La loi de programmation militaire risque de percuter la doctrine du “cloud de confiance
La loi de programmation militaire (LPM), actuellement en discussion au Parlement, comporte un volet relatif à la cybersécurité. Son article 35 [page 38], plus particulièrement, confère à l’Autorité nationale de sécurité des systèmes d’information (Anssi) des pouvoirs accrus en matière de surveillance.
Ceux-ci incluraient la possibilité de placer dans les réseaux de télécommunications, chez les hébergeurs et dans les centres de données, des « marqueurs techniques » (c’est-à-dire des sondes) et des « dispositifs permettant le recueil de données ». En l’état, la définition des « données » par le projet de loi n’apporte pas plus de précisions, ce qui conduit à penser que les données personnelles seraient incluses.
Il n’est pas besoin de souligner ici combien le principe même de la LPM, qui consiste à prendre acte du retour des menaces que la guerre en Ukraine illustre de manière spectaculaire et à se donner la capacité d’agir dans une perspective pluriannuelle, est pertinent.
En revanche, les dispositions envisagées soulèvent deux séries importantes de questions, si on les replace dans une perspective européenne.
Un coup porté à la confiance des utilisateurs
Premièrement, l’adoption de ces mesures risque de percuter le développement de ce que la France a nommé la doctrine du « cloud de confiance ». Face aux retards européens en matière de développement du cloud, les autorités françaises, en pleine conformité avec l’approche européenne d’Internet placée sous le sceau des « valeurs » et illustrée notamment par le règlement général sur la protection des données (RGPD) [en anglais General Data Protection Regulation, GDPR], ont plaidé et convaincu leurs partenaires européens d’adopter une approche largement qualitative du cloud.
Au cœur de cette approche, une idée simple : le cloud européen attirera d’autant plus qu’il pourra se prévaloir du mieux-disant mondial en matière de respect de la vie privée, sujet essentiel qui ne concerne pas que les Européens.
Or le risque est donc grand de saper cette approche. L’exemple américain est là pour l’attester. Les révélations sur les dispositifs de recueil de données par les autorités de sécurité intérieure et extérieure américaines n’ont pas manqué de porter un coup à la confiance des utilisateurs. C’est bien à ce type de risque que l’on s’exposerait ici. Mais l’effet serait sans doute plus grand. En effet, il frapperait des acteurs européens dont la position commerciale est beaucoup moins établie que celle de leurs concurrents américains.
Deuxièmement, un éventuel accroissement des capacités de surveillance des données personnelles n’échappe pas à la problématique plus vaste de la négociation entre les Etats-Unis et l’Union européenne (UE) en matière de données privées (dite Data Privacy Framework).
Des prérogatives potentiellement excessives
Cette saga au long cours, qui doit permettre de trouver un équilibre entre le respect des données personnelles et la volonté des autorités publiques – notamment américaines – de lutter contre les menaces, est en cours de finalisation, après plusieurs tentatives ratées. L’une d’entre elles a d’ailleurs été le résultat de l’intervention de la justice européenne, précisément parce que les modalités trouvées entre l’UE et les Etats-Unis n’étaient pas jugées assez protectrices de la vie privée des Européens (affaires dites « Schrems »).
Les rôles risqueraient ici de se trouver renversés. Car les garde-fous actuellement négociés pourraient se trouver paradoxalement plus puissants côté américain que côté européen. Outre la France, le département de la justice américaine, qui examine en ce moment l’accord, s’est publiquement inquiété des prérogatives des autorités polonaises et hongroises, les estimant potentiellement excessives. Pire : du côté des négociateurs européens du texte, de telles craintes américaines trouvent également un certain écho, signe du manque de cohésion entre Européens en la matière.
Finalement, le durcissement des mécanismes de contrôle des données personnelles n’a rien d’incongru en lui-même.
En revanche, s’il faut remiser au nom de la sécurité une partie des objectifs économiques de rattrapage du retard européen dans le domaine de l’économie numérique, cela doit être dit, expliqué, assumé. A tout le moins, l’Europe doit être capable de présenter un front uni et cohérent sur ce sujet.
Paru dans Le Monde le 24 mai 2023