Ce texte est extrait de ma contribution à l’appel de France stratégie pour penser un après soutenable. Un lien vers ma contribution entière est disponible en fin d’article.
Introduction
Parmi les problématiques mises en valeur par la crise sanitaire, celles relatives à l’informatique peuvent être abordées selon deux axes : les inégalités d’accès aux services d’information pour les citoyens et la nature même des services, leur origine.
En effet, l’essor du Big Data a marqué la monétisation des données. Traitées intelligemment par des algorithmes, elles ont permis l’éclosion en masse de nouveaux services dit d’information. Théoriquement, la contextualisation de ces informations pourraient même produire, au-delà du profit financier, de la connaissance (cf. le modèle DIKW).
Hélas, pour l’Europe, le marché économique des services numériques a rapidement été dominé par les États-Unis et ses GAFAM, aujourd’hui rattrapés par les BATX, favorisés par le protectionnisme d’un territoire où les droits de l’homme ne risquent pas de se transposer dans le cyber-espace. La gestion d’information sur un réseau est à l’image de ceux qui l’exploitent : elle peut être faussement sociale, ultra-libérale et risque même d’être totalitaire.
Plusieurs problèmes se posent alors : Comment garantir l’autonomie du système d’information français lorsque celui-ci repose sur des tiers étrangers ? Comment, sinon, proposer une offre de service correspondant à nos valeurs, mais pouvant concurrencer des géants dont le pouvoir d’investissement sur une ligne de production dépasse les possibles à l’échelle nationale ? Enfin, comment protéger les citoyens des systèmes d’information qui les déposséderaient de leurs données et mettraient en péril leur liberté d’agir ou de penser ?
Nous commencerons par aborder des pistes de réflexion pour établir une autonomie numérique, en réévaluant son échelle. Puis, une fois l’offre définie, nous aborderons les leviers de créations de la demande, qui nécessiteront des mesures plus sociales que commerciales, et donc d’autant plus capitales pour un régime libéral.
L’autonomie, un objectif européen.
Face à la menace de totalitarisme numérique par des acteurs privés, plusieurs issues peuvent être imaginées :
- Un professeur de Master de droit européen à un colloque auquel j’avais pris part (ALYDE, Janvier 2020) recommandait le démantèlement des géants privés au nom du droit à la concurrence, comme pour la Standard Oil ou pour Microsoft. Mais si on s’attaque aux groupes américains, le monde redoute l’essor des chinois « qui seraient alors pires » .
- On entend aussi souvent parler de souverainisme numérique. Le gouvernement français a d’ailleurs plusieurs fois tenté de porter des dynamiques françaises, par exemple de stockage cloud (infonuagique) via Orange Business Service ou plus tard CloudWatt. Les deux initiatives n’ont pas pris. Peut-être que était-ce trop tôt et/ou peut-être à l’échelle d’un trop petit marché.
Pour Gérard Berry, dans son excellent cours au Collège de France “Où va l’informatique ?”, nous sommes condamnés dans certains domaines. En effet, ne serait-ce que pour la fabrication de microchips, les processeurs sur lesquels repose tout objet numérique, les entreprises chinoises, déjà leaders du marché, investissent plus de 30 milliards de dollars en R&D pour maintenir leur avance. Même à l’échelle de l’État français, d’un point de vue économique, on ne peut pas imaginer développer une concurrence à courts termes. Cela reviendrait à investir l’ensemble des recettes fiscales issues de l’impôt sur les sociétés, seulement pour faire des recherches sur les microchips.
Cependant, on apprend aussi dans ce cours que les leaders du design sont européens. Seulement, l’Europe ne fabrique plus. Le souverainisme numérique, celui qui rêve d’imposer l’informatique de la Nation, dépend d’un marché initial trop réduit pour peser dans la balance mondiale, le marché de l’information doit être fédéraliste et européen.
Il faut encourager et orienter les partenariats entre entreprises européennes. Imaginons que la France développe un moteur de recherche (technologie capitale dans une économie de la connaissance), et que l’Allemagne ait une entreprise qui développe un navigateur web. Associons-les pour obtenir un concurrent d’un seul produit Google, Google Chrome, à savoir un navigateur avec un moteur de recherche par défaut. Les fonctions de l’un complémentent les fonctions de l’autre et élargissent son marché. L’État pourrait donc seulement, dans un premier temps, favoriser certaines mises en relation.
