastructure cyber est la nationalité de celui qui détient la propriété intellectuelle du code. En fonction de sa nationalité, il peut y avoir un droit de préemption sur ce code. C’est le cas pour un produit d’origine américaine ou chinoise. Par ce processus, l’État nationalise la donnée, tandis que dans des pays où la démocratie est directe tels que la Suède, la Finlande, le Danemark, l’Islande, … ceci est impossible, parce que le peuple reste souverain et non l’État.
Si je suis Français, que je produis un code et que celui-ci a été tenu et géré de bout en bout par des Français, produit en France, et de droit français, alors on peut parler de souveraineté nationale sur ce produit-là. Car aucune ingérence tierce ne peut intervenir sur le plan financier ou sur celui de la revendication de la propriété intellectuelle. Si l’État peut avoir un droit de préemption dessus, un État tiers n’y est pas autorisé. Si en revanche je suis français, mais que je produis un code en faisant appel à trois Ukrainiens à Kiev, que je me fais financer par un Russe et que je commercialise cela depuis les États-Unis, effectivement je vais avoir un clivage étatique assez intéressant. Les Ukrainiens vont revendiquer la propriété intellectuelle, les Russes la propriété politique et les Américains la propriété commerciale.
De la complexité de maîtriser la chaîne de valeur cyber dans une Europe dépendante
PIE : L'arrivée des BATX et des GAFAM dans Gaia-X, l’utilisation de l’américain Palantir par la DGSI, le choix d’Amazon par BpiFrance pour le stockage ou encore l’hébergement du Health Data hub par Microsoft (finalement contesté), les exemples en matière d’atteinte à la souveraineté européenne ne manquent pas. En dématérialisant des services stratégiques au profit d’hébergeurs étrangers, les acteurs européens précipitent la vassalisation économique de l’Europe tout en laissant la donnée personnelle des individus se monétiser dans une indifférence générale. Comment expliquez-vous ce niveau de désengagement ou de naïveté à la fois de la part des États pour protéger leur intégrité régalienne, et des citoyens pour protéger leur libre arbitre ?
FIV: Les deux sont totalement liés. D’abord, nous avons une force politique qui s’est totalement désengagée de la problématique du numérique depuis les années 2000 et au moment de l’explosion de la bulle. Cet environnement politique, relativement vieux, n’est pas du tout à jour avec la technologie et de la compréhension des impacts sociologiques, politiques, anthropologiques ou philosophiques que peuvent avoir ces acteurs numériques essentiels. Ils s’en servent comme nous tous, gratuitement, mais l’appréhendent plus comme un levier électoraliste.
Les politiques n’ont pas intérêt à tirer une balle dans le pied d’un outil qui facilite leur élection et sur lequel ils devront en plus s’acculturer au niveau des techniques hors de leur niveau de compétence, tout en sachant que leur seul objectif est la réélection.
C’est tout le paradoxe de l’enjeu numérique, s’il a une échelle de temps courte dans son cycle de vie technologique, il y a en politique une échelle de temps extrêmement longue. Il n’y pas de parti pris dans cette position-là, le politique se retrouve à la dérive, incompétent en la matière, mais surtout il n’a aucune envie d’y aller. Car c’est un sujet qui concerne la jeune génération. La République En Marche! (LREM) par exemple, a pris parti sur ce sujet-là. Mais les vieux partis français y sont complètement étrangers. Ni le parti socialiste (PS), ni la France Insoumise (LFI), ni le Rassemblement National (RN) n’ont parlé de souveraineté numérique.
