- Mardi 4 juin 2019
- Audition de M. Henri Verdier, ambassadeur du numérique
- Audition de Mmes Pauline Türk, professeur de droit public à l'université Côte d'Azur et Annie Blandin, professeur à l'IMT Atlantique, membre du Conseil national du numérique
- Audition de représentants de la commission d'éthique sur la recherche en sciences et technologies du numérique d'Allistene, l'alliance des sciences et technologies du numérique: MM. Jean-Gabriel Ganascia, Eric Germain et Claude Kirchner
Mardi 4 juin 2019
- Présidence de M. Franck Montaugé, président -
La réunion est ouverte à 14 heures.
Audition de M. Henri Verdier, ambassadeur du numérique
M. Franck Montaugé, président. - Notre commission d'enquête poursuit ses travaux avec l'audition de M. Henri Verdier, ambassadeur du numérique.
Cette audition sera diffusée en direct sur le site internet du Sénat. Elle fera également l'objet d'un compte rendu publié.
Enfin, je rappelle, pour la forme, qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal. Je vous invite à prêter serment de dire toute la vérité, rien que la vérité. Levez la main droite et dites : « Je le jure. »
Conformément à la procédure applicable aux commissions d'enquête, M. Henri Verdier prête serment.
M. Franck Montaugé, président. - Vous avez été nommé à un poste presque unique dans le monde. En effet, très peu de pays ont un ambassadeur du numérique. Vous nous préciserez rapidement les contours de votre mission, et vous nous direz comment elle se distingue de celle du « techplomate » nommé par le Danemark comme « ambassadeur » auprès des Gafam.
S'il est normal et nécessaire d'établir des canaux de contact directs et stables, tels que le « cyber-préfet » nommé par la France en 2014 pour la coordination avec les Gafam face aux problèmes de sécurité et de justice, le fait d'élever cette relation au niveau diplomatique me semble avoir un tout autre sens. Au-delà d'un coup de communication probablement efficace, le Danemark n'a-t-il pas reconnu de facto à des acteurs privés, intervenant sur son propre territoire, dans la vie de ses propres citoyens, une forme de statut d'État souverain ?
Votre prédécesseur a organisé le très médiatique appel de Paris pour la confiance et la sécurité dans le cyberespace. Ce texte, présenté par le Président de la République au forum sur la gouvernance de l'internet, lors d'un événement chaperonné par l'ONU, a été signé par 359 États, organisations ou entreprises, comme l'ensemble de l'Union européenne, Google, Facebook ou encore l'Association Internet Society. Quelles ont été les répercussions de cet appel ? Favorise-t-il notre souveraineté numérique ? Comment définir cette dernière ? Comment la renforcer ? Quelles actions concrètes menez-vous en ce sens ?
M. Henri Verdier, ambassadeur du numérique. - À proprement parler, je ne suis pas ambassadeur du numérique, mais ambassadeur pour les affaires numériques : je représente, non pas le numérique, mais la France en matière de numérique. Contrairement à nos amis Danois, nous n'avons pas d'ambassadeur auprès des Gafam ou de la Silicon Valley. Mais il est impératif de travailler avec ces acteurs.
En 1995, quand j'ai créé ma première entreprise, la France comptait 15 000 internautes. Depuis, le numérique a dévoré des secteurs industriels entiers, l'éducation, les médias, la musique, etc. Aujourd'hui, il soulève d'authentiques enjeux géopolitiques. Au demeurant, le prochain conflit majeur commencera très certainement par une cyberattaque, touchant les hôpitaux, le trafic aérien ou encore les banques. À cet égard, la France oeuvre pour faire reconnaître le droit humanitaire et le droit de la guerre dans le cyberespace, afin de protéger les populations civiles ; mais tous les États du monde n'adoptent pas cette position.
Dans ce domaine, un chiffre est extrêmement frappant : en 2018, 86 % des investissements en capital-risque dédiés à l'intelligence artificielle ont été faits en Chine ou aux États-Unis, et plus encore dans le premier pays que dans le second. Nous sommes face à un embryon de nouvelle guerre froide, dans un contexte marqué par un choc technologique radical : la semaine dernière, un décret du président américain a ainsi contraint Google à ne plus livrer Android à Huawei. Or 20 % des citoyens européens ont un téléphone Huawei. En cet instant, on ne sait pas si la décision prise aura des conséquences pour eux.
Des États voyous, des milices, des groupes politiques s'amusent à interférer dans les élections de tel ou tel pays ; des combats sont à l'oeuvre, pour savoir qui créera les infrastructures numériques en Afrique ou en Asie du Sud-Est, si elles seront privées ou publiques, si elles respecteront la neutralité numérique.
De toute évidence, le numérique n'est plus une simple affaire de geeks ou de start-ups. Face à ces enjeux géopolitiques, il est naturel que le ministère des affaires étrangères agisse.
Tout d'abord, l'ambassadeur pour les affaires numériques pilote, dans plusieurs instances, diverses négociations relatives au numérique. Cette année, en raison de dissensions entre les Etats-Unis et la Russie, l'ONU examinera deux textes relatifs à la cybersécurité. Il faudra notamment veiller à ce qu'ils ne se neutralisent pas l'un l'autre. À l'OCDE, nous avons convaincu 119 pays d'ouvrir le dossier de la fiscalité du numérique. Au G7, la France, qui assure cette année la présidence, proposera à ses partenaires une réflexion relative aux contenus harmful, à savoir les appels à la haine, les fausses informations, les opérations de harcèlement, qu'il est impératif de réguler, mais probablement avec d'autres méthodes que les contenus terroristes.
En outre, le ministre des affaires étrangères m'a confié pour mandat d'unifier une diplomatie numérique cohérente. Ce travail implique d'authentiques enjeux de souveraineté.
La plupart des sujets numériques portent, en eux-mêmes, un certain nombre de contradictions. En défendant la cryptographie, l'on protège notre industrie, mais l'on complique la tâche du ministère de l'intérieur. En défendant la neutralité d'internet, l'on se protège contre certains monopoles, mais l'on entrave aussi certaines stratégies industrielles.
De manière schématique, la diplomatie numérique française répond à quatre principes.
Premièrement, la France défend les droits de l'homme, l'accès à la culture et à l'éducation, la diversité culturelle et linguistique, la neutralité de l'internet, la transparence de l'action publique, bref les principes démocratiques. Je reviens tout juste du sommet mondial de l'Open Government Partnership, où, avec les représentants de quelque 70 pays, nous avons évoqué les moyens de réinventer la démocratie à l'heure d'internet.
Deuxièmement, les abus d'internet posent de graves problèmes de défense et de sécurité : c'est un enjeu régalien majeur. Sur le front de la cybersécurité, nous sommes très inquiets. À mon sens, nous sommes plus vulnérables qu'il y a dix ou vingt ans : désormais, on numérise toutes les données, et on le fait moins bien. L'époque héroïque, que j'ai connue, où les informaticiens faisaient l'informatique, est bel et bien passée. Les informaticiens, qui sont soumis à de fortes pressions budgétaires, achètent de l'informatique sur le cloud et assemblent des morceaux de code. Beaucoup d'entreprises maîtrisent moins bien, comprennent moins bien ou protègent moins bien leur informatique. En parallèle, les hackers, ou encore les mafias, sont devenus de plus en plus forts. Les rançons obtenues par les ransomwares ou rançongiciels atteindraient des milliards d'euros par an ; et, tôt ou tard, il y aura un cyber-Tchernobyl ou un cyber-Pearl Harbor. Voilà pourquoi la France s'efforce de faire reconnaître la légitimité du droit humanitaire dans le cyberespace.
En outre, l'appel de Paris pour la confiance et la sécurité dans le cyberespace a, de manière novatrice, insisté sur la responsabilité des acteurs systémiques : les États ne pourront pas protéger l'économie contre les cyberattaques si l'on ne change pas le niveau de jeu. Par métaphore, les forces de sécurité peuvent vous protéger si vous fermez vos portes et vos fenêtres. Ainsi, en novembre 2018, nous avons lancé un appel à l'industrie mondiale pour la construction de standards de bonnes pratiques permettant d'améliorer la sécurité collective. La réflexion est engagée dans le cadre de l'OCDE. De plus, nous continuons de faire vivre la communauté des 70 États et 350 organisations qui ont signé l'appel de Paris.
Certains contenus font l'objet d'une grande convergence de vues à l'échelle mondiale : il s'agit du terrorisme et de la pédopornographie, dont personne ne veut et qui sont définis à peu près de la même manière partout.
Au sein de l'espace européen, nous avons ardemment poussé à l'adoption d'un règlement, qui a été voté en première lecture à la fin du mandat de la précédente Commission. En vertu de ce texte, les contenus terroristes détectés par les autorités légitimes des États membres devront être retirés moins d'une heure après leur signalement. Nous avons testé ce dispositif avec les principaux réseaux sociaux : il exige des efforts de leur part, mais il est applicable. En France, c'est la plateforme Pharos qui se charge des signalements, et, à 90 %, les retraits sont effectifs en moins d'une heure.
Face aux contenus haineux, aux polémiques, aux harcèlements, aux accusations, aux fausses nouvelles parfois manipulées par des puissances étrangères, il faut également assurer une régulation. Nous cherchons avant tout à construire un socle de transparence. Les grandes entreprises du numérique doivent nous permettre d'accéder à leurs codes sources, leurs algorithmes, leurs règles de propagation de contenus, de tri et de filtrage, comme le font les acteurs bancaires. C'est sur la base de cette transparence que l'on pourra construire un certain nombre de politiques publiques. Le fait de ne pas transmettre ces données, ou de transmettre de fausses données, est un délit très grave.
Plus largement, il faudra ouvrir une réflexion sur l'économie de l'attention. On ne vit plus vraiment dans internet : on vit dans des réseaux sociaux. Or le modèle économique de ces entreprises privées repose sur une publicité ciblée. Pour maximiser leurs revenus celles-ci s'efforcent de capter l'attention des internautes. Voilà pourquoi, à l'instar des tabloïds, elles poussent au sensationnalisme et à la démagogie. Si vous cherchez, sur Youtube, à quoi ressemble la Terre, vous trouverez 15 % de vidéos affirmant qu'elle est plate.
Le débat doit être ouvert quant à la propagation artificielle de contenus : la liberté d'expression, ce n'est pas nécessairement la liberté d'obtenir le meilleur audimat avec une information ridicule. Comme on le dit en anglais, « freedom of speech is not freedom of reach. »
À ce titre, au sein du G7, nous proposons une charte à la suite de l'accord de Christchurch, conclu avec la Nouvelle-Zélande. Mais nous manquons encore de recul, et nous avons besoin de l'engagement volontaire, public, des grandes plateformes. Il faut mener, à leur égard, un travail de démocratie spécifique. On ne négocie pas avec des entreprises comme avec des États, mais nous sommes prêts à dégainer l'arme du « name and shame ».
Troisièmement, la gouvernance d'internet elle-même nous place face à des enjeux de souveraineté majeurs.
Au total, une vingtaine d'instances organise la gouvernance d'internet. Je représente la France au sein de l'autorité de régulation des noms de domaine sur internet, l'Internet corporation for assigned names and numbers (Icann), ou encore de l'Internet Governance Forum. Néanmoins, je ne peux pas me rendre auprès de chacune d'elles. Parfois, la France est présente, mais trop rarement : beaucoup de choses se jouent dans ces enceintes, et notre pays aurait intérêt à continuer à défendre la neutralité du numérique, grâce à laquelle internet n'est pas détourné par ceux qui ont accès au marché. C'est sans doute ce principe qui a permis la vague d'innovations que l'on a connue depuis vingt ans. En Europe, une directive le protège, mais, à l'échelle internationale, il est peu à peu grignoté, par les pays qui n'ont pas adopté de normes similaires ou encore par les acteurs qui tentent de prendre le contrôle des téléphones et des ordinateurs par les terminaux.
Au demeurant, internet est largement diffusé par satellite : un État peut très bien décider d'installer un satellite géostationnaire pour développer son propre internet, en filtrant ou en censurant les contenus de son choix. Le risque de désagrégation d'internet, avec un bloc chinois, un bloc russe et un bloc euro-américain est bien réel : nous essayons de l'empêcher, car il infligerait une perte profonde à l'humanité.
Quatrièmement et enfin, avec le ministère de l'économie et des finances, notamment avec la direction générale du Trésor, je concours à une diplomatie économique. Nous travaillons ainsi la question de la fiscalité du numérique. Il ne s'agit pas d'adopter une fiscalité punitive, mais de prendre acte du fait qu'internet a transformé la chaîne de création des valeurs. La valeur ne se crée plus exclusivement dans les bureaux d'études, protégés par la propriété intellectuelle, ou dans les usines. Il y a quelques semaines, le Sun titrait en une qu'un grand joueur de football payait, en Angleterre, plus d'impôts que Starbucks et Amazon réunis. Aujourd'hui, il faut partir du principe que la valeur s'apprécie au lieu où l'on consomme. On l'a fait pour la TVA : on peut le faire pour le reste de l'économie. Ce travail imposera beaucoup de négociations multilatérales, mais il ne suppose pas des concepts incroyablement sophistiqués, d'autant que, avec le numérique, l'on sait au centimètre près où se trouve le client.
Nous sommes également attentifs au statut des travailleurs de plateformes. À l'heure actuelle, les chauffeurs Uber, qui sont sous statut d'autoentrepreneur, ne disposent d'aucun droit social. La France pèsera à l'Organisation internationale du travail (OIT) pour que ces travailleurs obtiennent des protections minimales, à défaut d'un statut à part entière.
