Village de la Justice www.village-justice.com

Le devoir de souveraineté numérique : la reconquête du cyberespace. Par Hannan Otmani, Avocate.
Parution : lundi 23 janvier 2023
Adresse de l'article original :
https://www.village-justice.com/articles/devoir-souverainete-numerique-reconquete-cyberespace,44918.html
Reproduction interdite sans autorisation de l'auteur.

Si l’ambition est celle de maintenir la France parmi les États qui comptent dans l’espace numérique, il n’en demeure pas moins que l’Union européenne est l’échelle de pertinence pour construire un cyberespace stable et respectueux des valeurs démocratiques, tout en étant performant. Pour apporter des réponses adaptées et des garanties robustes, une analyse de l’écosystème numérique doit être menée dans le contexte actuel de globalisation et de néolibéralisme où s’exprime la brutalité des rapports géopolitiques et économiques internationaux.

Le cyberespace a ceci de particulier qu’il est le seul espace stratégique créé de la main de l’Homme [1]. Ce monde immatériel apparaît comme un monde à conquérir ou, a minima, dans lequel exercer sa puissance. L’ANSSI [2] définit le cyberespace comme l’espace de communication constitué par l’interconnexion mondiale d’équipements de traitement automatisé de données numériques.

Le cyberespace se compose de trois sphères [3] :

1. Couche matérielle ou infrastructures qui correspond à l’ensemble des appareils, serveurs, routeurs, ordinateurs qui permettent l’interconnexion des machines.

2. Couche logique ou logicielle qui couvre les éléments de communication entre les machines elles-mêmes, autrement dit les protocoles, ou bien entre les humains et les machines, c’est-à-dire les logiciels.
Ces deux premières couches forment l’organisation technique du cyberespace et définissent la manière dont les réseaux fonctionnent.

3. Couche, dite sémantique ou informationnelle (ou encore « cognitive ») : correspond à l’ensemble des informations qui transitent au travers des deux premières.

Dès lors, la souveraineté, entendue comme le pouvoir politique suprême exercé sur un territoire, doit s’appliquer à ces trois niveaux du cyberespace ; à défaut, un lien de dépendance technologique sera toujours présent. Pour simplifier, dominera l’espace numérique, l’entité qui en contrôlera ses trois couches.

Et à ce jeu de pouvoir, les États-Unis, qui ont créé et déployé Internet [4], ont pris un ascendant absolu dans la gouvernance mondiale de l’empire numérique, imposant leurs standards et réglementations agressives à portée extraterritoriales [5]. Le Président Obama, avait déclaré, en 2015, en réponse aux accusations d’espionnage numérique massif de la NSA [6] (Affaire Snowden) : « Internet est à nous, nos entreprises l’ont créé, étendu et perfectionné de telle façon que la concurrence ne peut pas suivre ».

Les Etats-Unis ont structuré leur vision stratégique et géopolitique du cyberespace sur leur architecture technique, au travers leurs câbles sous-marins par lesquels transitent 90% des flux de données, et leurs serveurs racines (dont 9 sur 13 sont sur le territoire américain) pour faire fonctionner Internet.

Par ailleurs, la mission fondamentale de définir les principales normes applicables à Internet, revient également à une société américaine privée : l’ICANN [7] qui est en situation de monopole mondial. La logique voudrait que la gestion d’un système aussi important pour l’humanité fasse l’objet d’un traité instituant une organisation internationale.

Jusqu’à présent, ce débat a eu peu d’écho et s’est heurté à la politique intelligente de l’ICANN et (sans doute) à la résistance déterminée du gouvernement américain.

« Il est symptomatique que les États-Unis soient très fermement attachés à la localisation de l’ICANN et des ordinateurs (…) sur le sol américain. Le ficher mondial des abonnés et des sites Internet se trouve ainsi sur leur territoire, avec de larges possibilités d’accès, soit par voie de justice, soit de manière plus discrète » [8].

