Ressources

News

La Souveraineté Numérique (1/2)

Un intérêt économique, politique et juridique

1. Qu’est-ce que c’est ?

La souveraineté numérique, parfois appelée aussi cybersouveraineté, est l’application des principes de souveraineté au domaine des technologies de l’information et de la communication. La souveraineté désignant la capacité d’un État à maitriser son environnement, et ce, sans intervention extérieure, il s’agit donc ici de se doter au niveau national d’une infrastructure permettant l’indépendance en matière numérique, tant des entreprises et des services de l’État que des citoyens.

En particulier, on s’interroge donc sur l’aptitude d’un État à faire respecter ses lois et ses réglementations numériques sur son territoire national, et vis-à-vis de ses citoyens. Ce qui, au vu de l’internationalisation d’Internet et de ses services, est une véritable gageure : dans quelle mesure peut-on forcer les GAFAM à respecter le droit français ou européen quand ce sont des citoyens français ou européens qui utilisent leurs applications et leurs services ?

2. Les bases de la souveraineté européenne

Au niveau national, la France dispose d’un panel de réglementations régissant les usages numériques, dont la plus connue est la Loi Informatique et Liberté du 6 janvier 1978. Cette loi encadre les pratiques des entreprises et leur traitement des données personnelles des citoyens français. Cette loi a évolué dans le contexte européen et est désormais complétée par le Règlement Général sur la Protection des Données (RGPD), la réglementation européenne encadrant le traitement des données personnelles.

Ces lois visant à l’origine particulièrement les entreprises nationales ont pris une importance de plus en plus grande dans le cadre de la souveraineté européenne : il s’agit de pouvoir forcer les géants du numérique, bien souvent américains ou chinois, à respecter le droit européen. Le sujet est sensible pour la Commission Européenne, qui légifère pour faciliter les contrôles, les échanges d’informations, résoudre les blocages procéduraux, etc.

Autre volet du droit numérique : les mesures de cybersécurité et la résilience des organismes jugés critiques pour le pays. Les besoins en souveraineté varient selon les situations : un organisme indépendant travaillant dans un domaine culturel n’aura pas la même nécessité de souveraineté numérique qu’un organisme militaire !

En France, la Loi de Programmation Militaire de 2016 force les entreprises considérées comme Organisme d’Importance Vitale à mettre en place des mesures de sécurité afin de garantir leur résilience en cas d’attaque cyber et à… protéger leur souveraineté, notamment en réduisant le recours à des entreprises extra européennes et en hébergeant leurs données en Union Européenne. Cette loi est en passe d’obtenir un équivalent européen : la directive NIS 2.

De fait, de nombreuses réglementations dans le domaine sont désormais européennes, de sorte que la souveraineté aujourd’hui ne se pose plus tant en termes nationaux qu’en termes européens.

En plus de cet arsenal de réglementations qui régulent l’usage du numérique sur le territoire national et européen et qui protègent les citoyens français et européens des abus des entreprises, les pays européens se sont dotés d’organismes étatiques chargés de faire respecter les lois et d’accompagner les entreprises ou les citoyens en cas d’incidents numériques. En France, il s’agit par exemple de l’A.N.S.S.I (Agence Nationale de la Sécurité des Systèmes d’Information) ou de la C.N.I.L (Commission Nationale de l’Informatique et des Libertés).

Ces organismes, en plus des réglementations, sont aussi les garants de la souveraineté : au-delà du respect des réglementations par les entreprises nationales, ils doivent aussi se préoccuper de leur respect par des entreprises étrangères opérant sur le territoire national ou européen.

Ces organisations s’illustrent notamment régulièrement dans les amendes et les sanctions conséquentes imposées aux GAFAM et aux géants américains et chinois ne respectant pas la réglementation (Tiktok : 345 millions d’euros en septembre 2023, Meta : 1,2 milliard d’euros en juin 2023 pour des problématiques liées au RGPD).

3. La dépendance en pratique

Pour autant, au niveau de l’entreprise, la perte de souveraineté prend souvent une tournure difficile à identifier – et à limiter.

La dépendance passe souvent par les données, c’est pourquoi leur traitement est très encadré (pour rappel, un traitement de données est tout type d’opération appliqué à une donnée : stockage, sauvegarde, partage, destruction…). Or, lorsque les traitements de données d’un organisme deviennent dépendants d’une application, d’un espace de stockage ou même d’un système d’information étranger, les données ne sont alors plus sous le contrôle d’une seule organisation, mais bien de toutes les entités entrées en jeu lors du stockage et de l’utilisation de celles-ci.

Prenons l’exemple d’une entreprise stockant, modifiant et partageant les documents grâce à un SaaS situé hors de l’Union européenne, hébergé sur un domaine en .com, par exemple utilisant la suite O365 ou Google Drive.

Lors de la création du compte, l’entreprise est tenue d’indiquer qu’elle accepte les C.G.U (Conditions Générales d’Utilisation) qui encadrent l’utilisation de ladite application. Rares sont ceux qui lisent la totalité du document… Et pourtant tout est explicitement écrit !