Dans toutes ces instances, on est de plus en plus préoccupé par la très grande difficulté à caractériser les positions de domination. Avec le numérique, on ne domine pas forcément parce que l'on a davantage de boutiques ou de clients : on peut dominer parce que l'on dispose d'un format propriétaire, parce que l'on est seul à posséder une donnée qui confère de la valeur à toutes les autres, parce que l'on s'est placé à un point très précis du cycle commercial. Les évolutions sont très rapides, et les autorités de la concurrence, où qu'elles soient, sont en grande difficulté pour intervenir à temps.
La souveraineté numérique est une question majeure. Nous vivons dans le monde numérique ; notre vie s'y déroule, qu'il s'agisse des informations, de l'éducation, de la santé ou encore des transports. Bientôt viendra le temps des smart cities. Or la question du numérique a été un peu négligée, ou en tout cas mal posée.
De surcroît, nous ne vivons plus dans internet tel qu'il a été conçu à l'origine, par les chercheurs, sur la base d'une culture de transparence et de collaboration, avec un contrôle périphérique ; nos existences se passent chez Facebook, Netflix, Twitter, etc. Ces systèmes n'ont pas les devoirs de neutralité, de légalité et de continuité qui incombent au service public. Ils sont au service de certains intérêts. C'est tout à fait leur droit, à condition que la puissance publique soit en mesure de les réguler. Or, souvent, on nous a fait prendre des vessies pour des lanternes.
Je ne suis ambassadeur chargé du numérique que depuis six mois, mais j'ai été, pendant quatre ans, à la tête de la direction interministérielle du numérique et du système d'information et de communication de l'État (Dinsic). Auparavant, j'ai mené la politique d'open data ; encore avant, j'avais créé une start-up dans le domaine du numérique.
J'en suis persuadé, le numérique est en somme un élément liquide. Il faut savoir s'en servir : or le grand enjeu du numérique, c'est la capacité stratégique, qui suppose de maîtriser soi-même les compétences dont on a besoin. Il s'agit là du seul moyen de critiquer ce que l'on vous propose, de défier votre fournisseur. À ce titre, l'État s'est peut-être un peu désarmé en entrant dans une logique de sous-traitance maximale. Il m'est arrivé de diviser des factures par dix, car les compétences numériques de mon équipe me permettaient d'évaluer les prestations proposées. Mais encore faut-il disposer de cette expertise.
À l'avenir, l'un des grands rôles des États pourrait être de garantir les « communs », ce qui n'est pas approprié ou privatisé. Dans le secteur numérique, on peut penser à Wikipedia, à certains logiciels libres ou encore à Firefox. Mais ce secteur pourrait inclure une grande partie de l'action publique : l'open data, l'identité numérique, que l'État pourrait fournir gratuitement, ou encore les systèmes de paiement neutres, que l'Inde propose d'ores et déjà.
Au sujet de la souveraineté numérique, j'entends beaucoup de propositions de réglementation ; j'entends recommander une intégration verticale de la filière française. Mais cela ne suffit pas, car les filières françaises peuvent être mauvaises ou insuffisantes. La vraie question est la suivante : la situation est-elle réversible ?
La France est tout à fait capable de contester le système dans lequel on tente de l'enfermer. Elle a encore un État, avec son administration, ses ingénieurs et ses start-ups. Il n'y a plus tant de pays sur Terre qui disposent de tant d'atouts. Néanmoins, il faut bien savoir ce que l'on entend par souveraineté.
M. Gérard Longuet, rapporteur. - Le titre d'ambassadeur est prestigieux, et il oblige : on attend d'un ambassadeur qu'il défende la politique française dans différents lieux de décision.
Or toute politique nationale est un compromis entre différentes tensions, différents soucis, différentes préoccupations. Vous avez évoqué ce que devait être la politique française en la matière. Sentez-vous s'exercer des forces contraires, conflictuelles, ou du moins des préoccupations de natures extrêmement différentes, entre les grands acteurs du secteur public français, face à cet « océan du numérique », pour filer la métaphore aquatique ?
De plus, sentez-vous chez nos partenaires européens une ligne de partage entre deux positions tranchées ? Au contraire, assiste-t-on à une dispersion assez grande ?
En matière numérique, pouvez-vous nous préciser les lieux du multilatéralisme ? C'est très bien de signer des chartes, mais il faut également s'intéresser aux instances où l'on produit la norme.
Vous avez évoqué une piste très singulière, celle de l'internet national, par satellite. Pensez-vous qu'un pays puisse être tenté par un tel système, entièrement verrouillé ? Du fait de votre passé professionnel, vous mesurez ce que l'économie numérique a de déconcertant : les utilisateurs ne payent pas, parce qu'ils sont le produit du service, et les employés, considérés de manière flatteuse comme des entrepreneurs, apparaissent parfois comme les exploités d'un nouveau style.
M. Henri Verdier. - Les missions de l'ambassadeur du numérique ont été fixées en conseil des ministres, à la suite d'une réunion interministérielle.
Pour les affaires extérieures, le travail est plus solidaire que dans le fonctionnement usuel de l'État, ne serait-ce que parce que les troupes sont maigres : il est indispensable de se répartir les rôles et de se concerter.
M. Gérard Longuet, rapporteur. - Le Trésor est-il un acteur important dans votre domaine ?
M. Henri Verdier. - Tout à fait, ainsi que le réseau des ambassades, Ubifrance et la French Tech. Bien sûr, des tensions peuvent se faire jour entre les approches ouvertes et sécuritaires, entre un souverainisme à l'ancienne mode et un enthousiasme invitant à embrasser la modernité. Mais, dans l'ensemble, nos positions extérieures font l'objet d'une assez bonne concertation interministérielle.
M. Gérard Longuet, rapporteur. - Quel est le nombre de centres de décision de l'administration centrale impliqués peu ou prou dans ces échanges internationaux ? Une douzaine ?
M. Henri Verdier. - Presque tous les ministères dialoguent avec leurs homologues européens : ces relations impliquent autant d'embryons de diplomatie thématique, et c'est une très bonne chose.
Effectivement, l'on dénombre en tout une douzaine de centres : plusieurs se trouvent à Bercy. S'y ajoutent le secrétariat général de la défense et de la sécurité nationale, le SGDSN, l'Agence nationale de la sécurité et des systèmes d'information, l'Anssi, ou encore le ministère de la culture.
Pour ce qui concerne mes attributions, je peux vous faire parvenir ma lettre de mission.
M. Gérard Longuet, rapporteur. - Volontiers.
M. Henri Verdier. - Pour plusieurs sujets, j'ai la mission de représenter la totalité des ministères. Pour d'autres, je concours à l'élaboration des politiques ; toutes ces dispositions sont assez précisément écrites.
L'espace européen, tel que je le découvre, n'est ni binaire ni tout à fait éclaté. Il est composé de quatre ou cinq espaces, ce qui nous affaiblit un peu. Certains pays sont très atlantistes, très libéraux, défendent le libre-échange et les libertés individuelles à tout prix. De son côté, le sud de l'Europe cherche son chemin. Il faut convaincre ces blocs, un par un, de la pertinence des idées françaises. De grands progrès ont été accomplis lors du mandat de la précédente Commission, mais je ne suis pas certain qu'une souveraineté européenne soit clairement conçue en la matière. En tout cas, elle n'est pas revendiquée de manière suffisamment active.
Aux grandes enceintes multilatérales, l'ONU, l'Unesco, l'OCDE, le G7 et le G20, s'ajoutent de nombreuses instances multistakeholders ou multi-parties prenantes : l'Icann, l'IGF (Internet Governance Forum), le W3C (World Wide Web Consortium), etc.
Ce système est indispensable, car il s'agit en l'occurrence d'artefacts fabriqués par un monde industriel : c'est ce dernier qui sait comment tout cela fonctionne. Voilà pourquoi il doit être partie prenante de la décision. De même, sur certains sujets, la société civile refuse que les États et les grandes entreprises du secteur numérique s'entendent dans son dos. Voilà pourquoi elle exige, avec raison, de la transparence et des capacités de contestation.
Si l'État, à travers France Télécom, avait organisé internet à lui seul, nous n'aurions pas connu un tel cycle d'innovation, chamboulant bien des positions acquises : heureusement qu'il y a un multistakeholderism. Mais, aujourd'hui, la légitimité de ce système pose question - je pense par exemple à certaines entreprises ou ONG, qui ont du mal à reconnaître que les États ne sont pas des acteurs comme les autres.
M. André Gattolin. - Certains considèrent même que les États sont des acteurs moins importants que les autres.
M. Henri Verdier. - Tout à fait, on le constate par exemple à l'Icann. D'ailleurs, pour l'heure, notre rôle y est strictement consultatif.
Enfin, ce système est-il complet, couvre-t-il bien les bons sujets ? Les pères fondateurs d'internet ont compris l'importance de la neutralité du numérique. Les plateformes ont un devoir de décence, de sincérité et de transparence, mais cette question ne fait pas encore l'objet d'un débat international. Si le péril de la fracture d'internet venait à se concrétiser, je ne sais pas non plus où l'on en débattrait.
L'inconvénient du multistakeholderism, c'est que ce sont les standards de fait qui l'emportent, non les mieux conçus mais ceux qui ont attiré le plus d'usagers.
Je souscris à vos propos sur la nouvelle économie, mais je constate que plusieurs modèles de nouvelle économie coexistent. On parle souvent des GAFA ; mais alors qu'Apple vend des objets manufacturés, Facebook vend de la publicité présentée sur la base des conseils de vos amis et Google vend aussi de la publicité, après avoir indexé tous les contenus d'internet. Nos efforts de régulation doivent donc être précisément ciblés en fonction des marchés.
Je rentre d'une mission dans la Silicon Valley : nous avons aussi des alliés là-bas, comme la Mozilla Foundation et l'Electronic Frontier Foundation. Beaucoup de gens, en effet, sont très inquiets face à l'évolution de la culture et du monde numériques.
M. Pierre Ouzoulias. - Merci de votre présentation tout à fait passionnante. Vous avez dit qu'il était nécessaire que l'État puisse maîtriser certains outils et certaines technologies pour garantir l'usage qu'en font les citoyens. C'est fondamental. Pour ma part, j'utilise LibreOffice pour prendre des notes, mais ce logiciel libre a deux défauts : il ne garantit pas la pérennité de mes données, car l'association qui l'anime peut disparaître du jour au lendemain,...
M. Henri Verdier. - Mais Android ne vous la garantit non plus !
M. Pierre Ouzoulias. - ... et il ne m'apporte aucune garantie en matière de sécurité. Comment un État pourrait-il assurer aux utilisateurs la pérennité et la sécurité des données ? Comment les citoyens peuvent-ils vérifier que ces garanties leur sont vraiment apportées ?
M. André Gattolin. - J'ai beaucoup travaillé sur ces questions, et notamment sur la gouvernance mondiale d'internet, avec Catherine Morin-Desailly. J'ai eu l'occasion d'auditionner plusieurs fois le président de l'Icann : on nous promet à chaque fois de grandes réformes pour rendre le multistakeholerism plus transparent et satisfaisant pour les Européens. Mais les polémiques se multiplient : en 2016, Donald Trump a menacé de reprendre en main l'Icann ; les conflits d'intérêts sont nombreux. Le système favorise les grandes entreprises, essentiellement américaines, car les soi-disant représentants de l'internet libre sont, en fait, complètement soumis à ces grands groupes qui les financent en grande partie. Il s'agit donc d'acteurs qui, tout en prétendant ne pas avoir d'idéologie, sauf anti-étatique, sont extrêmement idéologiques. Dans ce cadre, il est très difficile de se faire une place : on est réduit au rôle d'observateur.
Les GAFA font aussi planer la menace d'une fragmentation de l'internet, comme si sa globalisation devait être conservée à tout prix ! Ces organisations, qui se prétendent libres et autonomes, ont en fait un caractère très idéologique et ont finalement imposé leurs règles à l'ensemble des États.
Vous avez aussi envisagé, de manière un peu catastrophiste mais néanmoins vraisemblable, les futurs cyberconflits du XXIe siècle. Le numérique fait bel et bien partie des armes non conventionnelles, qui deviennent de plus en plus importantes. Ainsi la Russie, qui dépense beaucoup moins d'argent dans sa défense que par le passé, s'est-elle concentrée sur les aspects de cyberdéfense.
Outre les attaques visant à détruire ou à paralyser tel ou tel site, il faut mentionner des pratiques plus soft, mais plus insidieuses, développées notamment par la Chine, qui consistent à piller des millions de données dans le cyberespace. Ces données alimentent le système d'apprentissage des machines, dans une logique de deep learning, ce qui permet d'acquérir une avance en matière d'intelligence artificielle. Ce faisant, une culture ou un État pourrait finir par contrôler toute la planète.
Diplomatiquement, la question est très délicate, car il est difficile de pointer du doigt ces manoeuvres susceptibles de conduire à un conflit généralisé. Nous vivons durablement dans un monde pacifié, où les conflits sont de nature intermédiaire, sans viser à la rupture totale. Ces attaques invisibles sont néanmoins préoccupantes. Plutôt qu'une cyberguerre visant à la destruction de l'adversaire, ne faut-il pas craindre, à terme, une nouvelle forme de colonisation ou de soumission par le biais du contrôle des données ou de l'intelligence artificielle ?
Mme Viviane Artigalas. - Internet a changé le monde. C'est un fait. On ne peut envisager la souveraineté numérique de la même manière que l'on conçoit les autres formes de souveraineté. Il ne suffira pas d'édicter des normes ou d'ériger des murs. Au contraire, notre souveraineté numérique suppose la capacité d'agir, de naviguer, de travailler dans cet univers.
Pour préserver notre souveraineté, peut-on envisager de créer des systèmes publics capables de concurrencer les systèmes privés existants, tout en garantissant la neutralité, la transparence, la gratuité ? Avons-nous les moyens, en France et en Europe, de mettre en place de tels systèmes publics ?
