THIIRD_LOGO-2
Novembre 2020

Numéro cinq

Retrouvez le numéro cinq de Third : La sécurité dans un monde numérique

Voyage au cœur de la sécurité juridique : comment innover dans le numérique ?

Michel Leclerc, Arthur Millerand & Jérémie Aflalo, associés du cabinet Parallel Avocats.

(www.parallel.law)
 

Nemo censetur ignorare legem : « Nul n’est censé ignorer la loi ». D’après cet adage bien connu, toute personne doit connaître les règles de Droit et ne peut pas invoquer leur ignorance pour faire échec à leur application.

La réalité est tout autre car, compte tenu de l’inflation normative, de la diversité des sources et de la complexité des normes, aucune personne, pas même un juriste, ne peut prétendre connaître l’état du Droit dans son ensemble.

Ce constat nous conduit ainsi à interroger le concept de sécurité juridique et à explorer ce que signifie l’innovation dans un contexte règlementaire aussi dense qu’incertain.

 

Pour un non-juriste, le Droit est souvent imaginé comme le domaine de la logique et de la rationalité implacable, où les règles juridiques applicables constitueraient un ensemble clair et lisible. Selon cette approche idéale (pour ne pas dire utopique), la sécurité juridique serait le standard et les professionnels du Droit seraient les porte-paroles de textes qu’il leur suffirait d’appliquer pour résoudre des situations pratiques, à la manière d’un mathématicien qui résout une équation.

La réalité est toute autre puisque les règles sont nombreuses1 et enchevêtrées. Dans cet univers, l’insécurité juridique s’impose comme une préoccupation quotidienne et les professionnels du Droit jouent un rôle capital dans l’identification des règles applicables, leur interprétation et le conseil des opérateurs économiques.

Cette contradiction entre croyance et réalité invite à interroger les notions de sécurité et insécurité juridique :

Sécurité juridique : le terme « sécurité » désigne « l’état d’esprit confiant et tranquille de celui qui se croit à l’abri du danger ». L’adjectif « juridique », quant à lui, semble plutôt préciser « l’origine du danger, c’est-à-dire le danger venant d’une règle de droit, soit-elle de nature législative ou réglementaire ou bien d’origine jurisprudentielle »2.

Autrement dit, la sécurité juridique correspondrait au sentiment de confiance quant à l’absence de danger provenant des règles de Droit. Ainsi, le principe de sécurité uridique « renvoie à la qualité de la règle de droit et tend à garantir une effectivité des droits des justiciables »3.

Insécurité juridique : la doctrine souligne qu’ « on doit constater que l’insécurité juridique ne peut se définir qu’en creux, c’est-à-dire par rapport à une autre notion, bien plus consistante en droit, celle de sécurité juridique. C’est ainsi qu’il y a insécurité juridique lorsque les conditions de la sécurité juridique ne sont pas ou plus remplies ou lorsque certains de ses éléments constitutifs sont remis en cause », à savoir l’accessibilité, l’intelligibilité et la prévisibilité du Droit4.

Selon un auteur, l’insécurité juridique « se nourrit de l’inflation normative comme de l’instabilité des règles ou encore du déclin de l’art de légiférer. Parce qu’elle fait obstacle à la connaissance des règles, elle provoque une situation d’angoisse face au droit. C’est l’insertion de la norme juridique dans l’ordre social qui est en cause, et donc sa vocation à régir réellement et durablement les situations juridiques, sans compter le discrédit qui affecte alors le droit. L’insécurité juridique, c’est la règle qui se dérobe5 ».

Si l’on considère que l’insécurité juridique est la norme, alors comment entreprendre dans un monde si (mal) règlementé ? Comment être en mesure d’innover alors que les règles sont complexes, changeantes, floues ou absentes ?

Ces questions se posent avec encore plus d’acuité dans le secteur numérique où s’épanouissent les nouveaux modèles, usages et technologies. Le numérique est aujourd’hui le théâtre de l’innovation et cela en fait un objet d’étude passionnant pour le rapport entre la sécurité et l’insécurité juridique.

L’objectif de cet article est d’explorer le rapport ambigu entre réglementation et innovation afin de présenter une démarche pour que les entrepreneurs du numérique puissent sécuriser leurs opérations en tenant compte des contraintes juridiques.
 

Le rapport ambigu entre normes juridiques et innovations

 
Réglementer permet de fixer un cadre

Le dictionnaire Larousse définit le terme « réglementation » comme l’ « ensemble des mesures légales et réglementaires régissant une question ». Ainsi, l’essence de la réglementation est de fixer des contours permettant d’encadrer les questions qui affectent notre société. Formulé autrement, les règles juridiques constituent le fondement du vivre ensemble et structurent notre société en régissant les relations entre les personnes.

La notion de réglementation est donc intrinsèquement liée à la sécurité, notamment en ce qu’elle donne de la prévisibilité dans la gestion de situations litigieuses ou du rapport aux choses. C’est pourquoi, il est bénéfique pour les opérateurs économiques qu’un cadre réglementaire clair régisse leurs activités, car cela les sécurise. Pour illustrer ce propos, nous avons pu constater que la récente invalidation du privacy shield6 – qui encadrait et ainsi permettait le transfert de données à caractère personnel entre l’Union Européenne7 et les États-Unis – par une décision de la Cour de Justice de l’Union Européenne, a contraint l’ensemble des opérateurs concernés à adopter de nouvelles mesures (notamment opérationnelles et contractuelles) pour tenter de s’adapter, sans toutefois avoir la garantie que ces mesures soient conformes aux principes issus du RGPD8. La disparition d’un élément juridique a ainsi placé les entreprises dans une situation d’insécurité.

La définition du terme « réglementation » implique également, qu’avant d’édicter une règle juridique, il convient de connaître la question que l’on souhaite régler. On perçoit ainsi une limite inhérente à la réglementation : le Droit régit a posteriori des situations factuelles connues et appréhendables. En conséquence, en présence d’une situation nouvelle, il existe toujours un temps de latence pendant lequel le cadre réglementaire est inexistant ou inadapté, car fondé sur la situation ancienne. Et c’est précisément pendant ce temps de latence que le Droit, pourtant l’instrument par excellence de sécurité, peut être source d’insécurité.

Innover questionne les frontières du Droit

Le même dictionnaire définit le terme « innovation » comme l’ « introduction, dans le processus de production et/ou de vente d’un produit, d’un équipement ou d’un procédé nouveau ». L’innovation correspond donc à la création et l’émergence d’une nouveauté. Sans forcément être révolutionnaires, de nouveaux objets, procédés et situations émergent grâce à l’esprit d’entreprise.

