Oui le terme « données » est abstrait. C’est un mot fourre-tout, technique, couvrant un spectre si vaste qu’au final il n’évoque rien de précis sans contexte spécifique, masquant souvent sa portée et son importance. On fait attention à ses affaires, à ses secrets, à ses idées, à ses souvenirs de familles mais une grande partie des français ne fait pas (encore) attention à ses données.
Technologie : nos données, un trésor convoité
Protéger ce qui nous est cher
Pourtant ce qu’on appelle grossièrement des « données » sont aussi des secrets, des idées, des photos de familles… ce sont des informations personnelles et sensibles : données de santé comme les bilans sanguins, données de localisation comme les endroits que vous visitez, données biométriques comme vos empreintes digitales ou votre visage pour la reconnaissance faciale…
Pour les entreprises, ces données sont les informations financières, les informations clients, les secrets commerciaux, les données de recherche, les plans stratégiques, etc.
Pour les administrations publiques ou collectivités, les informations sensibles des citoyens, : revenus, impositions, aides sociales, titres de propriété, dossiers d’éducation, d'emploi, ainsi que les informations liées à la sécurité publique.
Perdre le contrôle de ces données c’est exposer les individus, les entreprises et les collectivités à des dangers significatifs de fuites, d’espionnage, d’ingérence extérieure, de violations potentielles de confidentialité.
Quand nous stockons nos données chez des entreprises étrangères, nous en perdons le contrôle car nous devenons dépendants des réglementations et des pratiques de ces entreprises, qui peuvent différer considérablement des normes et protections offertes dans notre propre pays.
Le principe selon lequel les individus, les entreprises et les gouvernements devraient avoir le contrôle sur leurs propres données, c’est ça la souveraineté numérique.
Pourquoi croyez-vous que, ces derniers mois, les États-Unis ont pris des mesures pour restreindre l'accès des entreprises chinoises aux services Cloud américains ? Ils le disent eux-mêmes : protéger leur technologie et par extension leur sécurité nationale.
Actuellement, en France la majorité des données sont entre les mains de grandes entreprises technologiques, souvent américaines ou chinoises. Aujourd’hui Amazon, Google et Microsoft stockent 70% des données de citoyens européens… Soyons clair, cela ne signifie pas qu’un usage malintentionné ou qu’un usage tout court en est fait. Mais certaines lois comme la loi américaine FISA contraint ces entreprises de devoir fournir des données aux agences gouvernementales américaines lorsque requis, même si ces données concernent des non-américains et sont stockées hors des États-Unis. Cette situation expose potentiellement les informations privées des citoyens ou entreprises européens à des accès par des autorités étrangères sans leur consentement explicite ni la possibilité de recours légal adéquat dans leur propre pays. Ceci n’est qu’un exemple d’abus potentiels parmi d’autres.
L’UE à la croisée des chemins
C’est pourquoi l'Union européenne a développé dernièrement le projet de certification européen pour la cybersécurité des services de cloud (EUCS) afin de renforcer la protection des données au sein de ses frontières. L'EUCS vise à garantir que les services de cloud opérant en Europe adhèrent à des normes élevées de cybersécurité, avec des critères stricts sur la localisation des données et la gouvernance juridique pour éviter les ingérences étrangères.
Toutefois, cette initiative suscite aujourd’hui des controverses autour des critères de souveraineté… En effet, certains Etats Membres souhaitent abandonner ces critères pour deux raisons principales :
1 - Concurrence déloyale : ils craignent que ces exigences puissent favoriser une concurrence déloyale au sein de l'UE, en avantageant certains États membres par rapport à d'autres, en fonction de leur capacité à répondre à ces exigences.
2 - Impact sur les partenariats stratégiques : de telles exigences pourrait nuire aux partenariats stratégiques avec des pays tiers, comme les États-Unis et le Japon, qui sont d'importants acteurs dans le secteur du cloud et la cybersécurité.
Alors que les États-Unis légifère contre les entreprises chinoises pour protéger leur cloud, l’UE, sans une politique unifiée de nation, laisse libre cours aux géants américains malgré les risques posés par le Cloud Act et le FISA. Aux États-Unis, l’intérêt national guide la stratégie, tandis que celle de l’UE est rendue complexe par des intérêts nationaux divergents.
De grandes entreprises françaises comme Orange, Airbus ou Dassault Systèmes ont fustigé l’éventualité d’abandonner ces critères de souveraineté dans une lettre ouverte commune publiée à l’attention du gouvernement :
« Nous appelons les États membres, la Commission européenne et l'Enisa à soutenir ces critères. Nous pensons qu'il s'agit d'une occasion unique de démontrer votre engagement à garantir la transparence, la confiance et la sécurité sur le marché européen du cloud et des données. Le choix n'est pas politique: il s'agit de notre avenir ».
Perdre le contrôle sur nos données c’est hypothéquer notre destin en tant que nation.
L’affaire de toutes et tous
Que faire ? Continuer le combat politique, au niveau national et européen, mais aussi au niveau local. Il faut davantage en faire un sujet de société, en établissant une culture de sensibilisation et de protection des données au sein des entreprises et des foyers français.
C’est un effort de tous les jours, impliquant chacun… les décisions en haut de la chaîne ne suffisent pas toujours à protéger les intérêts de tous. Chaque individu a un rôle à jouer dans la protection de sa propre vie privée ou de celles de son entreprise. La sécurité des données ne doit pas reposer uniquement sur les décideurs ou les grandes entreprises ; elle nécessite l'engagement actif de chaque citoyen. Tout comme la priorisation du bio - quand cela est possible - est devenue un réflexe pour de nombreux consommateurs soucieux de leur santé et de l'environnement, la protection des données doit devenir une habitude pour tous.