M. Henri Verdier. - Vos questions peuvent être regroupées en deux grandes familles.
La première porte sur la souveraineté par l'action. J'avais dans mon équipe précédente un développeur qui avait une pensée stratégique profonde en matière de souveraineté numérique : il était très vigilant et il anticipait toujours les pièges dans lesquels on risquait de tomber. Dans les années quatre-vingt-dix, il avait créé une start-up qui avait compté jusqu'à 150 salariés et qui produisait des applications pour le Newton, l'assistant personnel numérique d'Apple. Puis, un jour, Steve Jobs a décidé de simplifier la ligne des produits et l'a supprimé. Subitement, la start-up a disparu, à cause d'une décision prise à 8 000 kilomètres de la France. Dès lors, il a toujours cherché à savoir où était hébergé le code source, qui le possédait, qui assurait sa maintenance, etc. Il ne voulait plus s'enfermer dans un système nous plaçant sous la dépendance d'un choix technologique ou d'une stratégie marketing. Pourquoi, en effet, placer des services publics sur Google Maps quand il existe OpenStreetMap ? De même, en matière de lutte contre les contenus terroristes, on nous dit qu'il existe déjà une base de données gérée par Google, Apple, Facebook et Twitter. Il suffirait de leur signaler un contenu pour que celui-ci soit retiré dans l'heure. Pourquoi ne peut-on pas avoir accès à cette base, à sa structure ? On ne peut pas vérifier si les contenus que l'on a envoyés ont bien été pris en compte. L'erreur est humaine. Nos ingénieurs pourraient améliorer la base. En la matière, il existe des pistes d'améliorations pour renforcer notre souveraineté.
Pour faire face à ces monopoles gigantesques, on a parfois cru que le meilleur moyen était de créer un monopole concurrent, de faire un Google à l'européenne, un Facebook européen, etc. Mais il est très difficile techniquement de réaliser ce Consumer Internet, cet internet de grande consommation. Surtout, ce secteur obéit à la règle du winner takes all, selon laquelle le gagnant prend tout le marché : on préfère rester sur Facebook, qui compte trois milliards d'utilisateurs, pour y retrouver ses amis, plutôt que de s'inscrire sur un réseau plus petit où l'on ne connaît personne.
Les effets de réseaux font que le plus gros attire tous les utilisateurs. C'est pourquoi on s'est souvent trompé en la matière ; et finalement les partisans de la souveraineté numérique n'ont plus osé s'exprimer - à tort. Il faut différencier selon les secteurs : par exemple dans les infrastructures, rien n'empêche de faire une 5G européenne. On possède encore les entreprises et le savoir-faire, et le modèle économique est différent. En outre, on n'est pas obligé de construire un contre-monopole pour affaiblir un monopole : quand je dirigeais la Dinsic, j'ai demandé aux administrations de ne plus installer leurs services sur Google Maps, mais d'utiliser OpenStreetMap. On a bien fait : depuis, le coût de Google Maps a explosé. On n'a pas suffisamment cherché à allumer des contre-feux, à posséder des bases arrières, des réserves. Dans une bataille, lorsqu'on ne peut pas gagner, on se replie sur des bases arrière ou dans le maquis pour résister. Avec une bonne compréhension du libre et des « communs », on peut parvenir à créer des points d'indépendance. Sans procéder ainsi de manière systématique, l'État peut au moins veiller à la sécurité juridique, technique, voire financière des « communs ». Peut-être vaut-il mieux subventionner Firefox pour que son système soit performant plutôt que de se lancer dans des aventures industrielles.
En réponse à vos questions sur ce sujet, la France n'a jamais attribué officiellement une cyberattaque à un pays : je ne peux donc pas le faire ici.
Comme on compte autant de communautés que d'enceintes, le système est lourd et lent. Voilà sept ans qu'Amazon réclame le droit de créer le « .amazon » et que la question reste en suspens.
Au sujet des diverses formes d'emprise, disons-le : il y aura des conflits cyber. On voit les armes prépositionnées, on connaît les budgets ; WannaCry était initialement une arme, elle a été volée et utilisée par d'autres. Bien sûr, il existe aussi des formes plus douces de prise de pouvoir. Toutefois, pour reprendre votre exemple, je crois que la Chine a déjà assez largement à faire pour récupérer les données de sa population ; je ne suis pas sûr qu'elle soit déjà en train d'essayer d'aspirer les données des Français, mais nous devons rester très vigilants.
Depuis que je suis ambassadeur, j'ai pu mesurer l'impact mondial du règlement général sur la protection des données, le RGPD : le Japon a négocié et obtenu l'accord d'adéquation avec l'Europe. Ainsi, le RGPD couvre déjà 700 millions de personnes. De même, par le biais de conventions, au titre de l'article 108 du Conseil de l'Europe, une quinzaine de pays se manifestent pour créer un droit similaire : l'Inde, la Tunisie, ou encore la Californie qui s'est dotée d'un régime identique.
À terme, plusieurs milliards d'individus pourront partager le même régime juridique, avec des sécurités comparables et une philosophie identique, selon laquelle c'est le consentement de l'usager qui détermine la licéité de l'usage, et non l'intérêt de l'État ou un contrat extorqué. Nous pouvons en être fiers, même si la mise en oeuvre est complexe.
Vous évoquiez les approches frontales, violentes, et les emprises par des formes de soft power, voici un exemple de contre soft power. On pourrait aussi mentionner le règlement européen « eIDAS », Electronic IDentification Authentication and trust Services, qui permet la reconnaissance mutuelle au sein de l'espace européen des identités numériques respectives. Certains pays demandent à en faire partie. Je crois que dès que les vingt-huit pays européens parviennent à se mettre d'accord sur un texte, l'Europe possède un petit avantage compétitif, car le texte qu'elle adopte est de qualité et peut rassembler. Ce n'est pas un hasard si quinze pays ont d'ores et déjà recopié le RGPD : ce texte avait déjà été largement débattu, décortiqué, mûri.
M. Franck Montaugé, président. - Nous vous remercions de cet éclairage.
La réunion, suspendue à 15 h 10, reprend à 16 heures.
Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.
Audition de Mmes Pauline Türk, professeur de droit public à l'université Côte d'Azur et Annie Blandin, professeur à l'IMT Atlantique, membre du Conseil national du numérique
M. Franck Montaugé, président. - Notre commission d'enquête poursuit ses travaux avec l'audition commune de Mme Pauline Türk, professeur de droit public à l'université Côte d'Azur, et de Mme Annie Blandin, professeur à l'Institut Mines-Télécom Atlantique et membre du Conseil national du numérique.
Cette audition est diffusée en direct sur le site internet du Sénat. Elle fera également l'objet d'un compte rendu publié. Je rappelle, pour la forme, qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal. Je vous invite donc à prêter serment de dire toute la vérité, rien que la vérité. Levez la main droite et dites : « Je le jure. »
Conformément à la procédure applicable aux commissions d'enquête, Mmes Pauline Türk et Annie Blandin prêtent serment.
Madame Pauline Türk, vous apportez à nos réflexions l'approche d'une constitutionnaliste : vous avez coordonné un colloque et un récent ouvrage sur le concept et les enjeux de la souveraineté numérique. Vous y retracez l'histoire relativement récente de cette expression et vous soulignez la grande diversité des définitions qui lui ont été données. Peut-être pourrez-vous nous éclairer, pour commencer, sur les diverses acceptions que reçoit la « souveraineté numérique », selon qu'elle est exercée par les États, revendiquée par les citoyens, voire contestée ou confisquée par certaines multinationales.
Madame Annie Blandin, l'ouvrage que vous avez coordonné, Droits et souveraineté numérique en Europe, fait également suite à un colloque. Vos travaux mettent l'accent sur la dimension européenne des enjeux et des réponses à donner. Dans ce livre, vous insistez particulièrement sur le poids de ces géants du numérique - que vous qualifiez même d'« entreprises souveraines » - et vous décrivez les difficultés d'une gouvernance partagée des instances du réseau internet. Vous reviendrez sans doute sur ces défis et sur les moyens dont nous disposons pour y répondre.
Mme Annie Blandin, professeur à l'IMT Atlantique, titulaire d'une chaire européenne Jean-Monnet sur l'Union européenne et la société de l'information, membre du Conseil national du numérique. - L'expression « souveraineté numérique » est désormais entrée dans le vocabulaire courant. Elle nous conduit à repenser notre conception classique de la souveraineté et à l'envisager au pluriel.
Même si l'on accole souvent à la notion de souveraineté des adjectifs multiples - on parle par exemple de « souveraineté alimentaire » -, le sens du mot ne varie pas : la souveraineté incarne la volonté du peuple et permet à la collectivité de déployer toutes ses potentialités. Il ne s'agit pas d'un état qu'il s'agirait de sanctuariser, mais plutôt d'un processus : on parle ainsi de « souveraineté en réseau », compte tenu de la multiplication des lieux de normativité, de « stratégie de souveraineté » et de « souveraineté efficace ».
Cette souveraineté prend tout son sens dans le cadre européen, même si la souveraineté européenne a vocation à interagir avec la souveraineté nationale. La souveraineté est aussi une notion qui se décline. Certaines données sont qualifiées de souveraines, comme les données géographiques, dans le rapport de Mme Valéria Faure-Muntian. En effet, elles servent de support aux décisions de la puissance publique et font autorité ; elles doivent donc être maîtrisées, et l'autorité publique ne doit dépendre de personne pour les élaborer ou les utiliser.
À cet égard, deux idées me semblent essentielles. Premièrement, le numérique conduit à repenser la souveraineté, car ses enjeux se déploient dans toutes les activités humaines et sont d'ores et déjà pris en compte par certaines politiques publiques et dans divers instruments juridiques. Deuxièmement, la souveraineté numérique ne peut pleinement s'exprimer que lorsqu'elle incarne un projet européen.
La souveraineté numérique conduit d'abord à repenser la souveraineté. Il est désormais impossible de parler de souveraineté numérique sans évoquer des formes de concurrence entre souveraineté étatique et pouvoir des entreprises. En effet, le numérique peut concerner tous les champs de l'activité humaine. Avec son livre, Quand Google défie l'Europe, Jean-Noël Jeanneney a été l'un des premiers à tirer la sonnette d'alarme dans le domaine de la culture, à propos de la création de Google Books. Désormais, les enjeux se déploient aussi sur le terrain économique, démocratique, social, éducatif, territorial, etc. Il suffit de regarder dans quels domaines investissent les géants du net pour savoir exactement où se situent les enjeux souverains : il s'agit en particulier de la santé, de l'agriculture, ou encore de la mobilité.
Or le numérique est structuré autour de ces grandes entreprises, ces géants du net. On parle aussi d'entreprises systémiques, ou de plateformes, par référence à leur statut d'intermédiation. Je les ai qualifiées de souveraines dans la mesure où elles déploient de véritables attributs de la souveraineté.
Lorsque, à l'instar de Google, l'on entend organiser les informations à l'échelle mondiale afin de les rendre accessible à tous, on proclame une ambition souveraine. Il en va de même lorsque l'on veut « numériser le patrimoine mondial », comme le fait Google Books. Facebook se donne pour but de connecter le monde entier. Ces entreprises possèdent donc certains attributs de la souveraineté : un territoire transnational, en dépit de différences nationales, où elles édictent elles-mêmes des normes juridiques qui s'appliquent à une population d'internautes. Certes, cette population peut s'exprimer et participer au débat public par le biais des réseaux sociaux, mais elle est aussi surveillée, et son système cognitif est contrôlé jusqu'à la création d'addictions, comme le décrit fort bien la théorie de l'économie de l'attention.
Ces entreprises ont encore d'autres attributs de souveraineté : une langue, l'anglais, à laquelle s'ajoute une série d'innovations linguistiques qui apparaissent sur les réseaux sociaux, une monnaie, virtuelle, le bitcoin ; un pouvoir réel d'édiction de normes juridiques et de régulation, à travers les « conditions générales d'utilisation », véritables lois de l'internet, et un pouvoir de modération des contenus.
Ainsi, une nouvelle composante de la souveraineté apparaît, qui consiste à produire ou à utiliser des données, et à maîtriser l'accès à l'information via les moteurs de recherche en position dominante, comme Google, ou par le biais des assistants vocaux qui réduisent la liberté de choix des utilisateurs. L'utilisation des donnés est donc centrale. Il n'est pas étonnant qu'une firme comme Alibaba se définisse elle-même comme un groupe de données, et plus seulement comme une plateforme de vente en ligne. À l'image de Monsanto, beaucoup d'autres entreprises, initialement ancrées dans une activité matérielle, se transforment et fondent leur stratégie sur les données et sur l'aide à la décision. Finalement, elles s'insèrent, plus ou moins volontairement, dans un système de surveillance des consommateurs.
Comment ces entreprises se sont-elles développées ? Le cadre politique de certains pays, notamment les États-Unis, a favorisé leur émergence. Elles ont aussi profité des lacunes du droit de la concurrence, peu outillé pour empêcher l'émergence de quasi-monopoles par des entreprises en croissance bénéficiant de l'effet du « winner takes all » (le gagnant remporte tout). De même, pour des raisons de seuil, le droit de la concurrence ne peut empêcher les rachats de start-up par ces grandes entreprises. En outre, à l'heure où l'on cherche à responsabiliser davantage les plateformes dans le cadre, notamment, de la lutte contre la haine, on peut se demander si le régime de responsabilité allégée ou aménagée, qui date de la directive relative au e-commerce, ne leur a pas apporté une protection trop grande. Ce sujet est polémique, mais je crois qu'il ne faut s'interdire aucune piste de réflexion.
