Enjeu de souveraineté nationale, actif immatériel des acteurs publics et privés, « carte d’identité numérique » du citoyen…, la donnée serait-elle, comme d’aucuns la qualifient, le Pétrole du XXIe siècle ? La donnée est avant tout un nouveau marqueur des rapports de forces internationaux.
Avons-nous à ce stade mis en place les fortifications suffisantes afin d’assurer une protection adéquate de nos données à l’échelon international ? Quid du RGPD (Règlement Général sur la Protection des Données), texte entré en application le 25 mai 2018 au niveau européen ? Quel est son impact sur la protection du patrimoine informationnel français ? C’est à ces interrogations que les coauteurs de l’essai sur « Les nouvelles frontières numériques » se sont attachés à répondre.
En effet, face au RGPD, les législations nationales ou transnationales, enjeux stratégiques d’influence, voire ripostes, fleurissent : Cloud Act, Privacy Shield, CBPR (Cross-Border Privacy Rules System), … Comment se dessinent ces nouveaux rapports de force au travers de ces législations ?
Certains états, tels que l’Estonie, qui a subi une cyberattaque d’ampleur massive en 2007, a déjà créé une e-ambassade au Luxembourg afin de sécuriser les données étatiques. D’autres états adoptent leur propre législation, parfois assez semblable au RGPD. Ce texte pourrait-il devenir un outil d’influence ? Le PDPA, voté en 2012 à Singapour et applicable depuis 2014, semble très proche du texte européen. Des ajouts récents y ont été apportés en termes de portabilité et de transfert hors frontière des données à caractère personnel. Nous n’excluons pas non plus des ajustements à court terme sur le RGPD, bien au contraire, ce qui serait le signe d’une capitalisation sur les points d’achoppement rencontrés depuis son entrée en application.
Au-delà des enjeux géopolitiques, la donnée soulève moult problématiques économiques. Les GAFAM (Google, Apple, Facebook, Amazon, Microsoft) détenaient à eux seuls en 2018 environ 85 % des données personnelles mondiales. Leur exploitation se développe aujourd’hui notamment par le biais de l’intelligence artificielle. Nous avons vu de nombreux modèles économiques apparaître, basés sur l’utilisation de nos données personnelles. Les législations nationales ou communautaires, telles que le RGPD, sont-elles suffisantes pour maîtriser l’usage fait de nos données ? Au sujet des GAFAM, Sylvie Aubert s’interrogeait ainsi dans l’hebdomadaire financier Investir, le Journal des Finances, le 9 juin 2018 : « Ces champions ont-ils des failles ? Tout d’abord, ils ont profité pour se développer des vides juridiques des États qui n’ont adapté ni leurs lois ni leur fiscalité, et plusieurs sont dans le collimateur des autorités : Facebook, pour avoir utilisé les données des utilisateurs afin de manipuler l’opinion ; Google, pour sa domination du marché de la publicité numérique… ».
Avons-nous à ce stade mis en place les fortifications suffisantes afin d’assurer une protection adéquate de nos données à l’échelon international ? Quid du RGPD (Règlement Général sur la Protection des Données), texte entré en application le 25 mai 2018 au niveau européen ? Quel est son impact sur la protection du patrimoine informationnel français ? C’est à ces interrogations que les coauteurs de l’essai sur « Les nouvelles frontières numériques » se sont attachés à répondre.
En effet, face au RGPD, les législations nationales ou transnationales, enjeux stratégiques d’influence, voire ripostes, fleurissent : Cloud Act, Privacy Shield, CBPR (Cross-Border Privacy Rules System), … Comment se dessinent ces nouveaux rapports de force au travers de ces législations ?
Certains états, tels que l’Estonie, qui a subi une cyberattaque d’ampleur massive en 2007, a déjà créé une e-ambassade au Luxembourg afin de sécuriser les données étatiques. D’autres états adoptent leur propre législation, parfois assez semblable au RGPD. Ce texte pourrait-il devenir un outil d’influence ? Le PDPA, voté en 2012 à Singapour et applicable depuis 2014, semble très proche du texte européen. Des ajouts récents y ont été apportés en termes de portabilité et de transfert hors frontière des données à caractère personnel. Nous n’excluons pas non plus des ajustements à court terme sur le RGPD, bien au contraire, ce qui serait le signe d’une capitalisation sur les points d’achoppement rencontrés depuis son entrée en application.
Au-delà des enjeux géopolitiques, la donnée soulève moult problématiques économiques. Les GAFAM (Google, Apple, Facebook, Amazon, Microsoft) détenaient à eux seuls en 2018 environ 85 % des données personnelles mondiales. Leur exploitation se développe aujourd’hui notamment par le biais de l’intelligence artificielle. Nous avons vu de nombreux modèles économiques apparaître, basés sur l’utilisation de nos données personnelles. Les législations nationales ou communautaires, telles que le RGPD, sont-elles suffisantes pour maîtriser l’usage fait de nos données ? Au sujet des GAFAM, Sylvie Aubert s’interrogeait ainsi dans l’hebdomadaire financier Investir, le Journal des Finances, le 9 juin 2018 : « Ces champions ont-ils des failles ? Tout d’abord, ils ont profité pour se développer des vides juridiques des États qui n’ont adapté ni leurs lois ni leur fiscalité, et plusieurs sont dans le collimateur des autorités : Facebook, pour avoir utilisé les données des utilisateurs afin de manipuler l’opinion ; Google, pour sa domination du marché de la publicité numérique… ».
