Un autre regard sur la mondialisation et l'industrie

Président :
Bernard Carayon
(Ancien député UMP du Tarn)

Vice-Président :
Jean-Michel Boucheron
(Ancien député PS d'Ille et Vilaine)

Publications - Lettre Prometheus - Avril 2016

Informatique numériqueLe 6 janvier 2016, l’amendement proposé par les députés Batho et Granguillaume a été adopté[1]. Il propose de créer un Commissariat à la souveraineté numérique rattaché aux services du Premier ministre dont les missions concourront « à l’exercice, dans le cyberespace, de la souveraineté nationale et des droits et libertés individuels et collectifs que la République protège [2]». Cet amendement fait suite aux problèmes de plus en plus inquiétants concernant la sécurité des données personnelles, comme en atteste l’arrêt de la CJCE qui a porté un coup d’arrêt à l’accord « Safe Harbor », jugeant qu’il portera « atteinte au contenu essentiel du droit fondamental au respect de la vie privée »[3]. Cependant, malgré ces voeux pieux de protéger les données personnelles, la réalité semble beaucoup plus compliquée puisque le cyberespace, par définition, n’a pas de frontière et donc, pas de souverainetés en concurrence. Dès lors, comment un organe peut-il assurer les droits et libertés que la République protège ? Et surtout, la République est-elle compatible avec le cyberespace ?

Le cyberespace est défini comme  un « espace virtuel rassemblant la communauté des internautes et les ressources d’informations numériques accessibles à travers les réseaux d’ordinateurs »[4]. Il regroupe donc l’ensemble des utilisateurs d’Internet dans un monde virtuel. Imposer une souveraineté sur cet ensemble est donc pour le moins compliqué. Il faut aussi se rappeler qu’à l’origine, Internet est une création de l’armée américaine. D’abord conçu comme un programme militaire (ARPANET), il avait comme but de protéger les données stratégiques et de pouvoir communiquer afin d’organiser la contre-attaque au cas où l’URSS lancerait une attaque massive sur les centres informatiques stratégiques américains[5]. Il a été détourné par les universités qui travaillaient en collaboration avec l’armée pour s’intégrer de plus en plus à la société civile. Le principe d’Internet est donc le partage d’informations mais un contrôle sur celles-ci est-il possible ? Oui, à condition de contrôler les serveurs sur lesquels elles sont stockées, les serveurs DNS racine. Il en existe treize au monde, et ils gèrent l’ensemble des données échangées sur Internet. Sans ces serveurs, pas d’Internet. Ces treize serveurs (dont neuf sont américains) sont sous le contrôle de l’Internet Corporation for Assigned Names and Numbers (ICANN),  une société à but non lucratif, gérant l’attribution de l’ensemble des noms de domaine et des adresses IP. Elle est, sans grande surprise, basée en Californie et dépend donc du procureur général de Californie et en dernier recours du département du commerce des Etats-Unis. Ainsi, pour ceux qui en doutaient encore, Internet tourne bien pour les Américains. Sous les pressions internationales, les Etats-Unis se sont engagés à renoncer à leur contrôle sur le cœur d’Internet en 2015… Pas de nouvelles depuis…[6].

La France veut donc reprendre le contrôle sur l’Internet et protéger les informations personnelles de ses ressortissants. Vaste programme ! Après les révélations de Snowden sur l’espionnage de masse auquel se livraient les Américains, le monde a pris conscience de la vulnérabilité des données personnelles. Peut-on réellement les protéger ? A l’heure où nous publions nous-mêmes nos informations personnelles sur des réseaux sociaux, eux aussi sous drapeau américain, peut-on réellement l’envisager ? Il suffit de regarder la politique de confidentialité de  Google qui détient plus de 85% des parts de marché dans le référencement[7] à laquelle l’ensemble de ses utilisateurs ont adhéré : « Lorsque vous importez, soumettez, stockez, envoyez ou recevez des contenus à, ou à travers nos Services, vous accordez à Google (et à toute personne travaillant avec Google) une licence, dans le monde entier, d’utilisation, d’hébergement, de stockage, de reproduction, de modification, de création d’œuvres dérivées (des traductions, des adaptations ou d’autres modifications destinées à améliorer le fonctionnement de vos contenus par le biais de nos Services), de communication, de publication, de représentation publique, d’affichage public ou de distribution publique desdits contenus. Les droits que vous accordez dans le cadre de cette licence sont limités à l’exploitation, la promotion ou à l’amélioration de nos Services, ou au développement de nouveaux Services. Cette autorisation demeure pour toute la durée légale de protection de votre contenu, même si vous cessez d’utiliser nos Services (par exemple, pour une fiche d’entreprise que vous avez ajoutée à Google Maps). Certains Services vous proposent le moyen d’accéder aux contenus que vous avez soumis à ce Service et de les supprimer. Certains Services prévoient par ailleurs des conditions ou des paramètres restreignant la portée de notre droit d’utilisation des contenus que vous avez soumis aux Services en question. Assurez-vous que vous disposez de tous les droits vous permettant de nous accorder cette licence concernant les contenus que vous soumettez à nos Services. […] Nos systèmes automatisés analysent vos contenus (y compris les e-mails) afin de vous proposer des fonctionnalités pertinentes sur les produits, telles que des résultats de recherche personnalisés, des publicités sur mesure et la détection des spams et des logiciels malveillants. Cette analyse a lieu lors de l’envoi, de la réception et du stockage des contenus. »[8]