On peut distinguer trois types d’innovations pour les besoins de notre propos :

L’innovation incrémentale (amélioration de ce qui existe) consiste à améliorer un produit ou service existant sans bouleverser le marché ou à rendre ce dernier plus accessible. On peut citer par exemple l’émergence des plateformes de location de logement pour de courtes durées qui sont venues améliorer le marché, déjà existant, des locations courtes durées, en facilitant la mise en relation entre loueurs et locataires.

En règle générale, l’innovation incrémentale peut être appréhendée par les règles juridiques existantes puisque la situation sous-jacente est déjà connue et pas fondamentalement bouleversée par l’innovation. Des adaptations des règles sont réalisées par les juges avec l’interprétation et par le législateur avec le renforcement des régimes juridiques.

L’innovation radicale (nouveauté totale) consiste en la création d’un nouveau produit ou service qui crée un nouveau marché ou transforme en profondeur un marché existant. C’est le cas notamment des voitures autonomes qui vont transformer le marché automobile en allant au-delà de la conception du véhicule conduit par un humain.

En présence d’une innovation radicale, les règles juridiques sont inexistantes, ce qui impose de créer un cadre nouveau. Dans l’exemple des voitures autonomes, les règles existantes sont fondées sur le fait qu’un véhicule doit être maîtrisé par un conducteur personne physique et sont donc inapplicables à la situation factuelle nouvelle (l’absence de conducteur), ce qui impose, entre autres, de modifier les traités internationaux sur la circulation routière ou les règles relatives aux assurances automobiles.

L’innovation adjacente (nouveauté partielle) consiste à utiliser un produit, un service ou une technologie nouvelle sur un marché existant. Un exemple d’innovation adjacente pourrait être les crypto-actifs, issus de l’utilisation de technologies de stockage et de transmission d’informations (blockchain) dans l’industrie financière.

L’innovation adjacente se trouve généralement partiellement et imparfaitement régie par des règles existantes, ce qui conduit à adapter les règles existantes (ex : la taxation des plues-values) ou à en créer de nouvelles (ex : les levées de fonds en crypto-actifs). En ce qui concerne les levées de fonds par émission de crypto-actifs (Initial Coin Offering – ICO), qui étaient partiellement appréhendées par le régime applicable aux offres de titres financiers, elles font désormais l’objet de règles spécifiques avec notamment pour objectif d’encadrer les émissions et prestataires qui échappaient au cadre de la règlementation financière9.

Confrontée à l’innovation, la sécurité juridique, dont l’une des caractéristiques essentielles est la prévisibilité – qui implique une certaine stabilité des normes10 – créé les conditions d’une insécurité juridique, le cadre règlementaire n’étant plus adapté à la situation factuelle nouvelle.

En définitive, il existe nécessairement une phase où l’innovation est en marge des règles de Droit. Pendant cette phase, la sécurité juridique est relative mais il ne faut pas s’empêcher d’innover (tout ce qui n’est pas interdit par la loi étant permis11) si l’on adopte la bonne approche pour sécuriser sa démarche.
 

Sécuriser l’innovation en tenant compte des contraintes juridiques

 
Accepter l’insécurité juridique

Pour surmonter l’insécurité juridique inhérente à toute activité innovante, l’entrepreneur doit obligatoirement accepter, au moins temporairement, d’évoluer dans un cadre réglementaire incertain. Prenons quelques exemples pour illustrer ce propos :

La reconnaissance du covoiturage : en 2004, BlaBlaCar lance une plateforme communautaire de covoiturage qui permet la mise en relation entre des conducteurs voyageant avec des places libres et des passagers se rendant dans la même direction. Lors du lancement de l’activité, il n’existait aucune définition juridique du covoiturage12, exposant BlaBlaCar (et ses utilisateurs) à une incertitude quant à la qualification juridique de cette activité ainsi que sa licéité ou le régime juridique qui lui serait applicable. La première définition jurisprudentielle n’intervient qu’en 2013 et il faut attendre 2015 pour qu’une loi consacre légalement le covoiturage13.

L’application du statut de base de données protégée aux plateformes numériques : le Code de la propriété intellectuelle définit ce qu’est une base de données14 et confère à son producteur un droit sui generis15. Cependant, cette définition laissant le soin aux juges du fond d’apprécier si les conditions de la reconnaissance du statut de base de données sont remplies, les opérateurs de plateformes numériques restent exposés à un aléa quant au fait de savoir si leur plateforme constitue une base de données protégée par un droit sui generis16. Il a ainsi été jugé que le site d’annonces en ligne « leboncoin.fr » constituait une base de données au sein du Code de la propriété intellectuelle tandis que cette qualification a été refusée à une plateforme mettant en relation des parents avec des baby-sitters17.

L’interdiction de TikTok aux États-Unis : le 6 août 2020, le président des États-Unis d’Amérique, Donald Trump, a signé un décret aux termes duquel il a déclaré que l’application de partage de vidéos TikTok, propriété de la société chinoise ByteDance Ltd., collectait des données personnelles transmises aux autorités chinoises et étaient utilisées dans des campagnes de désinformation au profit du parti communiste. En conséquence, il a interdit à toute personne relevant de la juridiction des États-Unis de procéder à toute transaction avec ByteDance Ltd. et/ou ses filiales et participations18. Sans nous prononcer sur la légalité de ce décret, nous constatons que l’absence de cadre spécifique applicable au transfert, au stockage et au traitement de données personnelles par TikTok auprès de ses utilisateurs américains l’a exposé à un « fait du prince » menaçant la continuité de ses activités aux États-Unis.

Ces situations illustrent que l’innovation technologique et numérique implique des enjeux juridiques capitaux, ce qui impose de placer la stratégie juridique au cœur de la stratégie de l’entreprise.

En effet, accepter l’insécurité juridique ne signifie pas qu’il faut faire abstraction des considérations et contraintes juridiques, au risque de faire face à des conséquences dramatiques et non anticipées (par exemple, en lançant une activité pourtant expressément interdite en vertu des règles existantes). Bien au contraire, il est indispensable de comprendre le cadre règlementaire existant, d’apprécier les contraintes juridiques qui en résultent et d’évaluer les risques qui en découlent, afin (i) de déterminer le degré de risque que l’entreprise est en mesure d’accepter (notamment, à la lumière des profits attendus de l’activité innovante) et (ii) de disposer d’options stratégiques permettant de réduire la probabilité d’occurrence des risques ou, le cas échéant, d’en limiter les conséquences (par exemple, en explorant des solutions alternatives permettant de réorienter ses activités).
 

Construire une stratégie règlementaire pour créer les conditions de sa sécurité juridique

 
Le Droit est un outil qui permet de sécuriser son modèle, de protéger ses créations et d’en assurer la pérennité. Chaque entrepreneur dans le numérique et les nouvelles technologies doit y être très attentif pour éviter l’écueil du « géant aux pieds d’argile ». Que ce soit des nouvelles formes de logiciels, des modèles basés sur les données (personnelles ou non) ou des entreprises qui révolutionnent des secteurs ou professions règlementées, la considération juridique doit être présente pour protéger le développement de l’entreprise.