Isabelle Guibert
Et l’éthique, dans tout cela ? Au-delà de l’utilisation quotidienne de nos données personnelles, que nous ne maîtrisons plus…, comment est contrôlé leur croisement par exemple ? Les moyens alloués aux différents régulateurs indépendants sont-ils à la hauteur de l’enjeu, quand ces autorités de contrôle existent ? En effet, malgré la création et la promulgation de la loi de cybersécurité en 2017 en Chine, aucune entité de contrôle n’a vu le jour dans le pays. L’unique dépositaire de ce pouvoir de contrôle, à ce stade, est le gouvernement chinois et, par extension, chacun de ses ministères (Défense, Éducation, Sciences et technologies…) assure lui-même la vérification de conformité à la loi dans son propre secteur. La Chine semble faire preuve d’une véritable volonté d’accélérer son développement numérique avec le lancement d’un fonds d’investissement pour le développement de l’Internet de 100 milliards de yuans (soit près de 14 milliards d’euros) en 2017, ainsi que le volet numérique du projet des nouvelles routes de la soie estimé à 1000 milliards de dollars US. Tout ceci est à mettre en regard notamment avec le programme de « l’œil céleste » (eye in the sky), qui compte parmi les plus grands réseaux de caméras de surveillance au monde, reliées à des dispositifs de reconnaissance faciale pour identifier rapidement chaque citoyen. En complément des caméras fixes, Pékin aurait également lancé un programme de drones-espions quasi indétectables : les colombes, afin de surveiller et d’identifier chaque citoyen. D’après le South China Morning, une trentaine d’agences gouvernementales et militaires utilisent ces drones pour étendre le réseau de surveillance du pays. Alors, la Chine comptera-t-elle parmi les acteurs majeurs du numérique dans les années à venir ou sera-t-elle davantage reconnue pour son développement dans le cyber conforme à ses intérêts ?
Chaque jour qui passe nous rappelle également que la donnée est devenue un terrain d’affrontement. Véritable champ de bataille numérique avec ingérence étatique à la clé, manœuvres de déstabilisation économique… nous assistons à des conflits cyber parfois de grande ampleur, quand bien même les cibles auraient protégé « au mieux » leurs systèmes. Après le groupe de conseil en technologie Altran, qui indiquait fin janvier 2019 avoir « été la cible d’une cyberattaque affectant ses opérations dans certains pays européens », c’était au tour d’Airbus Commercial Aircraft d’annoncer avoir détecté un incident de cybersécurité dans ses systèmes informatiques et d’indiquer : « il est cependant d’ores et déjà établi que certaines données à caractère personnel ont été consultées. Il s’agit essentiellement de coordonnées professionnelles et d’identifiants informatiques d’employés d’Airbus en Europe ».
Soyons donc plus que jamais vigilants. L’ANSSI nous appelait, début 2019, à « un engagement collectif pour stabiliser le cyberespace » : « ces derniers mois ont encore démontré l’ampleur de la menace, marquée par la préparation des conflits cyber du futur. Face à la complexité de ces enjeux, il est plus que jamais nécessaire de s’organiser collectivement pour assurer le développement d’un cyberespace stable et de confiance. »
Chaque jour qui passe nous rappelle également que la donnée est devenue un terrain d’affrontement. Véritable champ de bataille numérique avec ingérence étatique à la clé, manœuvres de déstabilisation économique… nous assistons à des conflits cyber parfois de grande ampleur, quand bien même les cibles auraient protégé « au mieux » leurs systèmes. Après le groupe de conseil en technologie Altran, qui indiquait fin janvier 2019 avoir « été la cible d’une cyberattaque affectant ses opérations dans certains pays européens », c’était au tour d’Airbus Commercial Aircraft d’annoncer avoir détecté un incident de cybersécurité dans ses systèmes informatiques et d’indiquer : « il est cependant d’ores et déjà établi que certaines données à caractère personnel ont été consultées. Il s’agit essentiellement de coordonnées professionnelles et d’identifiants informatiques d’employés d’Airbus en Europe ».
Soyons donc plus que jamais vigilants. L’ANSSI nous appelait, début 2019, à « un engagement collectif pour stabiliser le cyberespace » : « ces derniers mois ont encore démontré l’ampleur de la menace, marquée par la préparation des conflits cyber du futur. Face à la complexité de ces enjeux, il est plus que jamais nécessaire de s’organiser collectivement pour assurer le développement d’un cyberespace stable et de confiance. »