Ce qui est dommage, c’est que la souveraineté politique, la souveraineté économique et régalienne, sont aujourd’hui totalement dépendantes de la souveraineté numérique. Sur la compréhension de ces enjeux-là, quelques icônes commencent à parler comme Tariq Krim ou le député Philippe Latombe, mais aucune loi n’est sortie depuis 20 ans pour défendre les intérêts économiques nationaux. Pas une loi n’a été votée pour dire : « Ceci est une donnée sensible et elle ne peut pas être donnée à un tiers, jamais ». Nous allons tellement contre ce sens que le Health Data Hub en est un parfait exemple ; le prêt garanti par l’État (PGE) avec la BPI aussi. Dans les deux cas nous avons eu besoin d’un cloud et nous avons choisi Amazon ! Nous avons eu besoin d’un hub, et nous avons choisi Microsoft. Nous avons eu besoin d’un logiciel de traitement de la donnée pour lutter contre le terrorisme et nous avons choisi Palantir. Or en France et en Europe il y a des gens qui sont capables de gérer cette demande-là. Global Data Excellence, le Franco-Suisse qui a reçu le prix 20/20 de l’UE pour l’Intelligence Artificielle n’a pas pu concourir au marché du Ministère de l’Intérieur pour le remplacement de Palantir. Marché fermé ! Ce sont les Hollandais qui ont acheté sa solution, souveraine donc. Dassault System ou même OBS (Orange Business Service) avaient la capacité de gérer les données du PGE, mais ils n’ont pas fait d’Appel d’offres. C’est une habitude d’aller chercher à l’étranger, presque un réflexe pour les grandes administrations.
Pour contrer ce type de parti pris qui ne va pas dans le sens de l'intérêt général, Il est nécessaire d’avoir un vrai ministère régalien d'État. Avec une autorité, peut-être à deux têtes, civil et militaire à la fois pour réguler les conditions d’exploitations de la donnée publique. Car il y n’y pas que l’enjeu de la donnée régalienne civile, il y aussi un enjeu militaire qui est en cause. La guerre est numérique et ne se fait plus à coup de « missiles Exocet ».
Le seul politicien qui a pensé à cet enjeu et qui l’avait inscrit dans son programme était François Fillon, sous l’impulsion de Philippe Muller-Feuga, alors HFDS de Bercy… Personne n’a repris cela et lorsque je discute avec des politiciens de tout bord, aucun n’y accorde une réelle importance. Je pense qu’entre autres, aucun d’eux n’a lu les prévisions de la CIA en 2040 qui sont des référentiels importants et qui intègrent pleinement ces enjeux.
PIE : Le 6 octobre dernier, Thalès et Google annonçaient la création d’un “cloud de confiance” dont la particularité est la protection juridique contre le Cloud Act américain. Le Clarifying Lawful Overseas Use of Data Act, permettant à l’État américain un droit de regard extraterritorial sur toutes les données des sociétés en lien avec les États-Unis. Quel est votre point de vue ? Est-ce une annonce prometteuse ?
FIV: C’est une annonce peu prometteuse, car la technologie portée par ce cloud s’appuie sur une propriété intellectuelle essentiellement américaine. C’est une volonté de Dassault et Thalès qui considèrent inutile de payer une R&D pour une technologie déjà disponible. Donc c’est encore une fois l’argent qui prend la décision et qui va favoriser un avantage compétitif pour l’américain. Il n’y a bel et bien aucune souveraineté dans la démarche de ce cloud, qui est une escroquerie marketing phénoménale.
Ce phénomène s’apparente à celui, symptomatique du GAIA-X. L’enjeu était aussi bien pensé à l’origine jusqu’à ce que nous laissions entrer des acteurs extra-européens d’ailleurs revendiqués essentiellement par des Français. Ces derniers ont poussé l’avance des technologies américaines comme permettant de gagner du temps tout en démontrant l’impossibilité française d’y arriver. Je pense que, quand on commence à parler ainsi, on a déjà perdu. Or nous pouvons très bien y arriver sans eux, il suffit de le vouloir.
Cette démarche de cloud européen que l’on appelle le Sec num cloud (Sécurité numérique dans le cloud) avait été initiée par Dassault qui a facilité l’entrée des Américains dans le projet. Les Chinois ont réclamé à leur tour leur entrée après les Américains. Nous les avons laissés rentrer et aujourd’hui on a du Palantir, de l’Alphabet, du Facebook, du Huawei. Tout ce beau monde ne peut aujourd’hui prendre part au conseil d’administration, mais a un droit de vote. Dans deux ans, ils seront en mesure de voter pour qui ils voudront et pour eux-mêmes. Ils auront alors un siège au conseil d’administration selon la clause restrictive des premières années d’adhésion. Comme ils sont malins, leur représentation en nombre de votes est supérieur à la représentation des votes européens, ce qui fait de GAIA-X un produit formidable, encore financé par le denier européen et qui va être totalement exploité par les Américains et les autres.