Contrairement aux idées reçues, l’absence de règles est très dommageable pour les entreprises innovantes (cf. supra), qui n’ont pas pour ambition de conduire leurs activités dans un Far West juridique. Certaines entreprises innovantes ont ainsi compris qu’il était dans leur intérêt, à défaut ou dans l’attente d’un cadre légal adapté à leurs activités, de s’autoréguler en fixant ses propres limites sur la base de son interprétation juridique des règles existantes. Les fournisseurs de solutions numériques sont toujours appréhendés par le prisme de la loi pour la confiance dans l’économie numérique de 2004, issue de la directive européenne sur le commerce électronique, et il existe des débats jurisprudentiels importants sur l’étendue de leur responsabilité (soit éditeur, soit hébergeur). Ainsi, de nombreuses sociétés anticipent les futures clarifications juridiques en conduisant des analyses approfondies de leurs activités pour limiter certains fonctionnalités ou potentialités de leurs produits/services.

Pour pouvoir suivre cet exemple et adopter une lecture règlementaire logique et pertinente, les acteurs numériques et technologiques innovants doivent :

définir avec précision leur modèle économique et comprendre les contraintes juridiques associées à leur activité, évaluer les risques qui en découlent et adopter une stratégie réglementaire dans l’optique de sécuriser leurs activités ;

participer aux réflexions sur la création ou l’évolution des règles existantes : il est en effet primordial pour tout opérateur innovant de concevoir le Droit non pas comme une contrainte mais comme un avantage compétitif créateur de valeur, dans l’objectif de faire triompher sa vision et son interprétation ;

former tous les membres de l’entreprise pour que chacun, dans sa fonction et à son niveau, porte un message uniforme. À défaut, l’opérateur innovant s’expose à ce que la lecture réglementaire non partagée conduise l’entreprise à commettre des erreurs (provoquant un désalignement entre réalité opérationnelle et lecture réglementaire) et empêche sa stratégie réglementaire de prospérer ;

développer leurs activités en sachant être un interlocuteur déterminé, mais également raisonnable et raisonné, des autorités et des régulateurs.

En substance, les fondateurs et dirigeants d’entreprises technologiques doivent connaître et maîtriser leur environnement juridique afin de pouvoir avoir un impact sur celui-ci. Il faut être actif et adopter une lecture règlementaire conforme à sa stratégie opérationnelle pour sécuriser son modèle et assurer son leadership sur le marché.



1 | Selon l’édition 2019 des Indicateurs de suivi de l’activité normative publiés par le secrétariat général du gouvernement, il existait au 25 janvier 2019, 84 619 articles législatifs et 233 048 articles réglementaires. (Retour au texte 1)
2 | DE SALVIA Michele, La sécurité juridique en droit constitutionnel français, Cahier du Conseil Constitutionnel, n°11, décembre 2001. (Retour au texte 2)
3 | EL HERFI, Les principes de confiance légitime et de sécurité juridique en droit européen – Interprétation et portée en droit de l’Union européenne et en droit de la Convention européenne des droits de l’homme, Service de documentation, des études et du rapport de la Cour de cassation, Bureau du droit européen, 27 octobre 2015.(Retour au texte 3)
4 | ABLARD Thierry, Insécurité juridique : l’impuissance publique ? Cahiers de droit de l’entreprise n° 1, Janvier 2008, dossier 4. (Retour au texte 4)
5 | MOLFESSIS Nicolas, Combattre l’insécurité juridique ou la lutte du système juridique contre lui-même, Rapport d’activité du Conseil d’État, 2006, p. 391.
(Retour au texte 5)
6 | Décision d’exécution (UE) 2016/1250 du 12 juillet 2016 de la Commission du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis. (Retour au texte 6)
7 | Data Protection Commissioner c/ Facebook Ltd et Maximillian Schrems, CJUE, 16 juillet 2020, Aff. C-311/18. (Retour au texte 7)
8 | Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. (Retour au texte 8)
9 | Règles issues de la loi n°2019-486 du 22 mai 2019 relative à la croissance et la transformation des entreprises (dite loi « Pacte »). (Retour au texte 9)
10 | VALEMBOIS Anne-Laure, La constitutionnalisation de l’exigence de sécurité juridique en droit français, Cahiers du Conseil Constitutionnel n°17 (prix de thèse 2004), mars 2005. (Retour au texte 10)
11 | Article 5 de la Déclaration des Droits de l’Homme et du Citoyen de 1789 : « La loi n’a le droit de défendre que les actions nuisibles à la société. Tout ce qui n’est pas défendu par la loi ne peut être empêché, et nul ne peut être contrainte à faire ce qu’elle n’ordonne pas ». (Retour au texte 11)
12 | Cass. Com., 12 mars 2013, Bull. 2013, IV, n°36, n°11-21.908. (Retour au texte 12)
13 | Loi n°2015-992 du 17 août 2015 relative à la transition énergétique et à la croissance verte (cette définition a été codifiée et figure à l’article L.3132-1 du Code des transports).(Retour au texte 13)
14 | Article L.112-3 du Code de la propriété intellectuelle. (Retour au texte 14)
15 | V. articles L.341-1 et suivants du Code de la propriété intellectuelle ; ce droit sui generis leur permettant notamment de faire interdire l’extraction et la réutilisation de la base de donnée. (Retour au texte 15)
16 | TGI Paris, 1 septembre 2017, n°17/06908, LBC France c/ entreparticuliers.com (Retour au texte 16)
17 | CA Paris, 21 novembre 2008, n°07/10985, Jurisdata n°2008-373507, Sté Select à domicile et autres c/ Sté Cariboo Networks. (Retour au texte 17)
18 | Executive Order on Adressing the Threat Posed by TikTok en date du 6 août 2020 (https://www.whitehouse.gov/presidential-actions/executive-order-addressing-threat-posed-tiktok/). (Retour au texte 18)

partager cet article

Édito

La sécurité dans un monde numérique

 
La sécurité est incontestablement une préoccupation majeure des gouvernants et des citoyens au sein de nos sociétés actuelles. La modernité tolère de moins en moins l’insécurité, comme en témoigne la volonté constante de réduire les conflits, maîtriser les épidémies ou encore limiter les oppositions. Nos vies se déroulant de plus en plus dans un espace numérique, lequel transforme nos rapports aux autres et aux choses, nous avons fait le choix de consacrer ce numéro « Cinq » de la revue Third aux interactions entre les notions de sécurité et numérique.