Ces enjeux sont déjà pris en compte dans certaines politiques publiques. Le RGPD a une dimension d'application extraterritoriale et régule également le transfert des données depuis l'Union européenne vers les États tiers, sous réserve d'une protection adéquate ou équivalente. Autre exemple, la France, qui n'a pas hésité, faute d'accord au niveau européen, à choisir sa propre voie avec la taxe sur les services numériques.
Pour que la souveraineté numérique puisse s'exprimer, certaines conditions doivent être remplies. Il faut commencer par régler la question concurrentielle. Dans le cadre des états généraux des nouvelles régulations numériques, quatre sujets ont été abordés : régulations concurrentielle, sociale, sociétale et moyens de la régulation. Ces sujets sont tous liés. Le constat est simple : il n'est pas possible de lutter, par exemple, contre la surexposition aux écrans ou la haine sur internet si l'on ne s'intéresse pas à la structure du marché, aux modèles d'affaires et aux fonctionnalités techniques.
J'évoquerai quelques pistes d'action. La première est celle de la régulation asymétrique : infliger des obligations plus lourdes aux acteurs systémiques. La deuxième est celle de l'interopérabilité des réseaux sociaux, afin de développer la concurrence et donner davantage de choix à l'utilisateur. La troisième, qui est la plus extrême mais qui n'est plus aujourd'hui un tabou, est celle du démantèlement des géants du numérique. On ne sait pas si cette solution serait efficace, car le principe du « winner takes all » laisse à croire que des structures identiques réapparaîtront.
Il faut clarifier les relations entre les États et les géants du net. Quelle part réserver aux droits négociés, à la corégulation, aux différents partenariats public-privé ? Quand doit-on, au contraire, donner de la voix, et recourir à des interdictions ? Même si nous sommes conscients du trop grand pouvoir de ces entreprises, nous sommes paradoxalement en train de leur confier des missions régaliennes, lorsque l'on attend d'elles, par exemple, qu'elles régulent des contenus illicites ou qu'elles déréférencent des sites.
Ce dilemme, il s'exprime actuellement au travers des deux types d'approches envisagées en matière de lutte contre la haine sur Internet et de retrait des contenus. D'un côté la proposition de loi présentée par la députée Laetitia Avia qui, en imposant une action rapide aux entreprises sous la contrainte de très lourdes sanctions, peut amener finalement à leur confier des fonctions quasi judiciaires. De l'autre, les préconisations de la mission sur la régulation des réseaux sociaux, initiée par le secrétaire d'État en charge du numérique et ayant bénéficié d'un accès assez fin aux techniques de modération suivies par Facebook, qui va beaucoup plus dans le sens d'une responsabilisation et d'un rééquilibrage des pouvoirs entre les acteurs privés et l'État.
J'en viens à l'idée selon laquelle la souveraineté numérique devrait reposer sur une voie européenne, fondée sur des acquis et de nouvelles trajectoires.
Les acquis sont essentiellement le niveau élevé de protection des droits et valeurs de l'Union européenne - protection des données personnelles, liberté d'expression, diversité culturelle, etc. -, la volonté de développer une approche éthique, notamment pour le déploiement de l'Intelligence artificielle et l'affirmation de la citoyenneté numérique.
S'agissant des trajectoires, nous avons, en matière de stratégie numérique, une approche trop centrée sur le marché intérieur. Il faut développer une politique industrielle ambitieuse pour faire émerger, si ce n'est des champions, du moins des entreprises ayant un seuil d'activité suffisamment important ou présentant des alternatives crédibles, une politique de concurrence réformée permettant de défendre les intérêts européens, notamment par des investissements dans les infrastructures, et une harmonisation fiscale - nous sommes engagés dans une trajectoire destinée à lutter contre l'optimisation fiscale agressive.
L'Europe a une singularité : elle promeut une vision sociale du numérique. Grâce aux travaux de certains chercheurs, comme Antonio Casilli, nous avons pris conscience du « digital labor » (travail numérique issu des plateformes), ces microtâches que l'usager ne voit pas.
Enfin, il ne faut pas oublier la promotion de l'intérêt général. On parle beaucoup des données personnelles, mais on commence seulement à évoquer les données non personnelles. En la matière, l'enjeu est de définir un cadre, incitatif ou obligatoire, pour le partage de ces données d'intérêt général, qui peuvent être une source de valeur, d'innovation et d'activités nouvelles. C'est le cas, en particulier, des données environnementales. Il faut examiner les alternatives, afin de comprendre pourquoi certaines n'ont pas fonctionné - je pense à Europeana. Il est nécessaire de créer des plateformes fondées sur d'autres valeurs, notamment des plateformes collaboratives ou de service public.
Ainsi armée, la souveraineté européenne a vocation à rencontrer d'autres souverainetés dans le monde. L'Union européenne évolue dans un cyberespace qui est, à la fois, un espace de coopération et de conflictualité, notamment parce que certaines règles de droit sont globalisantes. Le sujet est d'actualité, notamment avec la question de l'opportunité de déréférencer les contenus au plan mondial ou seulement au niveau de l'Europe. La CNIL s'est saisie de la question.
Dans ce contexte international tendu, il faut maîtriser les piliers de la souveraineté pour conserver une certaine indépendance.
Il s'agit, d'abord, de contrôler la dimension infrastructurelle du numérique, qui comprend les réseaux de communications électroniques mais aussi les données, lesquelles « font » infrastructure - comme la directive de 2007 établissant une infrastructure d'information géographique dans la Communauté européenne, dite « Inspire », en dresse très bien le constat - , et de développer la cybersécurité, notamment pour tout ce qui concerne les infrastructures critiques.
Il faut également maîtriser les données, en particulier l'accès à l'information, dans les domaines où l'enjeu de souveraineté est fort, comme l'agriculture, l'alimentation et l'environnement. Les professionnels exposés à la mainmise de grandes entreprises doivent conserver leur pouvoir de décision. Par exemple, dans le domaine de l'agriculture, il s'agit de résister aux grands vendeurs de semences...
Sur cette base, l'Europe a vocation à être ouverte : il s'agit non pas de déployer une souveraineté défensive, mais d'agir sur la scène internationale, en réagissant, en coopérant, en se positionnant sur certains sujets comme modèle, en organisant la convergence des règles. L'exemple du RGPD est éclairant, car il a une véritable ambition internationale : les transferts de données vers les pays tiers sont bien organisés, par exemple. Apple incite ainsi les États-Unis à s'inspirer du RGPD : jouer sur l'aspect de la protection de la vie privée peut aussi constituer un avantage compétitif.
Dans ce contexte, la responsabilité européenne est importante, car, finalement, l'objectif est de faire oeuvre de civilisation. Le numérique est à la source d'une transformation profonde non seulement des processus de production et de consommation, mais aussi des processus démocratiques et des relations sociales. La seule transition d'ampleur comparable est probablement la transition écologique, et il nous faudra sans doute croiser ces deux problématiques pour aller vers un numérique plus sobre, au service de la transition écologique.
Mme Pauline Türk, professeur de droit public à l'université Côte d'Azur. - Je suis également très honorée d'être entendue aujourd'hui par votre commission d'enquête. Je commencerai mon propos en reprenant la fameuse déclaration d'indépendance du cyberespace de John Perry Barlow, l'un des pères du mouvement libertarien qui a grandement influencé la construction du réseau internet, lequel s'adressait ainsi aux gouvernements : « Vous n'avez pas de souveraineté où nous nous rassemblons ». Cela révèle un hiatus entre l'État, qui exerce une autorité verticale, hiérarchique et unilatérale sur un territoire formé par des frontières physiques, et le réseau, dont les principes fondateurs valorisent une conception horizontale, dématérialisée, transnationale et non hiérarchisée, fondée sur le principe de liberté contre les régulations et la censure.
Je voudrais également citer une autre formule célèbre, celle de Lawrence Lessig, professeur de droit constitutionnel à Harvard, lequel constatait voilà déjà vingt ans : « Code is law » : sur les réseaux, le code informatique fait loi. La régulation des comportements dépend ainsi davantage des normes techniques définies par des ingénieurs informaticiens que des normes juridiques édictées par les États.
En 2017, le Danemark a nommé un ambassadeur auprès des géants de la Silicon Valley, considérant les GAFA comme des partenaires dans les relations diplomatiques.
La souveraineté numérique, ce sont d'abord des enjeux. Les réseaux sociaux transnationaux dématérialisés ne sont plus un monde virtuel : les applications se sont multipliées, les plateformes se sont développées, les techniques algorithmiques ont progressé, avec des effets majeurs dans le monde réel. L'évolution ne va pas s'arrêter, avec les perspectives de la 5G et de l'intelligence artificielle.
Tous les secteurs sont concernés : l'économie, le politique, le commerce - eBay et Amazon -, les transports - Uber, BlaBlaCar -, la culture - Amazon, Netflix, Spotify -, l'information et les télécommunications - Twitter, Facebook -, le secteur médical - Google, Truven Health Analytics -, le secteur militaire et de défense, la justice, l'enseignement...
La souveraineté en droit, historiquement, c'est l'indépendance des États, le pouvoir de commandement suprême sur un territoire et une population. Or on constate que les sociétés humaines et les États qui les organisent sont dans une situation de dépendance croissante vis-à-vis des technologies du numérique et des entreprises américaines qui les contrôlent. L'État est affaibli, concurrencé dans toute une série de compétences par des opérateurs privés qui redessinent les politiques publiques. Certains responsables de multinationales revendiquent même le fait de pouvoir, dans quelques années, rendre des services équivalents, voire supérieurs, à ceux des États. Traditionnellement, les services rendus par l'État sont la contrepartie de l'obéissance à la loi et des impôts payés par les citoyens : il existe donc un risque de déséquilibre du modèle classique. Qui cherche encore aujourd'hui un emploi à Pôle emploi ? On recourt davantage à Viadeo, Linkedin, Monster, qui sont des applications américaines.
La concurrence touche les fonctions régaliennes : la monnaie, avec le bitcoin et les autres monnaies virtuelles ; la fiscalité, qui est inadaptée au monde numérique - je ne reviens pas sur la taxe GAFA - ; le système politique et institutionnel, avec des ingérences extérieures dans des processus électoraux ou les processus de transition démocratique. Les États ont des difficultés à faire respecter le droit - droit commercial, droit de propriété, droit d'auteur, droit à la protection de la vie privée ou des données personnelles -, la loi - celle sur l'interdiction de diffuser des sondages le jour des élections est contournée, puisque les résultats sont publiés sur des sites étrangers, en Belgique ou en Suisse -, les décisions de justice - le livre du docteur Gubler sur la maladie de François Mitterrand a été interdit, mais était pourtant disponible en ligne -, le secret défense - en 2013, la direction centrale du renseignement intérieur-DCRI- a eu du mal à obtenir de Wikipédia la disparition d'informations portant sur un site militaire classé secret défense. Je n'évoque pas les fuites de documents confidentiels et les difficultés de l'État à assurer la sécurité au regard du développement de la cybercriminalité. On se souvient du rançongiciel Wannacry en 2017 : 150 pays attaqués, 200 000 victimes, 30 000 institutions ou entreprises, dont Renault et la société des chemins de fer allemands, le ministère de l'intérieur russe et des dizaines d'hôpitaux britanniques touchés.
La souveraineté numérique, c'est ensuite un terme, qui revêt plusieurs acceptions. La notion est critiquée parce qu'elle est floue, ambiguë, protéiforme, polysémique. Chacun met ce qu'il veut derrière ce mot, qui recouvre une réflexion sur le pouvoir de commandement dans le monde numérique : qui fixe les règles ? Sur quel fondement et avec quelle légitimité ? À qui obéit-on, et avec quelles garanties ? Répondre à ces questions, c'est comprendre qui est souverain sur les réseaux et comment s'exprime cette souveraineté.
Certains conçoivent la souveraineté numérique sous l'angle juridique et politique, d'autres sous l'angle économique, et d'autres encore sous l'angle technique. La souveraineté est collective pour les uns, individuelle pour les autres. Elle peut se concevoir au niveau national, au niveau européen - pour la protection des données -, et même au niveau international - pour la gouvernance des réseaux. La souveraineté numérique est souvent revendiquée par les États, mais elle est aussi parfois reconnue aux GAFA ; elle est quelquefois réclamée pour les communautés d'utilisateurs, voire pour les individus.
Pour mettre de l'ordre dans ces acceptions, on pourrait retenir trois approches du concept de souveraineté numérique.
La première est juridique : c'est celle des États au sens classique. Depuis une dizaine d'années, les États revendiquent la souveraineté numérique au sens de pouvoir de commandement et de se faire obéir sur les réseaux. À l'origine, il s'agit surtout d'une revendication de la Chine ou de la Russie, qui étaient inquiètes de l'américanisation d'internet. Rapidement, cette préoccupation devient générale : je pense au Brésil, qui a organisé un sommet NETMundial spécifiquement sur cette question, à l'Allemagne ou à la France à la suite des révélations sur l'affaire Snowden.
La souveraineté des États, c'est l'égalité des États, mais, en réalité, tel n'est pas le cas, car certains sont plus ou moins souverains sur les réseaux : les États-Unis le sont plus que les autres, et la Russie ou la Chine travaillent à le devenir davantage. Tous les États ne retiennent pas la même conception de la souveraineté numérique : pour certains, elle est autoritaire, voire offensive - c'est le droit pour l'État de reprendre le contrôle des espaces numériques, d'y appliquer sa loi, d'y promouvoir ses intérêts - ; pour d'autres, dont l'Europe fait partie, elle est plus libérale et défensive - c'est le droit pour l'État de protéger ses citoyens contre les entités malveillantes ou mues par des intérêts purement commerciaux.