Car l’Europe ne verra pas naître un acteur majeur, multi-services (géolocalisation, moteur de recherche, plateforme de streaming, stockage cloud, etc.), à l’instar des actuelles GAFAM, d’un coup. Ceux qui disposent des rares places déjà disponibles peuvent investir suffisamment pour éviter la naissance d’un concurrent direct, qui aurait une offre identique. Et puis, un tel objectif, si gros, si tôt, risquerait de masquer la réalité des enjeux courts-termes.
L’Europe doit préciser sa stratégie numérique sur le long terme, pour offrir à ses acteurs économiques des opportunités. Et peut-être verra-t-elle alors l’essor de consortium d’entreprises européennes en coordonnant les spécialistes dont elle dispose déjà sur des secteurs précis. Leur association pourrait, à termes, permettre la production de produits répondant à l’ensemble des besoins du quotidien.
Prenons l’exemple du monde professionnel, de la bureautique, de cette suite d’outils qui permet à chaque employé de bureau d’assurer ses activités au quotidien. Aujourd’hui, Microsoft et Google proposent un ensemble de services qui forment « l’environnement numérique de travail » du travailleur de bureau lambda. Une seule plateforme lui permet de faire ses e-mails, de stocker et partager ses documents, de chatter, de tenir ses réunions, de préparer et faire ses présentations, etc. Je ne connais pas d’offres Européennes qui fassent aussi bien ça, ou alors elles ne m’ont pas encore été recommandées (mais je n’ai peut-être pas les bonnes fréquentations). Si cette offre n’existe pas, on pourrait juste orienter quelques acteurs privés pour qu’ils la créent, petit à petit (tant qu’ils s’engagent à conserver leur siège en Europe). L’idée, c’est d’étendre ça à différentes offres de services qui vont bien ensembles : les claviers pour mobiles et les moteurs de recherche (Qwant l’a fait), les moteurs de recherches et les navigateurs, les boites mails et la bureautique cloud, le stockage cloud et le DaaS (Desktop as a Service), etc.
Il faudrait établir une première liste de ces dernières, sur la base du marché actuel, pour encourager des fournisseurs de services spécifiques à se regrouper, et peut-être qu’à terme, ces amas de « petits services » formeront un géant. En clair, il faut préciser notre besoin.
- Objectif court terme : Lister les acteurs européens et favoriser les mises en relations.
Une fois les entreprises identifiées, il faudrait inciter les administrations à utiliser leurs services. Parce qu’on peut leur recommander fortement par un label type CE-N (« N » pour numérique). Ce label reviendrait à étendre l’Europrivacy, développant une certification Rgpd-Rgaa, en y intégrant la sécurité de l’information, au sens large, type ISO 27001, et qui favoriserait, pourquoi pas, les logiciels disposant d’API pour rapatrier les données (non personnelles) sur les plate-forme open-data des États. On peut aussi accompagner les entreprises CE-N à intégrer le catalogue de l’UGAP (plateforme d’achat public), en France, ainsi que dans ses équivalents européens.
- Objectif moyen terme : Développer un label numérique conforme aux enjeux de l’EU, type CE-N.
A très long terme, l’objectif serait de voir émerger un statut spécifique d’entreprise européenne pour ce type de mise en commun. Parce que ça donnerait corps à l’Europe. Il ne faudrait pas que ça complexifie les démarches administratives pour les entreprises, ni que ça lèse les employés actuels, et c’est ce qui rendrait ce travail si long. Mais, en ayant des entreprises officiellement européennes, seulement (et plus Françaises ou Allemandes ou Italiennes…), nous calmerions certaines velléités nationales à quitter l’Europe. Je ne suis pas pour l’écrasement de toutes les cultures par une seule (voir le chapitre « l’Europe ! » ), mais une économie – et ses implications réglementaires – ne peut qu’être commune puisque support d’échange (comme une langue, celle de l’argent).
- Objectif long terme : Créer un statut « d’entreprise européenne » qui dispose d’avantages et d’une fiscalité satisfaisant aux enjeux des différents états.
Le sensibilisation, levier d’émergence du marché.
« La sécurité informatique, c’est 80% de sensibilisation » (une collègue qui a suivi les formations de l’ANSSI), tout simplement parce que la confidentialité d’une information repose sur les personnes qui la connaissent. Quel que soit le système d’information, il finit toujours par reposer sur les personnes, et c’est pourquoi la sécurité du secteur s’appuie sur des pratiques organisationnelles comme techniques.
État des lieux : offre et demande.