À quels dangers sommes-nous exposés dans le cyberespace ? Comment protéger nos infrastructures numériques ? Faut-il repenser nos conceptions traditionnelles de la sécurité à l’aune de la révolution numérique ? Pouvons-nous améliorer notre sécurité ou bien sommes-nous condamnés à une insécurité intrinsèquement liée à la transition technologique en cours ?

C’est notamment à ces questions que nous tenterons de répondre dans ce numéro, en étudiant les bouleversements induits par le numérique sur la sécurité, prise dans plusieurs de ses dimensions, de la sécurité informatique à la sécurité des individus, en passant par la sécurité nationale, la sécurité sociale ou encore la sécurité juridique.

Pour commencer, nous nous sommes intéressés à l’omniprésente notion de cybersécurité. Tout d’abord, Daniel Ventre (chercheur au Centre de Recherche sur le Droit et les Institutions Pénales, CNRS) nous propose de définir la cybersécurité. Emmanuel Germain (directeur général de l’Agence Nationale de Sécurité des Systèmes d’Information – ANSSI) dresse ensuite un panorama de la cybersécurité en France en partageant la vision de l’ANSSI. Puis, Barbara Joannes et Solal Besnard (experts en cybersécurité et co-fondateurs de Kaïno) nous présentent l’escape game qu’ils ont élaboré pour permettre aux entreprises de sensibiliser leur personnel à la sécurité informatique.

La transition numérique est un défi capital pour les États qui sont conduits à repenser le concept traditionnel de souveraineté afin de pouvoir assurer leur sécurité et protéger nos sociétés qui sont de plus en plus dépendantes des technologies et du numérique.

Pour évoquer cette problématique, nous avons échangé avec Alix Cazenave (conseillère en relations publiques et membre du conseil scientifique de l’Institut de la souveraineté numérique) qui partage avec nous sa vision de la souveraineté numérique. Félix Blanc (docteur en sciences politiques et cofondateur de danaides.org) nous explique pour sa part la dépendance du cyberespace aux câble sous-marins, un enjeu de sécurité au cœur de la géopolitique mondiale.

Par ailleurs, le numérique ne cesse de faire émerger de nouveaux usages dont les effets sont bien réels et qui exposent les individus à de nouveaux risques.

Dans un premier temps, Justine Atlan (directrice générale de l’association e-Enfance) nous parle des phénomènes de cyber-violence. Dans leur article, Thomas Souvignet (lieutenant-colonel de gendarmerie et professeur à l’École des Sciences Criminelles de l’Université de Lausanne) et Olivier Ribaux (directeur de l’École des Sciences Criminelles de l’Université de Lausanne) nous offrent une vision concrète des mécanismes de cybercriminalité et de la capacité des forces de l’ordre à y répondre. Nous abordons ensuite les conséquences du numérique sur le travail et la protection sociale au cours d’un entretien avec Laëtitia Vitaud (conférencière et consultante sur le futur du travail et de la consommation).

Les technologies numériques produisent des quantités massives de données qui sont collectées et exploitées par les opérateurs privés et publics. Maxime Agostini (co-fondateur et président de Sarus Technologies) démontre qu’il est possible d’exploiter les données personnelles tout en protégeant la vie privée des personnes grâce à des innovations de pointe, tandis que Caroline Lequesne Roth (maître de conférences en droit public à l’Université Côte d’Azur) analyse, à partir de l’exemple de l’épidémie de Covid 19, les dangers résultant de la quantification sécuritaire du monde pour nos libertés publiques.

Enfin, Parallel Avocats explore le concept de sécurité juridique et présente une approche permettant aux entreprises numériques d’innover dans un environnement juridique incertain.

Nous adressons nos chaleureux remerciements à chacun des contributeurs et espérons que les lecteurs trouveront la lecture de ce numéro aussi passionnante que l’a été sa conception pour l’ensemble de notre équipe.

Nous serons ravis de poursuivre les échanges sur les numéros passés et à venir de Third avec ceux qui le souhaitent (welcome@parallel.law).

Arthur Millerand, Michel Leclerc & Jérémie Aflalo

Associés de Parallel Avocats

www.parallel.law

partager cet article

Daniel Ventre, chercheur au CESDIP (Centre de Recherche sur le Droit et les Institutions Pénales, UMR 8183), CNRS.

 

La cybersécurité est devenue l’une des priorités des gouvernements. Mais sait-on dire précisément ce qu’elle est ?

Définir la notion de cybersécurité n’est pas aussi simple qu’il y paraît de prime abord. La littérature sur le sujet est abondante (articles de presse, documents d’entreprises, publications officielles, travaux de recherche, rapports techniques…) et couvre plusieurs domaines (société, droit, politique, technologies…). Nous proposons ici d’appréhender la notion de cybersécurité au travers de son évolution dans le temps d’une part, puis de ses définitions. S’il est souvent fait état d’une absence de consensus en matière de définitions, se dégagent toutefois des convergences relativement marquées qui permettent de saisir la notion de cybersécurité.

 
Sur la scène nationale et internationale, la cybersécurité est aujourd’hui qualifiée d’enjeu majeur. Face à l’augmentation incessante du volume et du niveau de gravité des incidents de sécurité dans le cyberespace, les États se sont dotés d’instruments juridiques et techniques leur permettant d’organiser les réponses nécessaires.

Bien que le concept de « cybersécurité » se trouve désormais au cœur des politiques de sécurité et de défense nationale, son périmètre semble encore imprécis, ses définitions se montrant trop larges ou, au contraire, trop réductrices. L’absence de consensus constitue pourtant en elle-même un défi important : elle pénaliserait la communication entre décideurs ou ingénieurs, pourrait occasionner des désaccords ou des erreurs d’interprétation, rendrait impossible les comparaisons des politiques, etc.

Il est possible cependant de mettre en exergue des lignes de convergence relativement fortes, tant dans la manière d’appréhender la cybersécurité que de la définir, qui dessinent le périmètre de ce concept de « cybersécurité ».
 

De la sécurité des ordinateurs à la cybersécurité

 
La sécurité des systèmes de communication est une préoccupation ancienne, qui fait l’objet de débats et de demandes de législations spécifiques dès le XIXème, à l’heure du télégraphe (comment protéger les messages, comment sécuriser les infrastructures en temps de paix et de guerre…).