La deuxième approche de la souveraineté numérique est politique et économique : c'est celle des Gafam. Les multinationales américaines ont bâti des réseaux, qu'elles gèrent très largement : elles disposent de facto du pouvoir d'imposer des règles. Elles bénéficient d'une suprématie grâce à leur position dominante sur le marché, et sont les véritables pouvoirs souverains dans le cyberespace. Qui fixe les conditions générales d'utilisation ? Qui est en situation de monopole pour la fourniture de services devenus indispensables ? Qui a le pouvoir de se faire obéir ? Qui peut décider de supprimer des contenus, de censurer un tableau, de fermer le profil d'un utilisateur - cela équivaut à une mort sociale, notamment pour la jeune génération -, de vendre des données personnelles, de ne pas rendre des données stockées sur un cloud ? Ce sont toujours les mêmes : Google, Amazon, Facebook , Apple, etc..
La troisième approche est plus libérale et individualiste : c'est celle des utilisateurs. On se rapproche de la notion de souveraineté populaire. Le pouvoir de commandement est pour soi-même : c'est le droit à l'autodétermination, le droit de maîtriser son destin - nous n'en sommes pas encore là. Cette souveraineté peut être individuelle : l'individu doit rester maître de son destin sur les réseaux. Cela se traduit concrètement par des garanties qui sont en cours de consécration : le droit à la portabilité des données, le droit à l'oubli, le droit au déréférencement, le concept d'autodétermination informationnelle que certains voudraient d'ailleurs voir inscrit dans la Constitution.
Malgré des conceptions assez variées, la souveraineté numérique renvoie à une préoccupation : le refus que les peuples, les communautés d'utilisateurs, les États, les individus perdent le contrôle de leur destin au profit d'entités mal identifiées, non légitimes et ne poursuivant pas l'intérêt général.
J'en viens aux solutions et aux perspectives.
Il faut, d'abord, poursuivre la prise de conscience. Elle est à l'oeuvre dans le monde politique, votre commission d'enquête en témoigne. Depuis 2012, elle se fait à l'échelon international, avant de prendre de l'ampleur en Europe. Je rappellerai les rapports parlementaires sur le sujet, la loi de 2016 pour une République numérique et les travaux sur le cloud souverain - un décret récent est venu imposer un stockage des données des archives nationales sur le territoire. Une réflexion a été menée sur un commissariat à la souveraineté numérique, et des débats ont eu lieu sur la constitutionnalisation d'une charte du numérique pendant l'été 2018.
Dans le grand public, la problématique reste, en revanche, très largement méconnue, je le constate moi-même à l'université. Il faut réfléchir à la meilleure façon de former les jeunes générations, en leur expliquant le rôle de certains acteurs de la gouvernance de l'internet comme l'Internet corporation for assigned names and numbers (Icann), en les sensibilisant à la protection de leurs données sur les réseaux, en les incitant à utiliser certains moteurs de recherche comme Qwant et en leur enseignant les rudiments du code informatique, au moins en option.
Cette sensibilisation leur permettra peut-être de se laisser moins dominer par les machines que notre génération : ils seront plus concernés, moins fatalistes, et prendront conscience des leviers d'action dont ils disposent à titre individuel.
Il faut, ensuite, développer notre potentiel technologique. Nous ne pouvons pas continuer à rester spectateurs de la guerre que se livrent les puissants. Il est nécessaire de développer un système d'exploitation et un moteur de recherche européens - la Chine a Baidu, la Russie Yandex - pour casser les monopoles, et menacer les États-Unis de façon crédible sur le plan technologique.
Il faut, par ailleurs, faire progresser la régulation dans le sens de nos valeurs et de l'intérêt général. Il s'agit de continuer à négocier des aménagements en matière de protection des données personnelles, comme le RGPD qui est un beau succès - acquis de haute lutte ! -, et nos principes fondateurs : la liberté d'expression, la neutralité, la diversité linguistique, le respect de la vie privée.
Il faut, enfin, réfléchir à la gouvernance, et y prendre notre part. Le mouvement est à l'oeuvre et il permettra de mieux partager les responsabilités de la gestion des réseaux et d'y promouvoir nos valeurs européennes. L'évolution des statuts de l'Icann, société californienne qui s'est progressivement ouverte, le montre bien : c'est une lutte diplomatique de tous les instants. Songeons à la fameuse formule prononcée en 2015 par Barack Obama, qui assumait : « Internet est à nous »... La bataille n'est pas gagnée. L'Icann et les autres organismes de gestion des ressources critiques, les sommets mondiaux, les forums annuels sur la gouvernance d''internet, les instances de gouvernance technique sont autant de lieux de négociations méconnus où nous devons être présents. À terme, certains revendiquent même l'élaboration d'une charte internationale de l'internet, dans laquelle seraient consacrés les principes essentiels qui devraient régir le développement du réseau. Cette solution est sans doute très idéaliste, mais la perspective a été tracée.
En attendant, faute de partage des responsabilités, les États les plus préoccupés n'ont pas attendu : ils en ont tiré des conséquences en faisant internet à part - c'est la balkanisation du web -, ce qui n'est pas souhaitable. En termes de rapport de forces, nous avons des atouts : les utilisateurs européens sont le premier marché économique pour les GAFA. Nous avons aussi des possibilités d'alliance entre pays européens, mais également au-delà : notre préoccupation est largement partagée sur tous les continents.
Rappelons que, sur le plan des valeurs, nous avons une grande proximité avec les États-Unis, avec lesquels la collaboration l'emportera toujours - espérons-le ! - sur la confrontation.
Depuis deux cents ans, nous avons essayé d'organiser le pouvoir politique pour qu'il soit conciliable avec le respect des libertés des citoyens. Pour obtenir cette démocratie, on a fait des révolutions, guillotiné, voté, construit des régimes démocratiques dans lesquels les gouvernants sont élus par les gouvernés, sont responsables, transparents, tenus d'agir dans l'intérêt général et de rendre des comptes. C'est à ces conditions qu'ils peuvent exercer le pouvoir qui est le leur. Aujourd'hui, nous nous soumettons à de nouveaux pouvoirs qui commandent sur les réseaux et ne sont soumis à aucune de ces contraintes et exigences démocratiques. Jusqu'à récemment, cela ne dérangeait personne. Il est temps d'en prendre conscience et de reprendre la main.
M. Gérard Longuet, rapporteur. - Je vous remercie de la qualité de vos interventions et de la passion qui vous anime.
Madame Blandin, la solution est, pour vous, européenne. Mais sur cette question tous les pays n'ont pas la même approche. Faut-il catégoriser les États européens par grands groupes de comportement ? Nous sommes convaincus, et c'est la raison pour laquelle le Sénat a accepté cette commission d'enquête, que le numérique est une question éminemment politique et totalement universelle, non seulement par son étendue mondiale, mais par l'universalité de ses sujets.
Madame Türk, vous avez insisté sur l'émergence difficile de la démocratie, qui est une forme d'organisation politique tardive et fragile et vous avez eu raison de rappeler l'approche libertarienne qui est à l'origine de la création d'internet. L'autorité de l'État qui s'est progressivement constituée repose sur un contrat de sécurité : les impôts sont la désagréable contrepartie de la protection que l'État nous garantit. La sécurité a changé de forme et de modalités, et la démocratie a introduit une idée plus nouvelle, celle de la participation à la construction permanente de ce contrat, à sa vérification, à son contrôle.
Une personne que nous avons entendue a évoqué la démocratisation interne des GAFA. Vous avez, pour votre part, mentionné le démantèlement, qui a déjà touché les sociétés pétrolières américaines et les sociétés de télécommunications. On peut imaginer que la grande structure a une volonté de démiurge, mais aussi qu'elle est opportuniste : elle veut des utilisateurs. Si ceux-ci souhaitent qu'un certain nombre de comportements soient adoptés à leur endroit, elle peut en tenir compte, dans un intérêt purement commercial. La démocratisation est-elle impensable dans un système qui se veut, d'origine et de construction, libertarien ?
Mme Annie Blandin. - Pour tout ce qui intéresse le numérique, l'Europe agit, et avec succès. On a évoqué la libéralisation des télécommunications...
M. Gérard Longuet, rapporteur. - C'était il y a vingt-cinq ans !
Mme Annie Blandin. - ...plus récemment, il y a eu le RGPD.
M. Gérard Longuet, rapporteur. - Il s'agit d'une véritable réalisation, mais le RGPD ne mobilise pas le client final. Peut-être contribue-t-il à inciter les grandes entreprises et les grands clients des GAFA à adopter des comportements différents afin d'éviter, s'ils ne respectaient pas cette réglementation, l'effet négatif des sanctions? Pour ma part, je clique toujours de bon coeur pour donner mon consentement, persuadé d'être protégé.
Mme Annie Blandin. - Le RGPD n'est pas sans faille. Mais la règlementation sur la protection des données personnelles ne sort pas de nulle part : En effet, elle remplace une directive qui avait déjà posé le principe du consentement - même si l'on peut discuter du caractère éclairé ou non de ce consentement. Les entreprises s'y conforment-elles par seule crainte des sanctions ? Je crois plutôt qu'elles le font parce que c'est dans leur intérêt concurrentiel pour gagner des utilisateurs.
Au niveau européen, en ce qui concerne la régulation juridique du numérique, on constate que les directives laissent la place à des règlements, , car les régimes s'uniformisent entre États membres - je pense notamment, outre le RGPD, aux règles de connectivité dans les télécoms ou aux relations entre les plateformes et les entreprises.
Un projet européen fondé sur des valeurs communes, mais avec des actions nationales diversifiées est tout à fait possible. Même si la fiscalité des Gafam et la taxe sur le numérique sont des sujets qui divisent, chaque État entreprend des actions nationales, dans une perspective européenne. Le débat fait rage sur la proposition de loi pour lutter contre la haine sur Internet. L'action de l'Allemagne, résolument fondée sur une sanction lourde à l'encontre des entreprises qui ne modèrent pas les contenus, crée un effet d'entraînement. La France choisira sans doute une voie médiane, en responsabilisant les entreprises concernées. Je reste convaincue que le niveau européen est pertinent pour agir.
M. Gérard Longuet, rapporteur. - Ne faut-il pas faire une distinction entre les pays libertaires, ceux qui sont alignés sur des standards atlantiques, et ceux qui privilégient des standards nationaux ?
Mme Annie Blandin. - Des tendances diverses se dessinent au sein de chaque pays. Notre président de la République reçoit Mark Zuckerberg, mais mène une politique volontariste en matière de lutte contre la haine sur Internet. Aucune fracture n'est insurmontable. Regardez l'industrie des télécoms - que vous connaissez bien, monsieur le rapporteur -, la France s'était opposée à leur libéralisation, soutenue par les pays du sud de l'Europe, alors que l'Allemagne y était favorable. À force de temps, de jurisprudence, et de garanties données en termes de service public ou de couverture, le processus s'est concrétisé.
M. Gérard Longuet, rapporteur. - Qu'en est-il de la démocratisation interne des structures et de la gouvernance ?
Mme Pauline Türk. - La gouvernance s'appuie sur des acteurs divers qui débattent des principes à défendre dans le cadre d'ONG ou de forums d'utilisateurs. On pourrait effectivement y insuffler des principes démocratiques.
Les Gafam défendent naturellement avant tout des intérêts particuliers, privés et commerciaux. Les démocratiser reviendrait à leur donner le statut de pouvoirs souverains au niveau politique. Cela s'inscrirait dans la perspective d'un droit constitutionnel global, qui considère que pour préserver les principes démocratiques des États, il faut les transposer à l'échelle supra-nationale. Cela ne va pas encore de soi...
M. Gérard Longuet, rapporteur. - Selon vous, le droit de la concurrence n'est pas la solution absolue. Dans les domaines de l'énergie ou des télécoms, force est de reconnaître que la liberté du citoyen s'exprime dans la liberté d'achat. Dans des systèmes monopolistiques, une autre forme de régulation existe, qui passe par le comportement des utilisateurs.
Mme Pauline Türk. - Ces opérateurs n'ont pas pour objectif de défendre l'intérêt général. Le nerf de la guerre, c'est leurs intérêts commerciaux. Ils se démocratiseront si les utilisateurs les obligent à faire évoluer leur régulation, en choisissant telle ou telle plateforme plutôt qu'une autre en fonction, par exemple, de la rédaction de leurs conditions générales d'utilisation. La confiance est au coeur de la relation commerciale. Pour conserver leurs clients et en gagner de nouveaux, les Gafam doivent répondre aux souhaits des utilisateurs et anticiper les risques pour leur réputation.
M. Gérard Longuet, rapporteur. - Vous avez mentionné le rachat des start-ups. Le droit de la concurrence tel qu'il s'exerce en Europe reste archaïque. La logique de ces acquisitions est diabolique, car celui qui dispose de moyens financiers peut absorber une entreprise dont le développement n'est pas encore abouti, en la privant de la possibilité d'exister indépendamment. C'est une forme d'étouffement de la concurrence par un round-up sur toutes les nouvelles plantes. Certaines pousseront, d'autres pas. Les clients perdent la possibilité d'avoir accès à certains fournisseurs nouveaux.
M. Rachel Mazuir. - Le droit a du mal à s'imposer, mais il existe aussi un levier industriel. Vous nous suggérez une sorte d'Airbus européen de la technologie. Il reste à trouver le partenaire. Dans un monde soumis à la finance, seule une puissance industrielle à l'échelle de l'Europe peut faire contrepoids.
Certaines plateformes ont investi dans le champ de la santé. Doctissimo, initiée par notre collègue Claude Malhuret, est une poule aux oeufs d'or qu'aucune plateforme ne peut concurrencer.
Enfin, le Président de la République a reçu Mark Zuckerberg en lui réservant des honneurs dignes d'un chef d'État. N'est-ce pas faire peu de cas de notre souveraineté ?