Ces services que nous utilisons quotidiennement sont tous transnationaux et ne répondent que très peu au contrôle d’autorités élues. Quand elles le sont, c’est sous l’autorité d’un tribunal américain. Ils répondent avant tout aux intérêts purement économiques de leurs propriétaires. La volonté de remédier à cela serait donc une initiative à saluer.

La proposition des députés consiste donc en la création d’un réseau autonome en établissant un protocole de chiffrement sous le contrôle de l’Etat français[9]. Tout échange, collecte, traitement et conservation de données sur le territoire national devra utiliser un protocole de chiffrement autorisé par la puissance publique. Les serveurs devront aussi être domiciliés en France, et non plus aux Etats-Unis. Cependant, cette méthode n’est pas sans risque. En effet, toute faille volontairement laissée dans un système de chiffrage pourra et sera probablement utilisée par des cybercriminels. Le système de chiffrage le plus sécurisé d’aujourd’hui, « https », est celui que l’on retrouve dans tous les sites nécessitant des mots de passe, des informations personnelles et/ou bancaires ainsi que les réseaux sociaux. A l’heure actuelle, il est vraisemblable qu’il n‘ait jamais été forcé mais il subit quotidiennement des tentatives (dont celles de la NSA[10]). Si jamais il était « craqué », on n’ose imaginer les conséquences pour la sécurité des individus mais aussi celles des entreprises : des cybercriminels pourraient se faire passer pour des sites autorisés et obtenir ainsi l’ensemble des coordonnées et mots de passe des utilisateurs sans que personne ne puisse s’en rendre compte. Le système de chiffrage français potentiel sera donc soumis aux mêmes tentatives et aussi, aux mêmes risques. S’agissant d’un projet centralisé, les plus grandes précautions sont donc à prendre.

Un système d’exploitation national (OS) a déjà été mis en place en Chine, en Corée du Nord et au Brésil[11]. Pour le moment, la France a la CNIL, seul organe qui se bat pour la protection des données. Elle sera donc peut-être bientôt épaulée par un commissariat afin d’affirmer sa place dans un monde informatique qui reste à construire. Les informations personnelles sont le pétrole du XXIème siècle ; pourtant, contrairement à ceux du pétrole, les géants d’Internet sont tous américains. A quand des géants français ou européens ?

Notes :

[1] http://www.assemblee-nationale.fr/14/amendements/3318/CION_LOIS/CL129.asp

[2] Ibid.

[3] http://abonnes.lemonde.fr/pixels/article/2015/10/06/la-justice-europeenne-invalide-le-tres-controverse-accord-safe-harbor-sur-les-donnees-personnelles_4783262_4408996.html

[4]http://www.larousse.fr/dictionnaires/francais/cybermonde/21258

[5] http://www.lefigaro.fr/web/2009/09/02/01022-20090902ARTFIG00263-il-y-a-40-ans-naissait-presque-Internet-.php

[6] http://www.numerama.com/magazine/28768-icann-usa-iana-dns-racine-controle-Internet-gouvernance.html

[7] http://www.blogdumoderateur.com/chiffres-google/

[8] https://www.google.fr/intl/fr/policies/terms/regional.html

[9] http://www.lepoint.fr/politique/emmanuel-berretta/la-souverainete-numerique-ce-dossier-qui-effraie-hollande-et-valls-13-01-2016-2009389_1897.php

[10] http://abonnes.lemonde.fr/technologies/article/2013/09/05/cybersurveillance-la-nsa-a-contourne-les-garde-fous-qui-protegent-les-donnees_3472159_651865.html

[11] http://www.numerama.com/politique/138290-des-deputes-veulent-un-os-souverain-made-in-france.html