En fonction du service utilisé, l’entreprise doit tout simplement léguer ou partager à l’entreprise propriétaire du SaaS tout ou au moins une partie des données qui seront traitées grâce à l’application.

Exemple:

« Pour des besoins de traitement externe, nous transmettons des informations personnelles à nos sociétés affiliées et à d’autres sociétés ou personnes de confiance qui les traitent pour notre compte, selon nos instructions, conformément à nos règles de confidentialité et dans le respect de toute autre mesure appropriée de sécurité et de confidentialité. Par exemple, nous faisons appel à des fournisseurs de services pour nous aider à gérer nos centres de données, fournir nos produits et services, améliorer nos processus commerciaux internes et proposer une assistance supplémentaire aux clients et aux utilisateurs. Nous faisons également appel à des prestataires de services pour nous aider à examiner le contenu de vidéos YouTube pour la sécurité du public, et pour analyser et écouter des extraits de données utilisateur audio enregistrées afin d’améliorer les technologies de reconnaissance audio de Google. »

Ou encore…

« AWS et ses sociétés affiliées traiteront toutes les données à caractère personnel concernant votre personnel (« Personnel ») qui sont fournies à AWS ou à ses sociétés affiliées en lien avec un ÉDT conformément aux pratiques de traitement décrites dans l’Avis de confidentialité d’AWS (disponible sur la page https://aws.amazon.com/privacy/). Vous mettrez l’Avis de confidentialité d’AWS à la disposition de tout membre du Personnel dont vous fournissez les données personnelles à AWS ou à ses sociétés affiliées. »

Nous pouvons dès lors imaginer certaines dérives possibles avec ce type de contrat : une entreprise innovante est-elle véritablement à l’abri de la transmission de ses processus de fabrication à un concurrent ? Des données soumises au secret professionnel ne sont-elles pas revendues à des opérateurs, ou consultées par des personnes n’ayant pas le besoin de les connaitre, sous prétexte d’effectuer des traitements nécessaires sur ces données ?

Continuons maintenant le raisonnement en admettant que le service SaaS, l’application, ou le serveur souscrit se veut complètement transparent, éthique et sécurisé concernant les données utilisateurs et celles de l’entreprise associée. Les entreprises ne seraient pas pour autant à l’abri ! En cas de fermeture pour des raisons économiques ou juridiques… voire même… POLITIQUES ! L’entreprise ne peut plus continuer à utiliser le service et peut même y perdre des données.

Exemple :

Le cas des accès aux services de la plateforme GitHub dans des pays frappés par les sanctions économiques : « For individual users, who are not otherwise restricted by U.S. economic sanctions, GitHub currently offers limited restricted services to users in these countries and territories. This includes limited access to GitHub public repository services for personal communications only. »

« PayPal Suspends Flipper Zero Account and Withholds $1.3M

The developers of the “hacker Tamagotchi” Flipper Zero said that for two months now they have not been able to return $ 1.3 million that remained on the project’s PayPal account that was blocked without explanation »

Alors bien sûr, il y a des recours en justice, des cadres légaux et des possibilités théoriques de ne pas se retrouver seuls face à un tel drame, mais les démarches sont longues, onéreuses et le cadre légal parfois flou. Car s’il est plutôt pensable en France pour une entreprise française d’entamer des démarches juridiques contre une entreprise française, cela devient beaucoup plus fastidieux à travers le globe.

Cerise sur le gâteau de notre indépendance perdue : le CLOUD Act et le PATRIOT ACT, des législations américaines qui renforcent l’extraterritorialité du droit américain et permettent une intervention juridique des États-Unis hors du continent américain. Concrètement, cela signifie que même si une entreprise héberge ses données au sein de l’Union Européenne, si elle utilise un opérateur numérique ou un prestataire informatique américain, alors l’État américain s’arroge le droit de pouvoir au besoin rapatrier ces données aux Etats-Unis et les consulter. Ce qui, dans les faits, fragilise énormément la souveraineté européenne et l’application du RGPD.

4. Conclusion

Au-delà des luttes de pouvoir et d’influence juridique entre États, il est nécessaire pour la pérennité d’une entreprise, ainsi que celle de ces utilisateurs d’arriver à garder une certaine indépendance numérique :

  • Sur le plan pratique avec des applications souveraines, accessibles voire même développées sur place par l’entreprise elle-même ;
  • Sur le plan économique avec un contrôle et une confiance totale en ces systèmes de paiement, et de stockage financier ;
  • Sur le plan géographique avec un hébergement local ou dans un pays indépendant et en accord avec la RGPD et l’éthique de l’entreprise.

Maintenant que le cadre est posé, les risques évoqués, nous pourrons nous pencher sur les solutions, les alternatives et surtout leurs bénéfices la prochaine fois !

Article rédigé par : Yoann P., consultant chez Coralium

Si vous voulez en savoir davantage sur nos offres, en lien avec le sujet de l’article, nous vous proposons de découvrir : Parcours de maturité cyber

SOURCES :

Définitions et débats :

CGU :

Évènements marquants :

Le Cloud Act :