M. Hugues Saury. - La localisation des données est un enjeu majeur. Certains considèrent que les données devraient être territorialisées en France ou en Europe. D'autres estiment qu'elles ont vocation à être diffuses. Il existe des obligations de désignation de représentants en France. Tout cela peut-il suffire pour garantir l'application de nos lois ?
M. Jérôme Bignon. - Quand j'étudiais le droit européen, sous l'autorité du professeur Teitgen, il avait utilisé le syndrome du nénuphar sur l'étang pour qualifier le processus de construction de ce qui allait devenir l'Union européenne. On découvre un jour que le nénuphar a recouvert toute la surface de l'étang, grâce au déploiement des rhizomes sous la surface de l'eau. Les Gafam vont encore au-delà, grâce au principe d'extraterritorialité qui les caractérise. Comment contrôler leur action à l'échelon européen ? Peut-on envisager une souveraineté européenne qui les forcerait à respecter les valeurs des 28 États membres ?
Dans nos discussions avec les Gafam, il faudrait que nous puissions faire valoir notre souveraineté sur tous les sujets. Comment le pourrions-nous dès lors que notre président reçoit M. Zuckerberg comme un chef d'État ?
Mme Türk a mentionné le droit constitutionnel global, en précisant que les Gafam n'étaient pas les partenaires des États. Parmi les acteurs de ce droit, il faut aussi prendre en compte les organisations non gouvernementales, comme l'Union internationale pour la conservation de la nature (UICN), ou bien la Fédération internationale de football association (FIFA) qui joue un rôle quasi-étatique dans les négociations très politiques où l'on décide du lieu où sera organisée la Coupe du monde. Les Gafam ne pourraient-ils pas entrer dans un cadre de ce type ?
Le débat autour de la propriété des données personnelles a été abordé à plusieurs reprises au cours de nos auditions. Peut-on imaginer que l'Europe ou la France la consacrent ? On nous a laissé entendre, lors de notre première audition, qu'il était possible de rétablir ou d'imposer une forme de territorialité pour ces données. Le champ d'action extraterritorial des Gafam ne rend-il pas ce processus compliqué ? Sans doute vaut-il mieux continuer d'avancer pas-à-pas plutôt que d'entrer dans des conflits qui favoriseraient les blocages.
M. Franck Montaugé, président. - À propos, justement, d'extraterritorialité, le Cloud Act qui date du début de 2018 permet aux autorités américaines d'aller chercher des données sur simple mandat, hors mécanismes de coopération judiciaire internationale. Alors que les Européens se croient protégés par le RGPD, les États-Unis peuvent en réalité récupérer leurs données. N'est-ce pas là une source de conflit entre juridictions ? Comment faire primer nos valeurs européennes ?
Une branche des études juridiques porte sur l'économie constitutionnelle. Ne peut-on pas considérer que le développement des Gafam rebat les rapports de souveraineté entre les États et contribue au développement de cette économie, selon laquelle l'intérêt général n'est plus exclusivement défini par les États, mais aussi par les grands prescripteurs que sont devenus les Gafam ?
Mme Pauline Türk. - À partir du moment où des acteurs privés exercent un pouvoir politique sur une communauté, souvent transnationale, ils entrent dans le champ du pouvoir constitutionnel.
Les lieux de stockage des données ont été diversifiés et un certain nombre d'entre eux sont désormais situés en Europe. Faut-il continuer à nous battre en ce sens ? Je n'en suis pas certaine, car en matière de données, toute l'architecture est précisément pensée pour échapper aux frontières.
La patrimonialisation des données est une idée récurrente : Doit-on faire de chaque individu le propriétaire de ses données, à charge pour lui d'en faire ce qu'il souhaite ? L'Europe ne se résout pas à cette approche très individualiste, par crainte d'un désinvestissement de la puissance publique, à qui il revient d'assurer la protection de ces données.
La logique des rhizomes me rappelle celle de la grenouille que l'on plonge dans une marmite d'eau froide dont on porte la température à ébullition et qui ne se rend pas compte qu'elle est en train de bouillir. Deux approches sont possibles, celle des Russes qui souhaitent imposer par le haut un traité international qui fixera des règles ; et celle, plus pragmatique, qui consisterait à mettre en place des ramifications pour dessiner un paysage de règles, en opérant par le bas, dans une logique multi-acteurs déjà propre à certaines de ces organisations, associant les ONG, les techniciens informatiques et les Gafam.
Mme Annie Blandin. - Faut-il prendre le risque d'un conflit avec les Gafam ? ou considérer plutôt que l'équilibre des pouvoirs finira forcément par se créer au fil des années ? La particularité des plateformes tient à leur emprise remarquable sur le système cognitif des individus, au-delà des services de mise en relation qu'elles fournissent. Le Conseil national du numérique ne pourra pas lutter contre la surexposition aux écrans, sans mettre en cause les entreprises au sujet de leur objectif caché de créer de l'addiction chez leurs utilisateurs.
M. Gérard Longuet, rapporteur. - En 1947, la diffusion des films à la télévision avait suscité une inquiétude en France. Le cinéma français existe toujours...
Mme Annie Blandin. - L'asymétrie de l'information et l'opacité entretenues par les entreprises sont un obstacle qu'il nous faut lever, si nous voulons que les utilisateurs puissent choisir l'acteur le plus fiable. On cite en modèle la « régulation par la donnée » de l'Arcep - qui favorise le changement d'opérateur via l'obligation d'informations claires sur les différentes offres en présence -, et la loi pour une République numérique a joué un rôle précurseur en la matière, en introduisant les principes de loyauté et de transparence entre les plateformes. Cela va de pair avec l'application optimale des règles de concurrence, alors que le règlement sur les concentrations n'a pas de prise sur le rachat des start-ups, pour des questions de seuils, il faudrait remédier à cet angle mort.
M. Gérard Longuet, rapporteur. - Le faut-il vraiment ? Les start-ups répondent à des enjeux de profit. Ceux qui les lancent, conscients qu'ils n'auront pas forcément le succès d'un Steve Jobs, souhaitent surtout revendre au meilleur prix compte tenu de l'investissement réalisé. Si une start-up est prometteuse au point de devenir autonome, son fondateur pourra légitimement prétendre à une subvention.
Mme Annie Blandin. - C'est vrai, si l'on considère que ce sont toujours les plus riches qui rachètent les jeunes pousses.
Quand on parle de données, il faut toujours préciser s'il s'agit de données personnelles ou pas. L'obligation de localisation des données entre dans un statut général que l'on est en train de définir. Un État membre ne peut pas exiger la localisation des données non personnelles sur son territoire, et la libre circulation est la norme. Mais se pose le problème du transfert des données vers un État tiers et de leur circulation globale.
Si la propriété ne s'applique pas - et ne devrait pas, selon moi, s'appliquer - sur les données personnelles, d'autres formes de protection existent : je pense au droit spécifique qui régit les bases de données. Les questions d'accès et de partage se posent sur toutes les données non-personnelles, avec des gisements de création de valeur, notamment dans le domaine de l'environnement, qu'il ne s'agit évidemment pas de brider.
Mme Pauline Türk. - M. Mazuir regrettait avec justesse l'absence de promotion de l'équivalent d'un Airbus européen sur les questions technologiques. Manque de volonté politique, erreur stratégique, insuffisance des moyens ou manque de partenaires ? Mauvais choix de candidats, peut-être ? Il y a eu des échecs retentissants dans le cloud souverain et des acteurs à côté desquels on est sûrement passé en misant sur le mauvais champion... Nous avons les compétences technologiques, n'est-ce pas la volonté politique qui manque encore ?
M. Franck Montaugé, président. - Je vous remercie.
Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.
Audition de représentants de la commission d'éthique sur la recherche en sciences et technologies du numérique d'Allistene, l'alliance des sciences et technologies du numérique: MM. Jean-Gabriel Ganascia, Eric Germain et Claude Kirchner
M. Franck Montaugé, président. - Nous entendons à présent MM. Jean-Gabriel Ganascia, président du comité d'éthique du CNRS, Éric Germain, chargé de mission « éthique des nouvelles technologies, fait religieux et question sociétale » à la direction générale des relations internationales et de la stratégie du ministère des armées, et Claude Kirchner, directeur de recherche émérite à l'Institut national de recherche dédié aux sciences du numérique.
Cette audition sera diffusée en direct sur le site internet du Sénat et fera l'objet d'un compte rendu publié. Un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal.
Selon la procédure applicable aux commissions d'enquête, MM. Jean-Gabriel Ganascia, Éric Germain et Claude Kirchner prêtent serment.
Vous êtes tous trois membres de la Cerna, la commission de réflexion sur l'éthique de la recherche en sciences et technologies du numérique. C'est dans ce cadre que vous avez publié en octobre 2018 un rapport sur la souveraineté à l'ère du numérique. La Cerna a étudié cette problématique sous un angle que nous n'avons que peu abordé jusqu'ici, celui des questionnements éthiques soulevés par la révolution numérique. Vous pourrez sans doute nous en dire davantage sur ces enjeux. C'est une approche d'autant plus pertinente que la ministre des Armées, Mme Florence Parly, a annoncé le 5 avril 2019 que son ministère allait se doter d'un comité de réflexion sur les implications éthiques des nouvelles technologies dans le domaine de la défense.
Dans votre rapport, vous expliquez également que la révolution numérique a bouleversé notre conception classique de la souveraineté nationale, les entreprises privées concurrençant de plus en plus les États dans l'exercice de leurs fonctions régaliennes. Vous reviendrez sans doute sur ces bouleversements et sur les moyens dont nous disposons pour y répondre. Vous invitez dans votre rapport à ne pas parler de la souveraineté numérique mais des souverainetés numériques. Il est toutefois difficile de concilier souveraineté nationale, entrepreneuriale et individuelle.
M. Claude Kirchner, directeur de recherche émérite à l'Institut national de recherche dédié aux sciences du numérique. - Je préside la Cerna depuis le 1er janvier dernier et je suis également membre du CCNE, le comité consultatif national d'éthique, pour les sciences de la vie et de la santé. La Cerna est la commission de réflexion sur l'éthique de la recherche en sciences et technologies du numérique de l'alliance Allistene (Alliance des Sciences et Technologies du Numérique), qui regroupe l'ensemble des institutions de recherche en numérique des universités et des grandes écoles. Cette commission a été créée en 2013, à la suite de rapports du CNRS et de l'Institut national de recherche dédié aux sciences du numérique (Inria), pour aider les institutions françaises de recherche en numérique et les scientifiques qui y exercent à réfléchir aux enjeux éthiques soulevés par les recherches en sciences et technologies du numérique, tout particulièrement dans les sciences informatiques, mathématiques, électroniques et robotiques. Nous travaillons sous la responsabilité du comité de coordination d'Allistene. Nous sommes saisis, mais nous pouvons aussi nous autosaisir. Nous avons travaillé en particulier sur des questions d'éthique de la recherche en robotique ou dans l'apprentissage-machine, mais également sur les questions liées à la notion de souveraineté, en particulier à l'ère du numérique.
La réflexion éthique s'est développée depuis au moins 3 000 ans, et n'est pas neuve. Comme le disait Michel Serres, le numérique bouleverse complètement nos sociétés. Il leur procure des apports considérables, et les systèmes de traitement de l'information que nous avons créés complètent et interagissent avec les systèmes biologiques de traitement de l'information que nous sommes. Il en résulte des conflits inédits entre hiérarchies de valeurs.
Historiquement, la souveraineté désigne la capacité du souverain à maîtriser un certain nombre d'attributs dont il revendique le contrôle : frontières, armée, police, monnaie, langage, etc. Cette autonomie stratégique, ce pouvoir de pouvoir, se trouve, grâce au numérique, à la disposition d'entités nouvelles. Ainsi, la reconnaissance faciale contribue à la sécurité, mais les entreprises qui maîtrisent les algorithmes de reconnaissance et les données qui sont nécessaires à leur mise au point ont souvent une base multinationale, et échappent aux entités souveraines nationales - et leurs stratégies ne coïncident pas nécessairement avec celle d'un pays.
Les crypto-monnaies ne dépendent pas d'un État. Le contrôle aérien n'est plus nécessairement local, puisque la tour de contrôle n'est pas nécessairement sur l'aéroport et peut très bien être déportée de plusieurs dizaines, voire de plusieurs centaines de kilomètres. Le numérique impacte donc une activité de souveraineté comme la gestion du trafic aérien. Les données de santé et leur traitement ne sont plus nécessairement sous la responsabilité d'un État, ni de sa politique de santé. Les scientifiques, dans leur activité d'élaboration de connaissances et de publication, doivent être autonomes dans leur capacité à accéder aux informations qui leur permettent de faire avancer leurs réflexions et leurs travaux. Mais en fait, nombre de maisons d'édition scientifique ne permettent plus cet accès souverain aux scientifiques.
Bref, souveraineté et éthique s'articulent de manière fondamentale, car sans souveraineté, il est difficile d'élaborer une réflexion éthique qui nécessite liberté de penser, d'action et d'accès à la connaissance ; et il est impossible de mettre en oeuvre de manière claire et responsable les choix découlant de cette réflexion éthique si l'on n'a pas accès à la souveraineté.
L'Insitute of Electrical Electronic Engineers (IEEE) est une organisation professionnelle dont le siège est à New-York et qui regroupe environ 460 000 scientifiques et ingénieurs issus de 160 pays. Elle a plusieurs rôles, dont celui de maison d'édition. Or, dans le processus de l'élaboration de la connaissance scientifique, tout article doit être relu par des pairs. Vendredi dernier, sous prétexte des mesures protectionnistes mises en oeuvre aux États-Unis, l'IEEE a déclaré que le personnel de Huawei ne pourra plus servir d'évaluateur des contributions soumises à publication. Or, ces personnes sont membres de l'IEEE à titre personnel, en tant que scientifiques. Cette décision revenait à modifier la manière d'accepter ou non des articles sous prétexte qu'on appartient à une entreprise. Elle a provoqué un tel tollé pendant le week-end qu'elle a été retirée lundi. C'est un cas typique de manque de souveraineté scientifique : la décision est prise sans aucune concertation avec la communauté scientifique, probablement sous l'effet de certaines pressions, alors même qu'elle va à l'encontre des pratiques scientifiques usuelles.