Plus près de nous, la sécurité informatique est devenue un enjeu à part entière dès les années 19601. La société s’informatise progressivement, l’ordinateur offre des outils d’aide à la décision, des outils de gestion, des moyens de calcul, traite déjà des données en grandes quantités – parfois sensibles voire classifiées – via des systèmes qui sont progressivement mis en réseaux. La sécurité, alors, peut parfois se résumer à des procédures de contrôles d’accès physique aux machines. Mais elle est aussi celle des logiciels (se protéger de la contrefaçon), des données (qu’il faut protéger du vol ou d’accès non autorisés). Elle vise à « minimiser la tentation de casser les systèmes »2 et prévoit l’ensemble des contre-mesures techniques au crime électronique qui est « très simple, présentant peu de risques physiques et ayant une faible probabilité de détection »3. On parle alors de sécurité des ordinateurs, sécurité informatique (computer security), sécurité des systèmes d’information (information systems security) puis de sécurité des réseaux d’ordinateurs (computer networks security).

Le droit a accompagné ces évolutions et la prise en compte de la sécurité. Un corpus s’est construit autour de la protection des données personnelles (décennie 1970), puis de la lutte contre le crime informatique et le piratage (décennie 1980) tant en Europe qu’aux États-Unis. Les années 1990 ont ouvert une nouvelle ère de l’histoire de l’informatique et des télécommunications. Un droit de l’internet s’est dès lors constitué. Mais c’est principalement au cours des deux dernières décennies qu’un cadre propre à la cybersécurité a été élaboré : avec la formulation de stratégies nationales de cybersécurité, par la règlementation européenne (la directive Network and Information Security (NIS) de 20164; le règlement européen 2019/881 dit Cybersecurity Act du 12 mars 20195…), par des initiatives régionales (Convention de l’Union Africaine sur la cybersécurité et la protection des données à caractère personnel en date du 27 juin 20146), par les lois nationales (en France la loi de programmation militaire de 20137 ou la loi n°2018-133 du 26 février 2018 relative à la sécurité des réseaux et des systèmes d’information 8 ; en Chine la loi de cybersécurité de 2017, etc.)

Les stratégies, politiques, législations en matière de cybersécurité se multiplient ainsi depuis 20 ans, partout dans le monde. Ces politiques de cybersécurité se focalisent sur l’organisation des moyens à mettre en œuvre pour construire un cyberespace sûr. Le volet « lutte contre la cybercriminalité » en est bien sûr un pan spécifique, mais on y trouve également la prise en compte de la protection des données personnelles, la protection des infrastructures critiques, la responsabilisation des opérateurs, le développement de l’industrie de cybersécurité, de la recherche et du développement (R&D), du partenariat public-privé, la création d’agences nationales, d’outils de coordination et de dialogue international, etc.
 

Les définitions de la cybersécurité

 
Que désigne plus précisément cette « cybersécurité » à laquelle les États accordent tant d’importance ? De nombreuses définitions ont été proposées par des organisations internationales, l’industrie, la recherche académique, les administrations.

Rappelons-en ici quelques-unes :

Pour l’Union Internationale des Télécommunications (UIT) : « la cybersécurité est un ensemble d’outils, de politiques, de concepts de sécurité, de garanties de sécurité, de directives, d’approches de gestion des risques, d’actions, de formations, de meilleures pratiques, d’assurances et de technologies pouvant être utilisées pour protéger le cyber-environnement, l’organisation et les actifs de l’utilisateur. Les actifs de l’organisation et de l’utilisateur comprennent les appareils informatiques connectés »9 (2008).

Pour l’agence européenne ENISA : « la cybersécurité couvre tous les aspects de la prévention, de la prévision, tolérance, détection, atténuation, suppression, analyse et enquête des cyber incidents. Considérant les différents types de composants de l’espace cybernétique, la cybersécurité devrait couvrir les attributs suivants : disponibilité, fiabilité, sécurité, confidentialité, intégrité, maintenabilité (systèmes, informations et réseaux tangibles) robustesse, capacité de survie, résilience (pour soutenir la dynamique du cyber espace), la responsabilité, l’authenticité et la non-répudiation (pour soutenir la sécurité de l’information) » (2017).

Pour l’entreprise de cybersécurité Kaspersky « la cybersécurité consiste à défendre les ordinateurs, les serveurs, les appareils mobiles, les systèmes électroniques, les réseaux et les données contre les attaques malveillantes. C’est ce qu’on appelle également la sécurité des technologies de l’information ou la sécurité des informations électroniques. Le terme s’applique dans divers contextes, allant de l’informatique professionnelle à l’informatique mobile, et peut être divisé en quelques catégories communes » (2019)10.

En France, elle est définie par l’ANSSI comme un « état recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense » (2019)11.

Elle y est définie dans le Dictionnaire du Département de la Défense américain comme l’ensemble des « mesures prises dans le cyberespace protégé pour empêcher tout accès non autorisé, exploitation ou endommagement des ordinateurs, des systèmes de communications électroniques et d’autres technologies de l’information, y compris les technologies des plates-formes d’information, ainsi que les informations qu’ils contiennent, afin de garantir leur disponibilité, intégrité, authentification, confidentialité et non répudiation » (2019).
 

Conclusion : les constantes de la cybersécurité

 
Il faut davantage voir le tournant des années 2000 comme une transition naturelle entre « la cybersécurité » et la « sécurité des systèmes d’information » d’avant, qu’une rupture véritable. Selon un rapport de l’OCDE de 201212 cette seconde phase se caractériserait toutefois par une approche plus globale, intégrant les multiples aspects de la sécurité de la société en réseau (économique, social, juridique, technique, militaire, diplomatique, etc.). Telle qu’elle est traitée dans les stratégies nationales, la cybersécurité, ou sécurité des systèmes d’informations (les deux appellations coexistent) apparaît donc comme une question très large tant dans ses modalités que ses effets, ses implications, ses composantes, le nombre d’acteurs qu’elle mobilise, les moyens techniques et financiers qu’elle nécessite. Ces stratégies nationales traduisent d’autre part une préoccupation commune aux États : la défense, la construction et l’affirmation de la souveraineté dans le cyberespace.

Et s’il n’y a en effet pas une unique définition consensuelle, nous avons cependant pu constater l’existence de fortes convergences dans les approches. Une étude réalisée sur la base d’un corpus de définitions plus étendu13 a permis d’identifier quelques constantes : la cybersécurité est affaire de procédures, de normes, de moyens techniques et humains, mais elle consiste en priorité en la protection de systèmes (ordinateurs, réseaux, systèmes logiciels, données). La conception de la cybersécurité se veut résolument techno-centrée. La mise en œuvre de moyens et de procédures occupe une place essentielle. La dimension humaine de la sécurité y semble secondaire.
 

L’œil de la revue Third

 
Nous entendons sans cesse parler de cybersécurité sans pour autant comprendre ce que recouvre cette notion. Pour nous permettre de mieux l’appréhender, Daniel Ventre dresse l’historique de la cybersécurité et formule une approche synthétique de la cybersécurité fondée sur les constantes des multiples définitions qui en existent.