L’U.E a déjà commencé à paver la route de l’offre : Le Rgpd réglemente l’usage des données personnelles, et on n’expose plus quelqu’un qui ne le souhaite pas. Pour toutes les autres données, l’UE favorise plutôt les accès dit universels : tout le monde devrait pouvoir s’en servir. C’est l’open data qui nous a permis de voir naître CityMapper, Trainline.com ou encore Yuka. Mais pour pouvoir exploiter de tels lacs de données, il nous faut des algorithmes intelligents. Et là, l’UE ne pourrait que nous conseiller de développer des algorithmes qui soient éthiques et robustes. L’Europe nous susurre donc en somme : dans le numérique, si vous voulez consommer éthique, consommez local. Le Rgpd est la face réglementaire de ce projet. Il formalise ce marché européen.
Mais, si le citoyen dispose de nouveaux droits, il ne sait pas encore vraiment s’en servir, ni même pourquoi il devrait le faire. Connaissez-vous beaucoup de gens qui paramètrent leurs cookies ? Ou même qui comprennent ce que c’est ? Pourquoi est-ce là ? Pourquoi est-ce qu’on me cache une partie du site web ?
Maintenant que l’UE réglemente l’offre, il faudrait voir se développer une demande qui a des attentes éthiques. Il faudrait que les gens commencent à se demander quels sont les risques de ne pas utiliser des produits conformes? Pour ça, on peut regarder The great hack sur Netflix, documentaire sur Cambridge Analytica, ou bien HumancentiPad, l’épisode de SouthPark où Apple dispose du corps des personnes qui acceptent ses conditions d’utilisation sans les lire. Mais il faudrait surtout multiplier les démarches de sensibilisation.
Prioriser les injonctions à la conformité.
Une mise en conformité est toujours un processus très long. D’abord parce qu’il faut définir un référentiel clair et applicable. Puis il faut auditer, pour établir du reste à faire pour atteindre la conformité. Ensuite, il faut mettre en application le plan d’actions issu de l’audit et enfin, être en mesure de contrôler que les nouvelles pratiques sont bien effectives.
Il faut donc prioriser la mise en conformité des services publics pour concentrer l’effort à fournir, qui est énorme, sur les services les plus critiques. On pourrait commencer par ceux dont les données à caractère personnel gérées sont les plus sensibles, car le Rgpd nous l’impose. Si on veut pouvoir traiter un jour des données de santé, il faut pouvoir s’assurer que ces dernières sont protégées de toute perte ou de toute fuite possible. Il faut des entreprises européennes qui soient en mesure de produire des systèmes capables de répondre à nos exigences de sécurité pour assurer que les données médicales restent confidentielles et disponibles lorsqu’on en a besoin.
C’est en communiquant sur la nécessité qu’a l’État de se conformer à ces normes, d’injecter du budget dans la fiabilisation de son système d’information, tant pour l’émergence d’un marché économique local que pour la sécurité des personnes, que le citoyen prendra conscience de l’importance de l’enjeu. Ce n’est qu’alors que la question rejoindra le grand débat public, d’abord sous la forme d’une ligne budgétaire à justifier, puis sous la forme d’un enjeu de sécurité des personnes. Le citoyen apprendra alors ce qu’il peut attendre d’un service labellisé CE-N, puisqu’il aura porté suffisamment d’attention, et de deniers, à ce sujet. On mesure le poids d’un intérêt, d’un point de vue économique, au montant et à l’effort investis.
A court terme : former le service public.
On peut supposer qu’en formant en priorité le service public à ces enjeux, il le diffusera à ses usagers. On peut aussi se dire que les employés d’une entreprise sont des citoyens qu’il faut sensibiliser et que, si la donnée à caractère personnel est un attribut de la personne physique (Rgpd), il faut former l’individu pour qu’il la préserve autant que son être (comme le corps par le sport et l’esprit par la culture, l’éducation ou les loisirs). Ces formations devraient être agrégées par l’État et imposées à ses propres administrations pour créer d’office une demande (publique), en accord avec la stratégie numérique européenne.
Les responsables des administrations, présidents, présidentes, directeurs ou directrices, doivent recevoir, sur demande de l’État, des formations de sécurité informatique, certes adaptées à leur activité spécifique, mais qui assurent qu’ils comprennent les enjeux, techniques comme légaux.
La sécurité de l’information comme objectif étatique
La PSSIE (Politique de sécurité des systèmes d’information de l’État) est un excellent document et demander son application aux administrations était nécessaire. Mais c’est un document long et dense, et le discours employé est souvent technique.