Nous devons réinventer les notions de souveraineté et comprendre comment elles s'articulent entre elles. Le numérique dans l'agriculture pose des questions fondamentales de souveraineté, puisque les données permettent de savoir quand récolter, mais ne sont pas toujours à la disposition de tous. Nous devons aussi nous donner la capacité de penser l'éthique des sciences, technologies, usages et innovations du numérique et de l'intelligence artificielle, en allant vers la création d'un CCNE du numérique et de l'intelligence artificielle. En dehors de la Cerna, dont l'objectif est de réfléchir à l'éthique de la recherche en sciences et technologies numériques et, de façon plus large, sur l'ensemble des questionnements éthiques en termes scientifiques et technologiques, il n'y a pas d'entité en France pour réfléchir sur les usages et les innovations. Le CCNE, créé par la loi sur la bioéthique, a un objectif limité aux sciences de la vie et de la santé. L'idée est de travailler en collaboration avec lui pour voir comment faire émerger un CCNE du numérique et de l'intelligence artificielle, dont Cédric Villani a traité dans son rapport l'an dernier.
Nous devons nous donner la capacité de sensibiliser, éduquer et responsabiliser les individus, les entreprises, les institutions et les États au numérique et à ses impacts. L'éducation numérique commence à imprégner l'école, depuis le primaire jusqu'à l'Université. Ce n'est qu'un début. La capacité à maîtriser l'ensemble des systèmes numériques qui nous entourent doit être effective pour tous.
M. Jean-Gabriel Ganascia, président du comité d'éthique du CNRS. - La notion de souveraineté est toujours pertinente mais a subi des bouleversements. Le comité d'éthique sur le numérique s'est senti obligé d'aborder cette question après la loi sur la République numérique qui, en octobre 2016, envisageait la création d'un commissariat à la souveraineté numérique qui aurait été rattaché au Premier ministre, et dont les missions auraient consisté à garantir l'exercice, dans le cyberespace, de la souveraineté nationale et des droits et libertés individuels et collectifs que la République protège.
La notion de souveraineté numérique est ambiguë, comme l'a expliqué Pierre Bellanger. Il y a deux idées antagonistes derrière l'idée de souveraineté numérique. C'est pourquoi nous parlons de souveraineté à l'ère du numérique. D'une part, en effet, la souveraineté nationale connaît de nouveaux enjeux à l'ère du numérique. Pour rester souverain, un État devrait s'assurer de son indépendance en déployant des solutions informatiques à cet effet, comme par exemple un système d'exploitation souverain. D'autre part, la souveraineté elle-même se transforme à l'ère du numérique, et le numérique défie les États.
Je suis professeur d'informatique, spécialiste de l'intelligence artificielle et l'idée d'un système d'exploitation souverain me paraît contreproductive. Un tel système serait peu utilisé - et comment interdire d'utiliser des ordinateurs de la marque Apple ? De plus, du point de vue technique, le système d'exploitation n'est pas tout ! De nombreux programmes, à l'intérieur des ordinateurs, peuvent fournir de l'information. Pour éclairer le débat national, nous soulignons les difficultés qu'il y aurait à revendiquer ces solutions techniques comme étant la solution au problème posé par la souveraineté numérique. Toutefois, un effort national et européen sur la question des données serait bienvenu.
Le numérique a fait évoluer la notion classique de souveraineté nationale. Au fil de l'histoire, à partir des travaux de Bodin, Locke et Rousseau, la souveraineté a désigné la supériorité et le pouvoir sur un territoire. L'idée de souveraineté nationale est liée à celle d'autonomie de la nation, à la capacité de la nation à se doter de ses propres lois. Le numérique défie la souveraineté nationale car les réseaux traversent les frontières et permettent à des acteurs étrangers d'imposer leur loi. La co- extension du territoire et de l'État se trouve mise en défaut, et les territoires sont traversés d'influences diverses, dont l'État n'a plus la maîtrise.
Si l'on considère que la souveraineté nationale est mise en cause par les acteurs étrangers, qui défendraient leur propre souveraineté sur le territoire national, nous avons affaire à un conflit relativement classique de souveraineté, avec des armes nouvelles. Comme la France et l'Europe sont incapables d'avoir une politique claire en matière du numérique, elles se mettent sous la dépendance de grands États comme les États-Unis ou la Chine, et sont vulnérables aux actions d'autres États, comme la Russie, qui interfèrent avec les procédures démocratiques.
On peut aussi se dire que c'est l'idée même de souveraineté nationale qui est mise en cause par le numérique. En effet, les grands acteurs de la toile que sont les moteurs de recherche ou les réseaux sociaux ont des programmes politiques. Ils ont accumulé des capitaux considérables, et souhaitent désormais promouvoir leurs aspirations libertariennes, c'est-à-dire ni libertaires ni libérales, mais prônant un désengagement total de la tutelle des États pour donner à la propriété un pouvoir absolu.
Ces grands acteurs souhaitent assumer à la place des États un certain nombre de prérogatives qui relevaient de la souveraineté, comme le privilège de battre monnaie, celui d'établir des cartes et donc un cadastre, nécessaire pour lever l'impôt, ou celui d'assurer la sécurité intérieure. La vérification d'identité se fait par la reconnaissance faciale, directement liée à la possession d'un très grand nombre de photos. Or l'État français possède des photos d'identité, mais d'assez mauvaise qualité et en nombre extrêmement limité. Et nous donnons aux grands acteurs du numérique toutes nos images... Ils peuvent aussi se développer dans le domaine de la justice, avec l'idée de justice prédictive. On pensait que la défense était un domaine réservé à l'État, mais, désormais, elle concerne aussi le cyberespace.
Si nous sommes effectivement confrontés à une nouvelle forme de souveraineté, cela signifie que nous entrerions dans une forme de féodalisme, où de multiples acteurs se partageraient le pouvoir sur des régions virtuelles, et où les États démocratiques n'auraient plus qu'une part mineure, et ancillaire, à jouer.
M. Éric Germain, chargé de mission « éthique des nouvelles technologies, fait religieux et question sociétale » à la direction générale des relations internationales et de la stratégie. - J'ai été universitaire, mais je travaille aujourd'hui pour le ministère des Armées. Je m'exprime devant vous à titre strictement personnel. Depuis dix ans, je conduis au sein de ce ministère une réflexion sur les questions religieuses et les questions de laïcité. Chez nos alliés, les aumôniers militaires sont souvent les premiers acteurs sollicités pour mener, en interne, une réflexion éthique. C'est ce qui m'a conduit, à partir de 2010, à m'intéresser aux problématiques éthiques posés par les nouvelles technologies. J'ai rejoint la Cerna en janvier 2016 à titre privé.
L'éthique, c'est le bien agir. C'est un arbitrage entre valeurs morales, un choix, contingent à un contexte particulier. L'éthique peut inspirer le droit et la loi, mais elle est elle-même difficilement codifiable car elle relève d'une appréciation dynamique, qui évolue en permanence. C'est un bien agir qui n'est pas nécessairement reproductible. L'éthique, ce n'est pas la simple conformité à un corpus de valeurs morales universelles. Elle représente aussi des cultures, avec des particularités nationales qu'il ne faut ni surestimer ni sous-évaluer. Léopold Sédar Senghor disait qu'une culture était une manière particulière de se poser des questions, et d'y répondre.
Pour un Français, pour un Européen, l'éthique est aussi une certaine manière de se poser des questions et d'y répondre. C'est pourquoi il est si important d'être souverain en matière de réflexion éthique. C'est d'ailleurs cette prise de conscience qui est à l'origine de la création cette année par la ministre des armées, Mme Florence Parly, d'un comité d'éthique ministériel. La France est la première grande puissance militaire à s'être dotée d'une structure de réflexion permanente sur les enjeux éthiques des nouvelles technologies dans le domaine de la défense. La création de ce comité est un acte de souveraineté significatif, qui inspire dès à présent d'autres pays, et ce comité échangera nécessairement avec les autres comités qui existent déjà.
La plupart des personnes que votre commission d'enquête a auditionnées parlent d'une seule souveraineté, la souveraineté nationale, française, parfois élargie à un niveau régional comme l'Europe. Quand Pierre Bellanger parle de souveraineté numérique, il discute de l'application de la seule souveraineté nationale au domaine du numérique, et se demande comment assurer une souveraineté française sur les algorithmes ou leur paramétrage, sur l'exploitation et l'hébergement des données, etc.
Le rapport de la Cerna ne parle pas directement de souveraineté numérique mais bien de souveraineté à l'ère du numérique, en partant du constat que les technologies bouleversent le sens même du mot « souveraineté », et la nature des acteurs, qui ne se limitent plus aux États mais s'élargissent aux entreprises, aux communautés professionnelles, scientifiques, voire à une échelle individuelle.
Le pas de côté que nous avons fait en rédigeant ce rapport nous a montré que les Gafami (Google, Apple, Facebook, Amazon, Microsoft et IBM), par exemple, ne sont pas simplement un nouveau genre d'auxiliaire de la souveraineté nationale américaine. Ces sociétés revendiquent une souveraineté propre, distincte de celle des États. L'enjeu est de comprendre les interactions nouvelles qui sont nouées et de voir comment on peut les concilier avec les valeurs de notre République.
Le chapitre 3.2 parle de l'immixtion, ou de l'ingérence, de sociétés commerciales du numérique dans notre vie démocratique. C'est le domaine assez préoccupant de l'influence sociale et de l'initiative citoyenne. Autre enjeu : la souveraineté scientifique. Nous l'abordons dans le chapitre 4.3. La liberté de formuler des questions, y compris des questions éthiques, naît d'un principe de science ouverte qui est aujourd'hui contesté par la privatisation croissante des données scientifiques. Nous avons parlé de souveraineté individuelle, là où les puristes parleraient plutôt d'autonomie du sujet ou de libre arbitre. L'expression « être souverain à soi-même » a déjà été employée il y a près de deux siècles par l'immense esprit français que fut votre collègue, représentant de la Nation, Félicité Robert de Lamennais. Il traduisait l'expression utilisée par Dante dans La Divine Comédie. Cet attachement très individualisé à la liberté de penser est peut-être le trait essentiel de notre identité européenne - une singularité dont le numérique nous rappelle aujourd'hui toute l'importance.
La conclusion du chapitre 3.3, comme plusieurs recommandations du rapport de la Cerna, évoque cette souveraineté numérique nationale que l'on peut reconquérir par le bas, au niveau de chaque individu, qu'il faudrait davantage éduquer et sensibiliser.
M. Gérard Longuet, rapporteur. - Merci de la qualité de vos interventions, qui apportent un éclairage éthique passionnant, surtout au sein d'une assemblée de parlementaires élus au suffrage universel, qui ont à rendre compte de leurs réflexions et de leurs travaux à nos compatriotes. Ceux-ci se tournent vers le pouvoir politique en se demandant si ce dernier a encore les moyens de ses ambitions - s'il a encore la capacité d'agir. Nos réflexions sur la souveraineté numérique nous conduisent à nous demander quels choix politiques le Parlement pourrait imaginer, pour chaque groupe, dans le débat législatif.
Il me semble que tout ce qui est numérisé a vocation à être connu, par les uns ou par les autres, sans qu'on sache exactement selon quelles règles. Les lois de bioéthique ont été récemment soumises à l'Office parlementaire d'évaluation des choix scientifiques et technologiques (OPECST), que je préside. Elles rendent le séquençage du génome accessible. Or qui dit diffusion de masse dit utilisation de masse. Nous sommes là au coeur de la souveraineté politique : l'analyse génétique est prescrite, alors qu'elle risque d'être, proprio motu en quelque sorte, diffusée, notamment par des hypocondriaques, dupés par n'importe quel marchand de facéties.
Je trouve passionnant de rencontrer quelqu'un qui s'occupe de l'éthique à l'armée. J'ai toujours pensé que l'armée pouvait faire son métier parce qu'elle avait une culture ancienne, solide et mâtinée d'expérience - frottée à l'épreuve des faits. Cela lui confère la résignation nécessaire pour accepter ce que l'opinion, émotive et immédiate, n'accepterait pas, par exemple, le fait que le feu tue, célèbre expression de la Première guerre mondiale, que nos compatriotes oublient lorsqu'ils demandent des interventions militaires et s'étonnent que celles-ci soient coûteuses, pour nous ou pour les autres.
Un sujet qui mériterait d'être approfondi est celui des diversités culturelles, et des particularités sociologiques ou nationales qui doivent nous faire regarder la souveraineté à l'époque du numérique comme étant d'une nature différente. Prenez par exemple la sécession des classes dirigeantes, thème bien connu de Jérôme Fourquet. Une fraction de nos compatriotes a considéré que l'accès à une pleine liberté numérique est un droit personnel absolu, ce qui n'en fait pas pour autant des libertariens ou des libéraux à l'américaine. On en voit des exemples pittoresques en Californie : certains n'accepteront pas d'être censurés ou encadrés dans leur accès à la connaissance et aux données. Cela ne les empêchera pas de se retourner vers l'État en lui reprochant de ne pas assurer la sécurité. La légitimité de l'État, qui nous impose de respecter la loi et qui nous fait payer beaucoup d'argent pour financer son fonctionnement, est en effet d'abord d'assurer la sécurité.