1 | Jeffrey G. Bergart, Marvin Denicoff, David K. Hsiao, An annotated and Cross-Referenced Bibliography on Computer Security and Access Control in Computer Systems, Ohio State Univ., Columbus – Computer and Information Science Research Center, Report OSU-CISRC-TR-72-12, November 1972. (Retour au texte 1)
2 | J.J. Hellman, Privacy and Information Systems, The RAND Corporation, Santa Monica, California, May 1970. (Retour au texte 2)
3 | R Turn, H.E. Petersen, Security of Computerized Information Systems, The RAND Corporation, July 1970. (Retour au texte 3)
4 | Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union. (Retour au texte 4)
5 | Ce texte prolonge et renforce les mesures de la directive NIS : mise en place d’une certification de la cybersécurité à l’échelle européenne pour les produits, les services et les processus des technologies de l’information et de la communication et extension du rôle de l’agence permanente de l’Union européenne pour la cybersécurité (ENISA). (Retour au texte 5)
6 | https://www.afapdp.org/wp-content/uploads/2018/06/CONV-UA-CYBER-PDP-2014.pdf. (Retour au texte 6)
7 | L’article 22 de la loi n°2013-1168 du 18 décembre 2013 (codifié aux articles L. 1332-6-1 à L. 1332-6-6 du code de la défense) prévoit des mesures de renforcement de la sécurité des systèmes d’information des opérateurs d’importance vitale (OIV). (Retour au texte 7)
8 | Loi qui transpose la directive européenne NIS de 2016. A la notion de cybersécurité, la loi préfère celle de « sécurité des réseaux et systèmes d’information » qui « consiste en leur capacité de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement et des services connexes que ces réseaux et systèmes d’information offrent ou rendent accessibles ». (Retour au texte 8)
9 | https://www.itu.int/en/ITU-T/studygroups/com17/Pages/cybersecurity.aspx. (Retour au texte 9)
10 | https://www.kaspersky.com/resource-center/definitions/what-is-cyber-security. (Retour au texte 10)
11 | https://www.ssi.gouv.fr/entreprise/glossaire/c/. (Retour au texte 11)
12 | OECD (2012-11-16), Cybersecurity Policy Making at a Turning Point: Analysing a New Generation of National Cybersecurity Strategies for the Internet Economy, in OECD Digital Economy Papers, No. 211, OECD Publishing, Paris. http://dx.doi.org/10.1787/5k8zq92vdgtl-en. (Retour au texte 12)
13 | Une étude détaillée des définitions, typologies, taxonomies et ontologies de la cybersécurité est publiée dans un ouvrage collectif à paraître : Hugo Loiseau, Daniel Ventre, Hartmut Aden, Cybersecurity in Humanities and Social Sciences : A Research Methods Approach, Wiley-ISTE, November 2020. (Retour au texte 13)

partager cet article

Emmanuel Germain, Directeur général adjoint, Agence Nationale de Sécurité des Systèmes d’Information (ANSSI).

 

Présenter un panorama en perspective du numérique relève sans doute d’une quête sans fin, tant les champs d’activités humaines recouverts par ce terme sont nombreux, tant les enjeux de développement et de sécurité qui y sont liés sont divers et tant l’empreinte du numérique s’étend bien au-delà de nos frontières géographiques.

Pour toutefois pouvoir proposer des clés de compréhension du numérique, il est nécessaire de l’explorer successivement sous différents angles d’approche. L’un d’eux, original et concret, consiste à regarder le numérique à travers la vision et l’expérience, acquise depuis plus de dix ans, de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).

Disposant de 550 agents, essentiellement contractuels, ingénieurs ou experts de très haut niveau, l’ANSSI est un service à compétence nationale, rattaché au secrétaire général de la défense et de la sécurité nationale. Sa raison d’être est la promotion de la sécurité numérique en France et en Europe. Point de vue exceptionnel, l’ANSSI donne à découvrir et à mieux comprendre le numérique à travers ses trois grandes missions que sont la défense, la régulation-prévention et la sensibilisation.

 

Défendre et superviser

 
La première, la plus évidente mais pas toujours la plus visible des missions de l’ANSSI est la défense des Opérateurs d’Importance Vitale (OIV) et des Opérateurs de Services Essentiels (OSE). Ce sont les quelques centaines d’organismes privés et publics dont la défaillance porterait atteinte au potentiel de défense, économique ou social de la Nation. La protection par l’ANSSI de ces opérateurs et en particulier de leurs Systèmes d’Information d’Importance Vitale (SIIV) a été encadrée par les deux dernières Lois de programmation militaire de 2013 et 20181. Disposant d’une sous-direction dédiée aux opérations (SDO) et organisée autour d’un centre opérationnel permanent, l’ANSSI peut compter sur 200 experts de très haut niveau dans les différents métiers opérationnels de la cybersécurité. Exclusivement défensive, l’action opérationnelle est articulée autour des grandes fonctions de connaissance de la menace, de détection et de réponse aux incidents. Ces capacités sont appuyées par les laboratoires de recherche de pointe de la sous-direction expertise (SDE) et par les ressources de la sous-direction stratégie (SDS), en matière de communication et de coordination, à la fois sectorielle, institutionnelle et territoriale.

En 2019, l’ANSSI a ainsi traité 370 incidents et a engagé 16 opérations de cyberdéfense en déployant des agents auprès des victimes. Peu publicisés, ces incidents illustrent la prégnance du risque numérique. En effet, personne n’échappe désormais à celui-ci, particuliers ou collectivités, acteurs privés ou publics, entreprises de toutes tailles. Tous peuvent être victimes directes ou collatérales, par exemple, d’une tentative de rançonnage par chiffrement, d’un vol de données sensibles, d’espionnage ou de sabotage. Mafias ou États, activistes, voleurs mercenaires ou concurrents malveillants rivalisent de ruses et de prouesses technologiques pour utiliser le numérique à des fins malveillantes, portant ainsi atteinte aux activités de l’ensemble de notre société. L’anonymat étant à la portée de tous et quasiment infaillible dans le cyberespace, il est tout naturellement la porte de toutes les transgressions. Se jouant en outre des frontières et des juridictions, un délinquant numérique profite d’un sentiment d’impunité, souvent justifié. Le mythe de Gygès2, cher à Platon, trouve ici à s’appliquer et ainsi, les agressions numériques s’accroissent avec des outils de plus en plus performants et proliférant.

Les efforts réels consentis par nos institutions et par les acteurs privés se concrétisent par de nouvelles offres commerciales de cybersécurité et le déséquilibre en faveur de la menace s’atténue sans doute mais encore insuffisamment. De surcroît, la menace numérique se régénère très vite ; les cycles d’innovation technologique des capacités d’attaque sont inférieurs à deux ans. Enfin, les capacités de continuité d’activité ou de gestion de crise sont encore trop souvent négligées. La planification en amont et l’acculturation de l’ensemble des usagers aux gestes de survie numérique en situation d’attaque, permettant de se prémunir d’attaques majeures, doivent être encouragées.
 