Internet participe également du soft power américain, étant un vecteur alternatif du monde libéral, par le biais notamment des réseaux sociaux Facebook, Twitter, LinkedIn ... C’est pourquoi

« Internet doit être considéré en conséquence non comme un outil d’influence, mais comme un outil qui démultiplie l’influence » [9].

La technologie américaine s’est ainsi imposée à l’échelle planétaire dans toutes les sphères et secteurs d’activité publics et privés, constituant un levier de puissance considérable, levier largement soutenu et renforcé par le gouvernement, le droit et la diplomatie nord-américaine.

Par exemple, le Cloud Act [10] (2018), permet légitimement aux forces de l’ordre et agences de renseignement fédérales des Etats-Unis d’obtenir les données des personnes non américaines détenues dans les serveurs d’entreprises américaines (essentiellement les GAFAM) sans avoir à avertir les utilisateurs. Un risque pour nos données stratégiques et une contrariété avec le RGPD [11] pour les données à caractère personnel. N’ayant pas de procédure légale d’entraide judiciaire, les Etats ne peuvent s’opposer à ce pillage de données, ni refuser de les livrer.

Et à cet égard, le RGPD, n’est d’aucune aide [12], son champ d’action est, en réalité, limité, et les amendes infligées ne sont en rien dissuasives compte tenu du chiffre d’affaires des champions du numérique.

Ainsi, les Etats-Unis, imités par la Chine et par la Russie (dans une moindre mesure), ont pris le leadership du contrôle numérique mondial.

La Chine comme la Russie ont investi massivement pour faire face au bloc américain et ont développé des doctrines strictes visant à garantir leur souveraineté numérique et s’émanciper de l’hégémonie américaine. Ces politiques autoritaires et obscures, restrictives de protection du cyberespace et éloignées des valeurs occidentales démocratiques, connaissent un succès mitigé mais ne doivent en rien être négligées.

La Chine et la Russie sont désormais armées en matière de souveraineté numérique dans le cyberespace à l’heure où la guerre froide technologique est à l’œuvre.

Les équilibres entre puissances placent aujourd’hui l’Europe, et la France, dans une position bien particulière.

Cette situation géopolitique laisse, en effet, peu de place pour une stratégie européenne encore mal définie : les capacités d’investissements européennes restent marginales, l’accent est donc mis sur la défense de valeurs (une conception exigeante de la vie privée), et le principal levier reste, par défaut, de négocier l’accès des entreprises à un marché intérieur convoité de près de 500 millions de consommateurs.

Si, aujourd’hui en France, des initiatives comme La French Tech tentent de redonner un nouveau souffle à son positionnement dans le cyberespace,

« l’effort est manifestement insuffisant par manque de moyens, mais surtout parce que l’environnement a été préempté par les Big Tech ce qui rend difficile toute création numérique souveraine, indépendante des services ou ressources étrangères » [13].

Financer massivement et sans discernement des startups vouées à l’échec ou rachetées in fine par des acteurs extra-européens ne changera pas la donne. Le progrès technologique doit avant tout guider la France et l’Europe vers une véritable indépendance numérique.

C’est sur le terrain du transfert de données vers les USA, que l’Europe mène une bataille juridique défensive depuis près d’une décennie. Par son remarquable arrêt Schrems, la Cour de justice de l’Union européenne invalide le Safe Harbor un accord conclu en 2000 entre la Commission européenne et les États-Unis. À la hâte, est conclu en 2016 le controversé Privacy Shield, lequel est également invalidé par la CJUE.

L’Europe a su, jusqu’alors rétablir un équilibre dans le rapport de force mais les dépendances énergétiques de l’Europe l’ont-elles conduite au sacrifice de sa souveraineté numérique ?

En Mars 2022, l’UE cherchant une alternative au gaz russe, une alliance énergétique est scellée entre l’Europe et les Etats-Unis, permettant aux européens de disposer du GNL américain. C’est dans ce contexte, qu’est annoncé un nouvel accord sur le transfert de données entre l’UE et les États-Unis, alors que les discussions étaient à l’arrêt.

Nos données ont-elles été choisies comme monnaie d’échange ?

