L’insoutenable légèreté des autorités françaises en matière de souveraineté numérique

Atlantico : La National Security Agency (NSA) pourrait bientôt avoir le pouvoir de forcer les établissements et autres entreprises américaines à espionner leurs consommateurs à son profit. Dans quelle mesure une telle évolution de la loi pourrait-elle avoir un impact jusqu’en France ? Nos propres sociétés, dès lors qu’elles ont un lien avec diverses entreprises américaines, pourraient-elles être concernées ?

Pierre Beyssac : Les entreprises françaises sont concernées, en effet, et depuis un moment déjà. Cela résulte du FISA, le Foreign Intelligence Surveillance Act, qui permet au gouvernement américain de faire espionner des clients étrangers par des sociétés américaines, y compris en dehors du sol américain. Il faut aussi évoquer le Cloud Act, qui permet à l’Etat américain de demander à Microsoft, à Google et autres entreprises de ce type un accès aux données de sociétés non-américaines qui utilisent leurs services. Cela fonctionne également pour gagner l’accès à des données pourtant conservées sur le sol européen. En somme, donc, nos sociétés sont déjà concernées par de potentiels problèmes d’espionnage par la NSA. La nouveauté vient du fait qu’il est désormais question d’étendre ce mode de fonctionnement à toutes les sociétés et à tous les résidents américains également.

Est-ce à dire que nos entreprises ne sont pas du tout protégées ? La situation se découpe en plusieurs aspects. Trois, dans les faits : l’aspect condition de ventes, l’aspect légal et l’aspect technique. Dans le premier cas, la loi américaine prévaut. Les garanties prévues par les conditions de vente ne valent rien si elles entrent en contradiction avec la loi : les services secrets comme la justice américaine pourront invoquer cette dernière pour accéder aux données concernées même si cela contrevient aux conditions de vente. Il faut aussi tenir compte des dimensions a-légales (voire proprement illégales) qui ont parfois permis aux services secrets à multiplier des écoutes non autorisées, sur sol américain comme à l’extérieur, ainsi que l’avait démontré Edward Snowden. C’est le propre des services secrets que de contourner la loi pour des raisons de renseignements antiterroristes ou économiques.

Il est très difficile, en l’état, de dire quelles sociétés françaises intéressent particulièrement la NSA. Airbus, par le passé, a fait l’objet d’espionnage et, d’une façon générale, l’ensemble de nos grands groupes sont potentiellement menacés. Dans tous les cas, il faut bien comprendre que les données stockées sur un service américain sont susceptibles d’être captées, écoutées, utilisées. Dès lors, il revient aux clients de ces services de connaître la sensibilité des données qu’ils y stockent. D’autant que la NSA est un organisme puissant, capable de déployer des moyens pointus pour récupérer ces informations… avec ou sans la collaboration des entreprises concernées ou de l’hébergeur choisi. C’est toujours plus dur sans, mais ça n’est pas impossible.

Qu’est-ce que cette situation dit de la façon dont la France et ses autorités compétentes assurent notre souveraineté numérique ?

Commençons par rappeler que la plupart des grands groupes français ne sont pas conscients de la situation. Ils ont tendance à sous-estimer la sensibilité et l’utilité de leurs informations et n’hésitent donc pas à choisir la solution de facilité qui consiste à utiliser des services américains plutôt que des services français. Souvent, ceux-ci sont réputés plus efficaces et proposent des fonctionnalités intéressantes que ces grands groupes n’auront donc pas à développer en interne. Beaucoup de nos entreprises estiment qu’elles n’ont pas à développer des moyens informatiques, dès lors que les sociétés américaines les proposent. Se faisant, nos données sont stockées sur des serveurs américains (ou chinois, la même logique s’applique aussi), ce qui n’est pas sans poser problème. C’est offrir un angle d’accès à la NSA ainsi qu’aux autres services de renseignement concernés ; sans oublier les concurrents américains.

Les entreprises du CAC 40, de même que certaines de nos administrations, ont bien conscience du problème. Elles ont cherché à obtenir de l’Etat français des garanties souveraines… tant et si bien qu’il s’agit là d’un sujet dont Bruno Le Maire s’est emparé il y a quelques années. Il parlait à l’époque de “Cloud souverain”. Dans les faits, il ne s’agissait guère que du cloud US, mais re-marketé à l’aide d’un contrat juridique supposé protéger nos entreprises. Malheureusement, il s’agit d’une protection assez symbolique, qui n’offre pas de réels boucliers techniques et qui permet surtout aux entreprises françaises de se décharger de toute responsabilité en cas de problème. L’occasion, dès lors, de continuer à utiliser les systèmes américains tout en affirmant avoir pris les mesures nécessaires. On peut donc légitimement parler de légèreté en matière de gestion de notre souveraineté numérique et la CNIL a déjà fait savoir, à l’occasion de divers dossiers sur ces questions, qu’elle n’était pas satisfaite de nos choix politiques quand bien même elle ne pouvait dire grand chose. Pour autant, il faut tout de même souligner que les choses avancent dans le bon sens comme en témoigne la loi SREN dont les dispositions, sur le sujet de la souveraineté, sont relativement positives.

Quelles sont les mesures qu’il convient de prendre pour limiter tout risque sur notre souveraineté ?

Il est essentiel de revaloriser l’achat public auprès des sociétés françaises. C’est un chantier complexe puisque les acheteurs, qu’ils émanent du public ou non, préfèrent discuter avec des acteurs de leur taille et n’aiment donc pas traiter avec des PME. Leurs délais de paiement, particulièrement longs, rendent les échanges complexes avec le PME, de même que ceux relatifs aux conclusions de contrats. C’est de ce côté là qu’il faut travailler, si nous voulons opter pour une solution réaliste : il faut aider les acteurs français de petite taille à émerger, commercer, faire des offres et vendre leurs offres aux acteurs locaux. Nous devons, fondamentalement, mettre en place les conditions nécessaires à la croissance de nos acteurs numériques pour qu’ils puissent devenir, à terme, comparables à leurs concurrents étrangers.