Partie 2
Repères
Déstabilisation des démocraties, attaques informatiques de nos sociétés, exploitations des données personnelles sensibles et, à l’extrémité du spectre, guerre dans le cyberespace; l’environnement numérique est en pleine révolution.
Parallèlement, la transformation numérique des organisations s’accélère dans un contexte de distanciation physique qu’a amplifié la crise sanitaire Covid. Alors que des exemples montrent que la volonté politique nationale n’est pas encore au rendez-vous, des projets européens concrets porteurs d’espoir ne demandent qu’à être encouragés.
La souveraineté numérique européenne ne peut être portée que par une volonté politique forte, seule réponse possible aux cybermenaces multiformes en croissance exponentielle.
La volonté de souveraineté numérique de la France et de l’Europe existe-elle dans les faits ?
· Le Data Health Hub (HDH), en cours de déploiement, est un marqueur de la faible volonté politique actuelle de la France en matière de souveraineté numérique
Le HDH est un guichet unique d’accès à l’ensemble des données de santé pour développer l’intelligence artificielle appliquée à la santé. Ces données sont celles de tous les citoyens français et concernent l’ensemble des systèmes informatisés : hôpitaux, pharmacies, dossiers médicaux partagés et données de recherche issues de divers registres. La quantité de données hébergées est amenée à exploser, notamment avec l’émergence de la génomique, de l’imagerie et des objets connectés. Toutes ces données sont stockées chez Microsoft Azure, plateforme cloud du géant américain Microsoft.
Ce projet de recherche « d’ intérêt public », concept juridiquement flou, ouvre la porte de nos données de santé et au pouvoir financier qu’elles représentent aux GAFAM, aux start-ups de l’intelligence artificielle, ainsi qu’aux assureurs.
Cette privatisation de la santé est perçue comme dangereuse pour de nombreux acteurs parmi lesquels le directeur des hôpitaux parisiens, le Conseil National des Barreaux, les entreprises de logiciels d’édition, le Conseil National de l’Ordre des Médecins, la Commission Nationale Informatique et Libertés (CNIL), le directeur général de l’ANSSI (1) .
Contrairement au ministère de l’intérieur en 2015, dans sa lutte contre le terrorisme, les hôpitaux de Paris ont refusé la proposition de Palantir, entreprise soumise au Cloud Act et travaillant pour la NSA, le FBI et la CIA, de participer à l’élaboration « des outils numériques de suivi de l’épidémie de Covid-19 ».
Malgré tout cela, un arrêté publié le 21 avril 2020, qui a fait l’objet d’un référé-Liberté en Conseil d’État, oblige les hôpitaux à intensifier l’envoi de nos données au HDH-Microsoft, témoignant d’une nouvelle contradiction de fond, « entre la logique du soin inconditionnel propre au secteur public ainsi qu’au serment d’Hippocrate, et les exigences d’efficacité et de rentabilité aujourd’hui dénoncées par les personnels médicaux et hospitaliers à travers de leur mouvement de grève et de leur réaction à la crise du Covid-19 ».
Le Cloud Act, adopté en 2018, permet à la justice américaine d’avoir accès aux données stockées dans des pays tiers. Ce texte est contraire au Règlement Général sur la Protection des Données (RGPD) censé protéger les citoyens européens. En cas de volonté politique ou d’attaque informatique, les patients sont soumis à un risque de rupture du secret médical. Quel serait l’impact d’une fuite massive de données de santé ?
· A l’autre bout du spectre européen, il existe des initiatives européennes encourageantes
GAIA-X, projet franco-allemand présenté en octobre 2019 lors du Sommet Numérique pose un cadre européen pour le « partage et la circulation de données correspondant aux valeurs de l’Europe ». Gaia-X (dont le nom est provisoire) a trois principaux objectifs :
- Poser les bases techniques et économiques d’une infrastructure souveraine ;
- Créer un écosystème commun d’utilisateurs et de prestataires issus d’organisations de l’administration publique, de la santé publique, des entreprises et des institutions scientifiques
- Créer un cadre favorable et des structures de soutien.