Prévenir et réguler

 
Dans ce contexte, les investissements de long terme pour sécuriser le cyberespace sont essentiels. Une capacité défensive est cruciale mais c’est surtout en amont des crises, par la régulation et par la prévention, que se développera une sécurité du numérique durable et résiliente, et en particulier dans un espace européen de confiance.

L’ANSSI intervient en France et dans les institutions européennes, au sein des enceintes politiques ou législatives qui établissent le cadre normatif du numérique. À l’intersection du droit, des relations internationales et de la technologie, les experts de l’agence co-élaborent des politiques publiques et contribuent à penser et écrire les réglementations nationales ou européennes du numérique : lois de programmation militaire, directive européenne Network Information System (NIS), Cybersecurity Act, réglementation sur l’identité électronique (eIDAS), etc. Elle accompagne également les diplomates français dans les négociations internationales sur le numérique, avec comme objectif la préservation de la paix et de la stabilité du cyberespace dans la lignée de l’ambition énoncée par le Président de la République dans l’Appel de Paris en novembre 2018.

Enfin, le cyberespace, par la porosité de ses frontières, est souvent captif de réglementations extraterritoriales, ce qui affecte indirectement la sécurité du numérique. En effet, bien que ne se recoupant pas parfaitement, sécurité et souveraineté sont intrinsèquement liées. À la charnière de l’expertise technique et du droit, l’ANSSI, dans son champ de la sécurité du numérique, contribue à faire comprendre l’état de la situation technologique aux autorités françaises et à nos partenaires européens. Elle participe ainsi à la construction, à l’échelle de la France et de l’Union européenne, d’un cadre de référence solide et crédible préservant la sécurité et la maîtrise de nos activités numériques.
 

Sensibiliser et former

 
Dans un écosystème numérique complexe et se renouvelant constamment, la sensibilisation revêt une dimension cruciale. L’ANSSI a ainsi pour mission d’éclairer les acteurs du numérique, d’informer les usagers et de développer les réseaux de diffusion des connaissances actualisées pour comprendre le numérique et ses enjeux ainsi que d’aider les décideurs dans leurs choix.

De fait, la plupart des autorités décisionnaires publiques ou privées n’ont pas été acculturées au numérique qui a fait irruption dans nos sociétés depuis quelques années. Les sujets étant complexes et compris techniquement par les seuls experts des différents métiers du numérique, ils méritent d’être traduits en termes de « manœuvres » et synthétisés pour pouvoir prendre place dans les processus stratégiques et de décisions des comités exécutifs en entreprise ou des cabinets politiques.

Cet effort est encore embryonnaire mais il reste permanent du fait du renouvellement fréquent des différents concepts technologiques. Il se doit cependant d’être poursuivi pour faire valoir le risque « cyber » comme un risque systémique, de niveau stratégique qui doit être appréhendé au plus haut niveau. Si cela ne peut être l’unique critère d’appréciation, les enjeux des cyberattaques sont désormais particulièrement mis en évidence par leur coût économique croissant3.

Il ne saurait y avoir de prévention sans formation pour permettre, sur le temps long, aux usagers du numérique de mieux connaître les outils et les comportements adaptés à une activité numérique sécurisée. De surcroît, le marché de la ressource humaine experte en numérique, et en cybersécurité en particulier, est très tendu. La demande est très supérieure à l’offre et le déficit de compétences disponibles s’accroît rapidement dans un marché en expansion permanente. L’ANSSI s’implique donc avec son centre de formation et un réseau d’écoles labellisées (label SecNumedu4) pour promouvoir le développement des offres de formation en cybersécurité. Elle participe aux réflexions destinées à optimiser et renforcer les viviers de personnes compétentes au profit des entreprises et institutions françaises. Pour susciter des vocations auprès des plus jeunes, elle travaille notamment avec le ministère de l’Éducation Nationale et de la Jeunesse en mettant en place des contenus pédagogiques pertinents et actualisés dans les programmes. Elle intervient également dans le cadre du service national universel qui permettra aussi de toucher la majorité des jeunes Français. Enfin, l’agence diffuse des kits de sensibilisation, des guides et propose un cours en ligne gratuit de 25 heures d’initiation à la cybersécurité5.
 

En perspective, le challenge de la transformation numérique de toute la société

 
Le véritable challenge pour la France et plus largement pour l’Union européenne, espace pertinent à l’échelle du numérique, est bien de réussir cette transformation profonde de l’ensemble de ses activités humaines. Celle-ci ne saurait réussir sans un investissement ab initio dans la sécurité des produits et des usages, des infrastructures et des services. Ce mouvement est en cours et offre de nombreuses perspectives. Quelques grands travaux auxquels l’ANSSI contribue de façon active peuvent en donner une illustration.

L’émergence accélérée du cloud dans les entreprises et les administrations s’accompagne d’enjeux majeurs de sécurité et de protection de nos données. À ce jour, les grands fournisseurs de cloud proposant des services et logiciels en ligne sont essentiellement soumis au droit américain et la maîtrise des fonctions de sécurité par des acteurs européens est encore trop peu développée. Or, ces services deviennent incontournables et l’émergence d’un cloud souverain européen est donc devenue une priorité politique et stratégique, qui doit être accompagnée en matière de sécurité.

Le « Campus cyber » est l’initiative de plusieurs industriels, soutenue par l’ANSSI, visant à créer un lieu géographique emblématique de rencontres facilitées et optimisées entre des opérationnels de la cybersécurité, entre des start-ups et des investisseurs ou des clients, entre des chercheurs et des données, entre des DRH et des candidats compétents… La liste est longue des facilités que peut créer un tel centre de mise en commun intelligente de ressources, à l’instar des succès israélien avec CyberSpark6, russe avec Skolkovo7 ou encore américain en Californie et bientôt à New York.

L’émergence d’un nouveau marché de la détection s’impose désormais comme une nécessité pour faire face à la prolifération de nouveaux outils offensifs et à l’adaptation des attaquants aux mesures de défenses mises en œuvre dans nos systèmes. Les antivirus et pare-feux classiques ne suffisent plus. De nouvelles offres commerciales de confiance et souveraines devraient donc voir le jour rapidement. L’ANSSI encourage et promeut ces initiatives incontournables et pierres angulaires d’une sécurité numérique maîtrisée.