Plutôt que de proposer aux Américains et aux Chinois de mettre leur système de collecte de données de masse en Europe, nous préférons payer, le produire pour eux, afin qu’ils puissent récolter de la donnée en toute impunité en s’appuyant sur le Cloud Act, et le Patriot Act. Nous pouvons continuer à les appeler « alliés », ils restent dans ce cadre notre pire ennemi économique. Les Chinois aussi implicitement.
PIE : On observe chez les individus une certaine résignation au sujet de la captation de leurs données personnelles. Habitués au régime des cookies et des publicités ciblées, une grande majorité de la population se sait tracée, écoutée, mais reconnaît consentir malgré elle à la vente de ses données personnelles au motif que GAFAM et leur force monopolistique leur donne accès aux réseaux quotidiens. Un journaliste belge a, entre autres, révélé une campagne d’influence menée par Facebook pour normaliser et habituer les utilisateurs à voir leurs données fuiter.
En somme, il n’y a déjà pas de sensibilisation à la protection des données personnelles, mais la redondance de l’exposition de celles-ci, exploitée par Facebook, permettra d’en faire une norme. Donnons-nous donc une piqûre de rappel : pourquoi la monétisation de notre donnée est-elle pernicieuse et comment le monopole accentue-t-il cette externalité négative devenue systématique ?
FIV: Le modèle économique de la gratuité repose sur la collecte de la donnée. Je propose un service en échange, je récupère de la donnée. Cette donnée que je transforme, monétise, valorise, et avec laquelle je gagne de l’argent. Il ne peut pas y avoir de réelle gratuité, cela n’existe pas.
L’ensemble des services numériques mondiaux proposés par les Américains et par les services Chinois, a été élaboré sur le principe selon lequel « c’est gratuit, mais nous ferons ce que nous voulons de l’information enregistrée dedans ». C’est écrit dans les conditions générales de services qu’un peu plus de quatre milliards de personnes ont signé. Ce sont les mêmes chez Google, chez Facebook, chez Microsoft. Les Européens n’ayant aucun système qui leur permette de collecter la donnée en masse, sont hors-jeu grâce au RGPD si l’on peut dire.
Nous Européens, devons nous faire à l’idée que si nous utilisons un service qui n’est pas le nôtre, celui-ci implique le traitement et la vente de nos données personnelles et une perte de souveraineté qui n’est plus acceptable. Implicitement depuis l’apparition de l’iPhone en 2007 tout le monde y consent, au titre que « ce n’est pas grave, ça rend tellement service ! ». Parce que cela fait appel aux sens cognitifs les plus primitifs de chaque individu et chaque individu s’y retrouve et obtient une autosatisfaction. Les réseaux sociaux sont les premiers producteurs de dopamine, gratuite qui plus est ! C’est vraiment un débat qui touche le comportement sociétal de l’individu et sa position dans la hiérarchie de la société. Nous aimions cet outil, nous en étions les maîtres et aujourd’hui nous en sommes les esclaves.
Certains arrivent à résister encore, mais ils restent minoritaires.
La problématique concernant les services étatiques est la suivante : L’ensemble des services administratifs numériques de l’État a suivi un processus de digitalisation et est aujourd’hui géré par une machine face à un humain. L’interprétation est donc automatisée et la marge de manœuvre humaine réduite par les technologies. Or ces dernières étant étrangères, une partie de l’interprétation et de la gestion de nos données civiles revient à l’étranger.
Ainsi, lorsqu’un État collecte de la donnée de ses citoyens dans des moteurs qui ne lui appartiennent pas, celles-ci sont accessibles à des Etats tiers et à des États non alliés sur le plan économique.
Les répercussions sensibles de ces interprétations de données auront entre autres permis l’élection de Trump, les printemps Arabes et décideront sûrement des élections présidentielles françaises en 2022, comme ce fut le cas pour les élections européennes en 2018.
L’enjeu financier est tel pour les compétiteurs que sont la Russie, les États-Unis et la Chine, qu’ils n’ont aucun scrupule à utiliser des systèmes mathématiques très pernicieux pour avoir une influence sur les réseaux sociaux, premiers relais de la parole politique et de la parole de l'État. Ce sont les réseaux sociaux qui disent comment il faut que l’on s’habille, quoi manger et où partir en vacances, et ce seront les réseaux sociaux qui diront pour qui voter.
Propos recueillis par Clémentine Balayer
Pour aller plus loin :