Il vise l’économie numérique pour tous, une large adoption par les PME, un apport de valeur ajoutée pour les particuliers, les États, les syndicats et l’économie, le contrôle des données et des services grâce à l’indépendance technologique, l’auto-détermination dans le partage des données de manière ouverte, équitable, diversifiée et démocratique.
La position franco-allemande a été publiée le 18 février 2020 dans un papier rassemblant les positions communes en ces termes :
« Nous, représentants des industries, des fournisseurs de services cloud (CSP) et des clients de services cloud (CSC), de France et d’Allemagne et de leurs gouvernements respectifs, soutenons GAIA-X dans son objectif de faciliter la création de données européennes et d’écosystèmes axés sur l’IA (intelligence artificielle), afin de garantir la souveraineté des données et garantir que la création de valeur demeure avec les participants individuels. Nous convenons que ces écosystèmes
- Conformément à l’Espace européen des données promu par la Commission européenne
- Se concentreront initialement sur un certain nombre de secteurs, notamment la mobilité, les finances, la santé, l’habitat, l’environnement-climat-agriculture, les services publics, l’industrie 4.0 et autres. […]D’autres États membres européens seront invités à se joindre à nos efforts, ouvrant la voie à l’établissement de meilleures pratiques dans le monde entier. »
La Communauté Européenne investira 600 M€ dès 2021. GAIA-X s’appuiera sur des politiques et règlement européens comme :
- le RGPD d’avril 2018 déjà cité, applicable depuis le 25 mai 2018 ;
- le règlement « Electronic IDentification Authentication and trust Services » (eIDAS) de juillet 2014 qui est un règlement de l’UE sur l’identification électronique et les services de confiance pour les transactions électroniques au sein de l’Union Européenne déjà implémenté en Estonie, sur des technologies ouvertes,
- le SWIPO, qui vise à faciliter le changement de fournisseur et le transfert des données entre systèmes informatiques,
- la libre circulation des données,
- l’ European Cybersecurity Act, adopté par le Parlement européen le 12 mars 2019 puis par le Conseil de l’Union européenne le 7 juin, qui marque une avancée importante pour l’autonomie stratégique européenne avec un double objectif : l’adoption du mandat permanent de l’ENISA (2) ,
L’Agence européenne pour la cybersécurité, et la définition d’un cadre européen de certification de cybersécurité, essentiel pour renforcer la sécurité du marché unique numérique européen. Techniquement, GAIA-X se veut une architecture ouverte et respectueuse des standards.
Le gouvernement allemand présente Gaia-X comme « une infrastructure de données en forme de réseau, berceau d’un écosystème européen vital ». Juridiquement, il prendra la forme d’une « société de droit belge et fonctionnera comme une association à but non lucratif ».
Certes, certains analystes et influenceurs dans le domaine du Cloud, se faisant peut-être le relais d’influence des GAFAM en France, jugent que la guerre du Cloud Public est derrière nous. Louis Naugès, par exemple, estime dans un article, par ailleurs très pertinent : « Comme le montre de manière éclatante le graphique ci-dessus, ces trois acteurs industriels du Cloud Public investissent chacun entre 10 et 20 milliards de dollars par an dans leurs infrastructures. Les jeux sont faits : tous les autres grands fournisseurs historiques, IBM, HP, Oracle, Dell… ont perdu, définitivement, cette bataille des infrastructures cloud. »
Restant, de par son positionnement d’analyste, sur le strict plan économique, financier et industriel, il évacue la question de la politique souveraine qui devrait pourtant être centrale dans ce domaine.