« EXP-CI-DNS : service de noms de domaine – DNS technique. Dans le cas du déploiement d’un serveur de noms de domaines pour les besoins techniques internes au centre informatique, on utilisera les extensions sécurisées DNSSEC. »
PSSIE
Il ne peut pas être appréhendé en l’état par un non informaticien, et la charge de mise en conformité revient alors souvent aux directions informatiques ou aux RSSI (Responsable de la sécurité des systèmes d’informations). Or, le document porte des exigences transverses à une administration telles que :
« Chaque entité est placée sous la responsabilité d’une autorité qualifiée en sécurité des systèmes d’informations (appelée AQSSI). Cette autorité a notamment pour mission de désigner, sur son périmètre de compétence, les autorités d’homologation de sécurité des SI. L’autorité qualifiée est assistée par un ou plusieurs responsables de la sécurité d’un système d’information (RSSI). »
PSSIE
Les équipes techniques, souvent en charge de l’intégration pour mise en application du document, se retrouvent donc à devoir justifier de la nécessité de la sécurité informatique (pourquoi avoir trois domaines distincts et deux antivirus alors que ça coûte le double ?) quand ce sujet devrait être un enjeu de gouvernance. La mise en œuvre de la PSSIE dépend donc, en pratique, plus souvent d’une communication managériale type bottom-up, quand elle devrait être top-down, si le sujet était un objectif étatique.
Le gouvernement devrait donc s’assurer que la mesure du sujet est bien prise en compte par ses cadres dirigeants. Si le service public doit un jour certifier la sécurité de ses informations, il devrait veiller à ce que l’ensemble de ses agents, en bas, comme en haut, y soit sensibilisé. L’un des facteurs clés de succès de la mise en œuvre d’un nouveau processus (e.g le processus de gestion de la sécurité en phase de conception de service – ITIL V3) est « le soutien du management senior ». Dans des institutions pyramidales, ce dernier s’obtient en assurant l’adhésion et l’implication de la gouvernance, qui doit, pour ce faire, être formée au domaine pour pouvoir le comprendre.
A moyen et long termes : former la population
Si on veut pouvoir éditer une norme CE-N, la sécurité informatique doit être un secteur de pointe. On doit avoir des experts et des architectes de systèmes d’informations locaux.
Par exemple, on peut d’abord imaginer intégrer à tous les enseignements informatiques une formation avancée à la sécurité, car celle-ci s’évalue sur toutes les couches d’un système, du logiciel (e.g le développeur doit considérer les risques d’injection SQL), au matériel (e.g les serveurs physiques ne doivent être accessibles qu’à quelques personnes habilitées). Chaque intervenant dans la conception, puis l’exploitation, d’un système d’informations doit être sensibilisé aux risques que son périmètre d’activité peut faire porter au projet global : quelles sont les failles dans mon système de stockage ? celles dans mon système de traitement ? celles du réseau ? Etc.
On peut aussi, dès à présent, intégrer aux formations grand public des astuces pour se protéger sur les réseaux sociaux. Après tout, le meilleur moyen de lutter contre le big data n’est pas d’éviter de l’utiliser, mais de le remplir de fausses informations (c’est pas écolo, par contre) : On peut avoir un compte Facebook, tant qu’on ne s’y dévoile pas vraiment. Puis, plus on insère de faux dans une base de données, plus on truque les résultats des algorithmes prédictifs qui s’appuient dessus.
Mais il faudrait aller plus loin et poursuivre les dynamiques déjà engagées pour accorder l’enseignement avec les techniques du monde d’aujourd’hui. Les modèles scientifiques ne sont plus composés que d’ondes, d’énergies ou de matière, ils sont composés d’informations, de messages entropiques aux issues probabilistes. Le domaine qui en traite, l’informatique, devrait être appréhendé très tôt. Pas en vue d’apprendre à se servir de l’existant, mais en vue de comprendre comment cet existant fonctionne pour pouvoir le questionner et l’altérer. C’est ainsi qu’on fait des makers.
Ceci peut être réalisé très tôt, dès l’école primaire, avec des activités « débranchées », i.e sans ordinateur, qui permettent d’aborder les fondements de l’algorithmie.
On pourrait même imaginer enseigner la représentation binaire des nombres dès les multiplications et les additions acquises. Car le binaire n’est finalement qu’une représentation de tous les nombres par l’utilisation de sommes et de multiplications par deux, de deux. La forme change, l’information est la même. Un tel enseignement favorise d’ailleurs la plasticité du cerveau qui devient en mesure de s’offrir plusieurs représentations d’une même notion.
Orientation additionnelle, couverture numérique du territoire.
La crise sanitaire a mis en avant nombre d’inégalités, notamment concernant la couverture du territoire en réseau informatique. Ce chapitre explore quelques pistes, somme-toute assez classiques, pour tenter de combler les lézardes de notre réseau.