De nouveaux défis géopolitiques, écologiques, et socio-économiques nous interrogent ainsi sur les rôles et responsabilités des acteurs. À ce titre, le contrôle des données est l’axe prioritaire tant du « redéveloppement » économique américain, structuré autour des géants économiques, que de la stratégie américaine de sécurité, appuyé par les pouvoirs très importants confiés à la NSA.

Pour rétablir un équilibre dans la répartition du pouvoir numérique, l’UE ne doit pas céder à des solutions de facilité, en acceptant par exemple une simple localisation des données sur son territoire [14].

Des solutions très variées sont offertes face à cette problématique, allant de la standardisation technique aux investissements industriels en passant par la réglementation.

Hannan Otmani Avocate au Barreau de Paris, Fondatrice de WISER AVOCATS et de DeLeX Consortium (Think Tank), Auteure (2 romans publiés)

[1Rapport du sénat, Oct. 2019, Le devoir de souveraineté numérique.

[2Agence nationale de la sécurité des systèmes d’information.

[3Rapport fait au nom de la commission d’enquête sur la souveraineté numérique remis à M. le Président du Sénat le 1er Octobre 2019.

[4L’histoire du cyberespace commence sur le territoire américain avec la création en 1969 de l’Arpanet pour les besoins de la Défense, développé par la Defense Advanced Research Projects Agency (DARPA), et la création du protocole TCP/IP (Transmission Control Protocol/Internet Protocol) en 1972. Pour son usage civil, l’Arpanet deviendra l’Internet avec la création des noms de domaine en 1983 et du World Wide Web en 1989.

[5Par exemple, le « Claryfying Lawful Overseas Use of Data Act » (« Cloud Act »).

[6La National Security Agency (« Agence nationale de la sécurité ») est un organisme gouvernemental du département de la Défense des États-Unis, responsable du renseignement d’origine électromagnétique et de la sécurité des systèmes d’information du gouvernement américain.

[7L’ICANN (« Internet Corporation for Assigned Names and Numbers ») gère ainsi les attributions de protocoles Internet (« IP »), assemblages de chiffres formant une adresse informatique. Chaque ordinateur dispose d’une adresse IP qui est sa propre signature. L’ICANN enregistre aussi les noms de domaines des sites Internet (ou DNS).

[8Rapport d’information parlementaire sur les vecteurs privés d’influence dans les relations internationales, par Jean-Michel Boucheron et Jacques Myard, Assemblée Nationale, 18 octobre 2011, p. 66.

[9Rapport d’information parlementaire sur les vecteurs privés d’influence dans les relations internationales.

[10Le « Claryfying Lawful Overseas Use of Data Act » (« Cloud Act ») adopté par le congrès des États-Unis en mars 2018 : il vise principalement à réaffirmer le droit dont disposent les autorités américaines d’exiger des intermédiaires techniques soumis à leur juridiction la communication de toutes données stockées, même à l’étranger.

[11Règlement général sur la protection des données de l’Union européenne, entré en vigueur en Mai 2018.

[12Selon Solange Ghernaouti, directrice du Swiss Cybersecurity Advisory & Research Group, « Soft power numérique et force de frappe technologique », Journal suisse Le Temps, Août 2019.

[13Maison Rouge (de) Olivier, Cyberisques. La gestion des risques juridiques à l’ère numérique, LexisNexis, 2018.

[14Cette solution, souvent mise en avant comme une mesure de souveraineté, en particulier dans le débat sur le Cloud, est cependant inopérante dans un espace numérique, où des données peuvent être stockées de partout au travers le monde sans aucune garantie de sécurité juridique pour l’utilisateur. Aussi, un cloud basé sur un logiciel d’un GAFAM sur un serveur opéré par un GAFAM dans un datacenter d’un GAFAM sur le sol européen, avec des liens quotidiens vers l’architecture centrale du GAFAM pour accéder à des services plus sophistiqués, n’emporte aucune garantie de souveraineté, pourtant les données sont bien localisées dans l’Union européenne.