De façon plus stratégique, l’ANSSI élabore actuellement, en lien avec l’ENISA, les axes cyber du programme « Horizon Europe » qui fait suite au programme « Horizon H2020 ». Au sein du programme « Sécurité », la cyber va être doté de 1,7 Md€ sur la période 2021 – 2027. Les axes qui se profilent sont les suivants : la résilience des infrastructures connectées, la sécurité des matériels, des logiciels et de la supply chain, les technologies disruptives (transition crypto post-quantique et Intelligence Artificielle), l’évaluation de cybersécurité dynamique pour la certification des produits et enfin la protection de la vie privée par des outils ergonomiques permettant de passer à l’échelle supérieure. Les premiers appels d’offres sont prévus en mars 2021.
Enfin, l’ENISA a déjà bien avancé les schémas de certification européens « Critères Communs » des produits cyber et engage ceux de l’informatique en nuage.
En septembre 2020, le commissaire européen Thierry Breton a énoncé les ambitions de la Commission européenne : « Décennie numérique », c’est notre label… un minimum de 20% des fonds doit être programmé pour la transition numérique et établir ce que Mme Merkel, qui a pris la présidence tournante de l’Union, a qualifié de « souveraineté numérique de l’Europe »
La question de la volonté politique nationale et européenne
· La guerre du Cloud Public et de nos données souveraines et sensibles est-elle vraiment perdue ?
L’Histoire nous éclaire : pourquoi, sinon par volonté de souveraineté, a-t-on, dans les années 60, engagé avec le succès que l’on connaît aujourd’hui des coopérations industrielles dans le spatial ou l’aéronautique comme Airbus et Ariane alors que des alternatives commerciales existaient de l’autre côté de l’Atlantique ? Pourquoi a-t-on engagé un programme de nucléaire civil ?
Pourquoi la Chine communiste, encore en « Révolution Culturelle » dans les années 70, a-t-elle engagé dans les années 90 un programme de reconquête qui fait d’elle aujourd’hui une puissance économique mondiale, numérique en tête ?
Tout est une question de volonté politique ! Quand les pays européens, à commencer par la France, estimeront que les données sensibles de leurs citoyens sont un Bien Stratégique avec une vraie valeur politique et pas un simple bien marchand, alors, elles se doteront des moyens de les maîtriser quel qu’en soit le prix.
Outre la question de la politique industrielle des données, il conviendra alors, dans l’esprit du RGPD, de réglementer sévèrement et de durcir les sanctions en cas de fuite de données personnelles sensibles sur un Cloud non européen. La contrefaçon de monnaie est un crime contre l’État et punie de prison. De même, l’exploitation commerciale de données souveraines, sensibles et personnelles doit, à l’avenir, être considérée comme un crime.
Au-delà des discours et des professions de foi martiales, quelles sont les actions quantifiables de la France ? Reproduisant les erreurs de sa gestion de la filière sidérurgique dans les années 70, la France trouve, à fonds perdus et sans contreparties environnementales, respectivement 10 milliards d’€ pour soutenir l’aéronautique, et 4 milliards d’€ pour l’automobile, alors que ce sont des industries sans avenir du fait de la crise environnementale et climatique majeure qui se profile. Parallèlement, elle fait allégeance aux GAFAM pour les données personnelles et sensibles de ses citoyens. L’Europe a-t-elle cette volonté politique de souveraineté dans les faits ? Le projet GAIA-X est un début, trop timide. L’Europe investira-t-elle les 20 milliards € par an nécessaires pour construire le Cloud européen de confiance qui est stratégique pour notre avenir ?
(1) ANSSI : Agence nationale de la sécurité des systèmes d’information www.ssi.gouv.fr
(2) ENISA (European Network and Information Security Agency ) : Agence de l’Union européenne chargée de la sécurité des réseaux et de l’information www.enisa.europa.eu
Thierry Leblond
Co-fondateur & CEO Scille SCILLE
Article paru dans Lettre Eurodéfense N°70-Octobre 2020