Implanter des villages numériques sur le territoire en faisant bénéficier de défiscalisation, d’aides, d’avantages d’achat ou de location aux acteurs privés. Faire des appels à projets pour des villages-entreprise, à l’image de Saltaire à l’époque Victorienne, ou bien seulement comme le Google Plex à Mountain View. Ceci viserait à encourager certaines entreprises européennes de la tech à dynamiser l’économie des régions en y implantant, par exemple, leur data center (les projets devrait évidemment coïncider avec les nouveaux « modes de vie » en question dans les documents proposés – écoresponsabilité, développement durable, etc.). On pourrait ensuite prioriser l’implantation d’un réseau fibre sur les territoires où un accord se concrétise, accord qui pourrait servir à financer en partie les travaux nécessaires. Il faudrait étudier plus précisément le marché potentiel.
En tout cas, le financement de ces projets pourrait aussi bénéficier de coupes dans les financements de la 5G. Le nouveau réseau n’est pas, présentement, nécessaire. Il le sera sûrement dans les Smart Cities, qui font encore débat, quand les voitures se conduiront seules. Mais ce sont les utopies d’avant, et, le temps que ces dernières soient légalement autorisées sur le territoire européen – décision qu’on peut maîtriser – on pourra peut-être reprendre l’implantation de la 5G de manière plus intelligente. L’urgence c’est la donnée, son accès par tous, également, et elle passe déjà très bien en 4G.
Conclusion
Selon Naomi Klein, il est aberrant de projeter le développement des utopies technologiques d’avant pour se relever de la crise. Dans son excellent article pour The guardian, elle décrit comment Google tente d’investir le système public américain, profitant de la crise pour étouffer les scandales qui la précédait et s’offrir des airs de philanthrope. Mais cela ne revient qu’à huiler les rouages du système existant, sans se demander ce qui doit changer, sans s’étonner de ce qu’il a participé à apporter : une crise sanitaire. Puisqu’on veut que l’Europe reste un marché à conquérir, qu’elle ne se laisse pas envahir, puisqu’on veut réduire la menace qui pèse sur les individus et leur société, il faut prendre le temps d’établir le projet du numérique européen.
La sécurité de l’information est un processus de conception (ITIL V3), ses enjeux sont proactifs et reposent sur des prévisions pour mitigations. La dynamique américaine est, elle, un effort de maintien du système en place. C’est un spasme, un sursaut opérationnel, une réaction réflexe régurgitant d’énormes financements privés pour développer encore et toujours un modèle déviant, qui s’enorgueillit d’un progrès déraisonné puisque progrès pour progrès, sans remise en question de sa direction.
L’Europe doit renforcer le sentiment d’appartenance de ses états membres, qui risque d’avoir été ébranlé par la crise et le manque de collaboration qu’elle a dévoilé. Or, l’émergence d’acteurs numériques, au niveau mondial, ne peut être envisagé à court-terme par la seule initiative d’une nation dont les budgets peineraient à rivaliser avec la concurrence privée étrangère.
Si nombres de mesures actuelles du continent tentent de baliser la voie de l’offre, la demande peine à décoller par manque d’éducation au sens large. L’informatique a toujours été considérée, en France, comme un domaine technique dont les experts se chargeront, or il soutient et contraint aujourd’hui tout citoyen. Chaque individu devrait être en mesure d’évaluer les risques qu’il prend en utilisant une plateforme, et cette sensibilisation nécessaire, cette demande complémentaire à l’offre, pourrait passer par la définition de labels. Ils traduiraient le projet numérique européen en démarches de conformité imposées aux administrations, dans un premier temps, et permettrait à la sécurité de l’information de devenir un enjeu de société. Le sujet intégrerait le débat public.
Il ne faut plus simplement louer le progrès et apprendre à s’en servir, il faut considérer les risques qu’il induit. Cela créera peut-être des élans de cyber-minimalisme qui laisseront le temps à l’Europe de développer une offre qui réponde à la demande spécifique de son marché en gestation.
« Technology is most certainly a key part of how we must protect public health in the coming months and years. The question is: will that technology be subject to the disciplines of democracy and public oversight, or will it be rolled out in state-of-exception frenzy, without asking critical questions that will shape our lives for decades to come? Questions such as these, for instance: if we are indeed seeing how critical digital connectivity is in times of crisis, should these networks, and our data, really be in the hands of private players such as Google, Amazon and Apple? If public funds are paying for so much of it, should the public also own and control it? If the internet is essential for so much in our lives, as it clearly is, should it be treated as a nonprofit public utility? »
Naomi Klein
L’intégralité de ma contribution, incluant un chapitre sur la transition culturelle, est accessible ici. (c’est truffé de fautes !)