Discours de Benoit Thieulin lors de la matinée de présentation de la Stratégie Nationale pour la Sécurité Numérique
Monsieur le Premier ministre, Madame la ministre, chère Axelle, Monsieur le Secrétaire Général, cher Louis Gautier, Monsieur le Directeur général, cher Guillaume Poupard, Monsieur le Président, cher Yves Bigot,
Je remercie chaleureusement les organisateurs de m’avoir convié à cette matinée, qui est l’occasion de présenter cette stratégie numérique ô combien attendue et qui arrive - j’y reviendrai - à point nommé. “La cybersécurité, un atout pour le développement du numérique”. Au vue des enjeux, cette matinée aurait tout autant pu se nommer “la cybersécurité, une condition pour le développement du numérique”, tant les enjeux sont liés.
Le numérique - je ne vous apprends rien - est omniprésent dans la vie quotidienne des citoyens, dans nos activités économiques comme dans le fonctionnement de l’Etat. A mesure de la montée en puissance des objets connectés, du perfectionnement des algorithmes, du big data et des nouveaux modèles économiques ; à mesure que nous entrons dans un “monde de calculs” - pour reprendre l’expression de Dominique Cardon ; à mesure que nos messages, nos mails, nos traces transitent en dehors du territoire, la protection des données devient un enjeu “d’importance vitale”, un vocable dont vous êtes familier.
Tous connectés, tous responsables : c’est là un point essentiel de votre stratégie. La sécurité dans l’environnement numérique est une responsabilité qui nous incombe à tous : citoyens, associations, entreprises comme administrations. La littératie des individus, des organisations - publics et privés - est donc un prérequis impondérable. La cybersécurité doit donc se “démilitariser” ; en un mot, sortir de son cercle autorisé pour que son apprentissage puisse se diffuser dans le grand public. L’Etat doit déployer un effort massif de communication pour sensibiliser les publics aux enjeux de protection et de sécurisation des données.
Ce qui nous amène à la question du chiffrement. Le chiffrement - précisément le chiffrement de bout en bout, le seul qui vaille - est un levier de sécurité essentiel dans l’environnement numérique. Pour les citoyens, le chiffrement rend possible l’exercice par chacun du droit au respect de sa vie privée. C’est un outil majeur au service de la confiance dans le développement du numérique : il permet des communications sécurisées et réduit le risque de vol de données personnelles ou de donnée bancaires. Il protège des milliards d’individus chaque jour contre une quantité innombrable de menaces. Pour les entreprises, le chiffrement constitue le meilleur rempart contre l’espionnage économique, c’est un indispensable pour qui souhaite protéger ses actifs immatériels des ingérences extérieures. Pour l’Etat, il s’agit tout simplement d’une condition de sa souveraineté.
Face à ce défi majeur de sécurité, le chiffrement ne peut plus être considéré comme le problème, mais comme une solution. A l’heure où cet outil suscite de nombreux débats, de part et d’autres de l’Atlantique, je ne peux que souscrire à votre propos, Monsieur le directeur général, Guillaume Poupard, selon lequel on ne saurait que trop garder des tentations de facilité. Loin de moi l’idée de verser dans une forme d’angélisme : utilisé à mauvais dessein, le chiffrement rend plus difficile le travail des autorités publiques.
Pour autant ce débat n’est pas nouveau : comme tout objet technique, le chiffrement est tout à la fois remède et poison, selon qu’il tombe entre de bonnes ou de mauvaises mains. Mais il serait absurde d’envisager son interdiction - ou sa limitation, ce qui revient sensiblement au même - au motif qu’il peut être utilisé par des personnes malintentionnées, car cela revient à affaiblir la sécurisation de l’ensemble du réseau. Ainsi le débat sur l’installation de backdoors - des portes dérobées à l’intérieur des services - prend des airs de débats d’un autre temps. Cette position n’est pas tenable : si l’on ouvre des portes dérobées pour les “bons”, on les ouvre aussi aux “méchants” et on affaiblit la sécurité des communication de l’immense majorité des utilisateurs du réseau, qui eux n’ont rien à se reprocher.
Le chiffrement n’est pas en soi une arme contre le renseignement, le présenter ainsi conduit, je crois, à fausser le débat. Rappelons que le déchiffrement des communications est toujours possible ; cela impose une surveillance ciblée des individus. Dans un Etat de droit, la surveillance doit rester l’exception.