En France, si l'on excepte le cas très particulier du terrorisme, la probabilité d'être envahi par un ennemi agressif est à peu près nulle. La sécurité, on veut bien la payer, à condition qu'elle soit totale. Or elle touche justement ces secteurs. Il y a donc des catégories qui, s'estimant dispensées de respecter une éthique du numérique, n'hésiteront pas à solliciter l'aide de l'État pour les sécuriser et les protéger contre toute offensive.
Quels ont été les effets de votre rapport ? Vous évoquez la création d'un commissariat à la souveraineté numérique. Comment définiriez-vous votre rôle par rapport à d'autres institutions existantes ? Nous avons reçu notre ambassadeur du numérique, vous avez évoqué M. Bellanger, un autodidacte du numérique passionné et très convaincant - et parfois inquiétant par les solutions qu'il préconise, qui conduisent à un cryptage généralisé. Quant à vous, défendez-vous une ligne - le souhaitez-vous ? Comment la Cerna envisage-t-elle son rôle dans un système français plus marqué par l'organisation de colloques que par l'investissement résolu dans les projets ? Vous êtes des scientifiques : existe-t-il selon vous une communauté européenne, les échanges sont-ils courants en Europe, une ligne directrice se dégage-t-elle ?
M. Hugues Saury. - Quel réconfort d'entendre parler d'éthique dans un secteur, le numérique, qui évoque plutôt le far-west ! L'intelligence artificielle est présentée comme une technologie clé pour l'avenir économique et social, elle pourrait nous permettre de restaurer une forme d'indépendance - l'Union européenne a adopté une stratégie, des lignes directrices, pour la recherche comme pour la vie des entreprises. Avez-vous travaillé sur ces propositions éthiques ? L'Europe, avec ses valeurs fortes, en décalage par rapport au far-west, peut-elle être néanmoins concurrentielle ?
M. Franck Montaugé, président. - Vous avez évoqué dans le rapport l'enjeu de la privatisation des données scientifiques. Le développement du big data et des méthodes d'analyse pour les exploiter ne remet-il pas en cause la méthode scientifique que l'on a connue jusqu'à présent, et qui a fait de l'homme ce qu'il est ?
Entrevoyez-vous dans le développement de l'intelligence artificielle - au sens où vous l'étudiez, dans une acception plus large que l'exploitation des données de masse - la possibilité de créer une autre pensée métaphysique ? Je pense, à la suite de certains auteurs, que la métaphysique est le propre de la pensée humaine. Une intelligence artificielle pourrait-elle remettre en cause la spécificité de l'être humain sur terre ?
M. Claude Kirchner. - Premier effet du rapport : lorsqu'a émergé la notion de souveraineté numérique, elle a suscité un questionnement chez les scientifiques. Le rapport a été une manière de coucher sur le papier l'ensemble de nos réflexions. C'est à ce jour le seul document, en français et en anglais, de ce genre. Il a été repris par le Comité consultatif national d'éthique lorsqu'il s'est intéressé aux données massives. C'est un document qui nous aide à progresser dans la compréhension d'une notion fondamentale, déclinée à présent à tous les niveaux, individuel, économique, environnementale, etc. La Cerna a émis des recommandations scientifiques - disponibilité des données, concept de souveraineté scientifique, maîtrise des données de travail comme condition d'une recherche au meilleur niveau international... Notre rôle concernait seulement la recherche, mais dès lors que nous avons exploré bien d'autres domaines, nous avons formulé sur ces derniers non des recommandations mais des suggestions d'évolution, reprises par diverses instances.
La maîtrise des données, des algorithmes, des systèmes d'information exige de mettre en place une cyber-sécurité au profit de l'entité qui a besoin de maîtriser ces données. Cela commence au niveau individuel : où sont conservées les photos de famille, qui y a accès, combien de temps, et pour quoi faire ? Nous avons des capacités robustes pour développer une cyber-sécurité. Il n'y a certes pas de sûreté absolue. Les informations chiffrées sont aujourd'hui difficiles à déchiffrer en quelques secondes. Mais, dans cent ans, on saura le faire instantanément. Il importe de prendre en compte la durée pendant laquelle on peut assurer la sécurité des données.
On met en oeuvre aujourd'hui des techniques de chiffrage homomorphe. Une fois les données chiffrées, les calculs ne portent pas directement sur, par exemple, l'âge et le taux de cholestérol, mais sur A et B - si l'on possède les clés de déchiffrement, on peut lire les résultats ; mais une entité peut être chargée de faire tous les calculs souhaités sans disposer de ces clés ; le coût en calculs est élevé, mais on sait le faire, du moins lorsqu'il s'agit d'opérations simples, multiplication, soustraction. Pour calculer un sinus, un cosinus, il en va autrement... C'est en tout cas une piste intéressante, que la recherche pourrait explorer : au lieu de machines souveraines, on pourrait recourir à des machines travaillant sur des objets chiffrés, dont seul le commanditaire aurait la clé.
M. Franck Montaugé, président. - Celui qui travaille sur les données ne les connaît pas.
M. Claude Kirchner. - C'est cela. Il effectue des opérations sur des chiffres. Le propre du chiffrage homomorphe, c'est que des opérations standard sont applicables aux données une fois chiffrées.
M. Gérard Longuet, rapporteur. - On pourrait alors employer des systèmes mondiaux tout en conservant la maîtrise des données ?
M. Claude Kirchner. - Oui, mais ces algorithmes sont difficiles à déchiffrer aujourd'hui, il faudrait y consacrer beaucoup de capacités. Il faudrait aussi approfondir les recherches afin que les processus de chiffrage puissent s'appliquer à des fonctions plus nombreuses. La France travaille sur ces sujets, ses équipes sont remarquables.
Concernant l'accès aux données ou la protection de celles-ci, une éducation s'impose. Qui sait qu'utiliser une adresse numérique gratuite non chiffrée, gmail par exemple, mais également répondre à un gmail, revient à confier au facteur une carte postale sans enveloppe ? Le facteur ne lit pas toutes les cartes, mais Google a, lui, la capacité de lire tous les mails et d'en tirer toutes les informations.
Toute personne peut prétendre : « mon génome m'appartient ». En réalité, celui-ci est hérité et appartient aussi aux ascendants et aux descendants. En envoyant 200 dollars et un peu de salive aux États-Unis, à 23andMe, cette personne connaîtra une grosse partie de son génome. Elle le conserve pour elle, ou accepte de le publier en ligne - alors, elle expose les données de toute sa famille
M. Gérard Longuet, rapporteur. - Et surtout de ses descendants. C'est le plus grave !
M. Claude Kirchner. - Vous nous interrogez sur la communauté scientifique numérique européenne. Elle est en train de se constituer, avec des associations professionnelles comme le European research consortium for informatics and mathematics (Ercim), qui regroupe 16 ou 17 entités de recherche, ou Informatics Europe.
M. Gérard Longuet, rapporteur. - Les scientifiques ont-ils envie de travailler ensemble en Europe ?
M. Claude Kirchner. - Oui, et ils le font depuis trente ans !
Quelques mots de la privatisation des données scientifiques. Le numérique est un outil exceptionnel. On peut aujourd'hui, par la simulation, faire exploser des galaxies en laboratoire ! On analyse un nombre immense de données. Cela ne détruit pas la méthode scientifique ancienne : la recherche demeure fondée sur l'observation, le modèle, les tests et les conclusions. La nouvelle capacité de calcul, de simulation, d'exploration vient en complément, non en substitut, du raisonnement inductif ou déductif. Elle l'enrichit. Comment en faire un bien commun ? Telle est la question. Comment faire pour que les données, les algorithmes, les résultats scientifiques ne soient pas captés, par des éditeurs par exemple ? Le ministère de l'enseignement supérieur et de la recherche, ou le Comité pour la science ouverte, qui coordonne en France les instituts et universités, s'y emploient.
M. Jean-Gabriel Ganascia. - Imaginer une pensée métaphysique produite par l'intelligence artificielle, c'est envisager que la machine prenne son autonomie et nous échappe. C'est une question très populaire, sur laquelle je me suis penché. J'ai écrit un petit livre pour répondre à la théorie de la singularité technologique, qui laisse imaginer que l'on pourra télécharger son esprit pour devenir immortel, ou que la machine deviendra à terme plus puissante que l'homme. Les arguments avancés par les tenants de cette thèse n'ont pas de valeur scientifique. Ils reposent sur la loi de Moore et l'accélération du pouvoir des machines. Mais que celles-ci soient de plus en plus rapides ne signifie pas qu'elles soient conscientes. Elles ingurgitent plus de connaissances que l'homme n'est capable d'en apprendre tout au long de sa vie ; elles n'en deviennent pas autonomes. L'apprentissage est supervisé par l'homme. La machine condense un savoir humain, rendant ainsi des services considérables, mais elle ne peut tout faire toute seule. La rupture épistémologique au sens de Bachelard signifie que les concepts évoluent : pas la machine.
Quant à savoir si l'intelligence artificielle est dangereuse comme le prétendent de grands acteurs de l'internet...
M. Gérard Longuet, rapporteur. - Cela renvoie au transhumanisme.
M. Jean-Gabriel Ganascia. - Si des fabricants de cigarettes affirment que le tabac est nocif, il faut s'interroger sur les motivations d'un tel discours ! Susciter une grande peur peut servir à masquer la réalité. Des groupes d'activistes ont ainsi persuadé les députés européens de voter une résolution sur les systèmes d'armes létales autonomes, autrement dit les robots tueurs. Cela a conduit certains des parlementaires européens à recommander à la Commission européenne de ne pas financer des programmes tendant à inclure de l'intelligence artificielle dans les systèmes de défense - ce qui pose un problème dramatique à la fois pour l'industrie de l'Europe et pour sa sécurité ! Le masque de l'éthique peut dissimuler les agissements, en l'occurrence de grands acteurs européens ou israéliens, ou de tout autre concurrent au plan mondial...
Sur la privatisation des données, l'enjeu est considérable du point de vue de la souveraineté. Sur le problème d'épistémologie que vous avez soulevé, je ne suis pas complètement d'accord avec mon collègue. Je dirai pour ma part que les techniques d'apprentissage détectent des corrélations, pas des causalités. On nous dit qu'il n'y a plus de modèle, plus de théorie, plus de langage : c'est faux, et Google nuance son discours quand on le pousse dans ses retranchements.
Je suis sensible à la question des peurs et de l'éthique. Les grandes transformations provoquées par l'intelligence artificielle ne sont pas métaphysiques mais politiques, car le numérique transforme tout. On peut parler de « réontologisation » : l'amitié se transforme avec les réseaux sociaux, la réputation avec les reputation score comme en Chine, la confiance avec la block chain... C'est la même chose pour la souveraineté. Il convient de prendre en compte ces transformations qui induisent des vulnérabilités.
Aucun de nous trois n'a pas fait partie du groupe des experts de haut niveau chargé de définir des lignes directrices au niveau européen, mais un de nos collègues de la Cerna y siégeait. En novembre dernier, nous étions perplexes devant la première rédaction, marquée par une éthique reposant sur les principes anciens de la communauté européenne. Adopter une démarche éthique, n'est-ce pas plutôt se poser des questions ? Quant à « adopter une approche centrée sur l'homme », je suis étonné, et même gêné, car y en a-t-il une autre ? Les machines sont des systèmes sociaux-techniques pensés à l'intérieur de la société dans laquelle ils naissent.
J'en viens à la sécurité. On ne peut plus parler de dilemme, désormais, mais de trilemme : aux deux exigences également légitimes qui entrent traditionnellement en conflit, protection de la vie privée et sécurité, vient s'ajouter une troisième notion, la transparence, qui entre en conflit avec chacune des deux premières. Transparence pour les puissants, protection pour les pauvres : c'est une fable ! On peut être aux deux places. Je songe à un instituteur, dont on veut connaître les moeurs privées, pour vérifier qu'elles sont compatibles avec l'éducation des enfants... Il y a donc des tensions entre des exigences contraires, et il faudra bien convaincre la société que des choix sont inévitables - il faut les faire collectivement.
M. Eric Germain. - Créer une nouvelle pensée métaphysique ? C'est bien plutôt l'ancienne que l'on retrouve à l'occasion des nouvelles interrogations, je songe, par exemple, à la dignité de l'être humain, notion profondément ancrée en chacun de nous, propre à notre culture européenne.
Premier effet du rapport : nous avons pris le temps de travailler comme rarement, en partant de la notion de souveraineté, en remettant en question toutes nos idées sur la souveraineté, dans tous ses aspects. Ce n'est pas un hasard si en France on parle beaucoup d'éducation : celle-ci recèle un enjeu majeur de responsabilité collective, un devoir à l'égard de l'ensemble des citoyens ; elle recouvre bien un domaine de souveraineté. Outre-Manche, la notion suscite un moindre attachement.
Parler de far-west au sujet de l'Europe est judicieux. Le groupe européen d'experts était lui-même très influencé par une approche far-west de l'éthique, opposant bien et mal, bons et méchants, de manière très manichéenne, alors que les valeurs en présence sont en conflit les unes avec les autres, et même avec elles-mêmes : la transparence est à la fois bonne et mauvaise ! La réflexion éthique doit porter sur ces tensions. Tel le raisonnement militaire, qui définit une cible et des moyens de l'atteindre, il faut aller vers ce que l'on a défini comme un avenir commun désirable.
Un groupe essentiellement au service d'intérêts privés crée un label éthique en noir et blanc, comportant des cases à cocher : trop simple ! L'éthique, c'est autre chose : un effort constant, politique, pour aller vers un futur commun désirable. Nous posons la question : la souveraineté pour faire quoi ? Être souverain, c'est avoir la possibilité d'être libre. Ce n'est pas rien !
M. Franck Montaugé, président. - Vous avez aujourd'hui fait la démonstration que la science, lorsqu'elle rime avec conscience, enrichit l'âme. Nous vous en remercions.
La réunion est close à 19 h 10.
Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.