Il y a 10 jours, la Cour de justice a rendu un arrêt historique sur le Safe Harbor. Historique, pas tant pour ses implications pratiques - d’autres mécanismes de transfert de données existent et les Etats-Unis continuent d’ailleurs à administrer l’accord suspendu comme si de rien n’était - que pour la fenêtre d’opportunité historique qui s’ouvre pour l’Europe : par cette décision, la CJUE a placé le principe de souveraineté sur les données au coeur de la doctrine européenne. C’est une victoire, à la fois pour les défenseurs des libertés, mais, je crois, plus encore pour les défenseurs de la souveraineté numérique européenne, le droit pour l’Europe de décider de son destin. Cet accord, négocié par la Commission européenne avec le Département du commerce américain, était terriblement déséquilibré.
Plus encore, cet accord illustre, d’une manière tragique, une asymétrie critique entre d’une part la France et l’Union européenne et, d’autre part, des acteurs dotés d’une stratégie numérique pensée sur plusieurs décennies, comme c’est le cas pour les Etats-Unis. Cette asymétrie s’est manifestée dans les négociations du Safe Harbor : en 2000, les Américains anticipaient et négociaient déjà le big data de 2015 ! Cette absence de diplomatie numérique européenne a largement facilité l’arrivée de géants numériques américains, comme Google ou Facebook, sur le marché européen. Résultat : leurs concurrents n’ont jamais pu sortir de l’oeuf.
On peut légitimement craindre que l’histoire ne se répète à l’occasion des négociations du TTIP et du TISA. D’autant plus que l’on sait qu’à la table des négociations, du côté américain, ce sont des anciens professionnels de la Silicon Valley qui sont à la manoeuvre. Nous courrons le risque que les décisions qui façonnent l’Internet de demain soient une nouvelle fois prises ailleurs, comme la question des normes et des standards est aujourd’hui réglée dans le cadre d’une gouvernance confisquée. Il s’agit d’un enjeu de souveraineté majeur. Il nous faut prendre conscience que contrairement à nous, les Américains pensent depuis trente ans la révolution numérique. Dès le tournant de la Guerre froide, ils se sont posé la question des instruments de leur prééminence au XXIe siècle. C’est à ce moment qu’ils ont décidé de faire du numérique un outil offensif dans ce qu’on appelait alors “les autoroutes de l’information”. Depuis, tous les accords stratégiques qu’ils négocient depuis quinze ou vingt ans visent tous le même objectif stratégique qu’ils se sont fixé au milieu des années ‘90. Cette stratégie se déroule sur le plan intérieur dans des politiques publiques extrêmement efficaces. Il devient critique de penser le coup d’après.
Or la pensée stratégique française est dispersée. Il y a en France un grand nombre de lieux qui hébergent déjà une réflexion stratégique, au sein des ministères et des établissements publics, qui ont pour rôle de produire une pensée stratégique des transformations numériques. C’est le cas de l’ANSSI par exemple, qui joue pleinement son rôle. Il est nécessaire d’opérer, sur ces réflexions aux sources dispersées, un travail de synthèse, de mise en cohérence et de propositions de choix stratégiques et politiques, au plus haut niveau de l’Etat.
L’Europe est attendue et peut jouer sa carte. Je crois que la décision de la Cour de justice a ouvert une fenêtre d’opportunité sans précédent. Un momentum que l’Europe doit saisir. Au niveau mondial, l’Union européenne a les moyens de déployer une stratégie ambitieuse, un soft power autour de la sécurité des données. Et ce pour une raison toute simple : elle dispose d’un bassin de 500 millions de consommateurs ; c’est la première puissance mondiale. Les géants du net ne s’y sont pas trompés : anticipant la décision de la CJUE, ils s’efforcent depuis plusieurs mois à relocaliser leurs données sur le territoire de l’Union.
En sommes, à nous de construire un Internet européen avec sa culture, ses règles, ses principes, ses usages - notre culture, nos règles, nos principes, nos usages. C’est un concept qui mérite en tout cas d’être interrogé : pas dans le sens d’une fermeture, d’un repli ou d’une balkanisation, mais dans le sens d’un numérique fondé sur notre culture.