Les travaux impliquant l’agence sont nombreux, de l’identité numérique à la coordination opérationnelle interministérielle et internationale en passant par le chiffrement et la supervision des flux internet. Beaucoup de sujets de sécurité du numérique font l’objet d’un avis, d’une orientation ou d’une contribution de ses experts. Fruit d’une belle intuition, construite en 2009 autour de la rencontre de chercheurs, d’opérationnels et d’analystes de très haut niveau, cette entité administrative unique tente de répondre avec toujours plus d’ouverture et d’agilité aux défis d’un environnement instable et menaçant, tout en visant à inspirer les entreprises et les acteurs européens pour la création d’un espace numérique souverain et sûr8.
 

L’œil de la revue Third

 
La sécurité de l’espace numérique constitue un enjeu majeur tant pour les États, les opérateurs privés et les individus. En France, l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) s’est vu confier une mission d’autorité nationale en matière de sécurité numérique. Il nous a ainsi semblé pertinent de partager le point de vue inédit de l’ANSSI sur l’état de la sécurité du numérique en France, au travers d’une présentation de ses missions.



1 | Loi n°2018-607 du 13 juillet 2018 relative à la programmation militaire pour les années 2019 à 2025 et portant diverses dispositions intéressant la défense. (Retour au texte 1)
2 | Cette « expérience de pensée » de Platon souligne entre autres choses que dans l’anonymat, la plupart des êtres humains choisissent leur intérêt plutôt que le respect de la loi et de la morale. (Retour au texte 2)
3| À titre d’illustration, la société Saint-Gobain dont le siège a été victime d’une attaque par le virus NotPetya en juin 2017, a annoncé une perte due à l’attaque de 250 millions d’euros sur le chiffre d’affaire de cette année. (Retour au texte 3)
4 | https://www.ssi.gouv.fr/entreprise/formations/secnumedu/. (Retour au texte 4)
5 | https://secnumacademie.gouv.fr/. (Retour au texte 5)
6 | http://cyberspark.org.il/. (Retour au texte 6)
7 | https://www.yumpu.com/en/document/read/62821242/sk-annual-report-2019-eng-web-2. (Retour au texte 7)
8 | Pour en savoir plus sur l’ANSSI : https://www.ssi.gouv.fr/; https://www.ssi.gouv.fr/uploads/2020/01/anssi-manifeste-2020.pdf; https://www.ssi.gouv.fr/agence/missions/papiers-numeriques/. (Retour au texte 8)

partager cet article

Barbara Joannes et Solal Besnard, experts en cybersécurité et co-fondateurs de Kaïno.

 

Ces dernières années, le nombre de cyberattaques a explosé partout dans le monde. Ce constat alarmant est également vrai en France, où près d’une entreprise sur deux aurait été victime d’une attaque informatique en 20181.

Bien que les entreprises soient conscientes de l’importance de ces enjeux et investissent de plus en plus dans des moyens, aussi bien techniques que de gouvernance, autour de la lutte contre la cybercriminalité, le facteur humain reste la problématique centrale. En effet, dans près de 46% des attaques, une employée, négligente ou mal informée, a contribué à l’attaque informatique2, de sorte que le danger vient également de l’intérieur des organisations.

La sensibilisation du personnel doit donc devenir une priorité pour la sécurité informatique.

 

Une nouvelle approche nécessaire

 
Les responsables sécurité mettent régulièrement en place un ensemble de règles qui doivent permettre de garantir un bon niveau de sécurité pour l’entreprise. Cependant, ces règles sont souvent perçues et ressenties comme des contraintes, créant un écart significatif entre le niveau de sécurité théorique et les comportements réels des utilisateur/trices.

Le but de la sensibilisation est donc double : apprendre les bonnes pratiques et faire comprendre le fondement ainsi que le but de celles-ci. Face à un défi aussi ambitieux s’inscrivant dans un long processus de changement des habitudes au travail, les méthodes de sensibilisation habituelles semblent inefficaces.

Cours magistraux, présentations de diapositives, webinars, formations en ligne sont autant de vecteurs d’apprentissage qui peinent à trouver leur public sur le sujet de la cybersécurité. Nous nous sommes demandés pourquoi ces vecteurs étaient si peu efficaces, et surtout s’il était possible de trouver une meilleure approche ?

Le constat est en réalité assez simple, c’est le manque d’implication de chaque personne, couplé à une incompréhension de la rigueur des consignes données par l’entreprise, qui conduit à un désintérêt du sujet et à l’émergence de risques. Il nous a donc semblé pertinent d’identifier le moyen d’impliquer la personne et lui faire comprendre qu’elle était une composante essentielle de la politique de cybersécurité.

Partant de là, il nous a semblé que le jeu était un choix naturel pour atteindre cet objectif car cela permet de sensibiliser la personne, on parlera d’ailleurs directement du.de la joueur.euse, et lui faire prendre conscience qu’elle est partie prenante du sujet. En plus, le jeu introduit une vraie motivation, un challenge qui permet de mieux retenir car il crée « des conditions favorables à l’apprentissage et, en ayant un impact positif sur les apprentissages cognitif, affectif et psychomoteur […], le jeu motive l’apprenant, structure et consolide les connaissances »3.

Il existe de très nombreuses études montrant un lien de causalité entre le jeu éducatif et le renforcement de l’apprentissage. C’est donc après cette anlayse de l’état de l’art que nous avons choisi un type de jeu particulier : l’escape game (un concept qui vise à convoquer 4-5 joueurs dans une pièce avec pour but de sortir de la pièce en résolvant une série d’énigmes, le tout en maximum 1 heure). Il nous a semblé que l’escape game avait l’avantage de pouvoir s’inscrire dans le cadre et les règles de l’univers de l’entreprise. Autrement dit, il permettait de faire directement un lien entre le jeu, tel que vécu par les joueur.euse.s, et l’espace de travail, cotoyé quotidiennement par ces mêmes personnes.

Nous avons donc suivi ce projet de créer des mises en situations physiques où chaque participant.e serait acteur.trice de son devenir et pourrait appréhender la cybersécurité sous un angle nouveau. Toute la difficulté de la création d’un escape game éducatif était donc de créer un scénario qui serait naturel pour les joueur.euse.s tout en trouvant un équilibre entre les aspects ludiques et pédagogiques.
 

La création d’un escape game éducatif

 
Suite à ces constats, nous avons décidé de créer notre société, Kaïno, afin de proposer une nouvelle expérience associant jeu et sensibilisation à la sécurité informatique en entreprise.

Pour designer cette nouvelle expérience, il a fallu associer, tout en conservant les codes de l’escape game, des concepts de game design et de cybersécurité, afin de créer un jeu accessible à une population large et dont l’expérience de jeu serait la meilleure possible. Nous avons donc créé des scénarii jouables par des personnes n’ayant que les notions simples d’utilisation de l’informatique.
 

Le game design

 
Créer une bonne expérience de jeu éducatif nécessite un certain nombre de critères issus une fois de plus des sciences sociales :

Les applications doivent inclure un objectif pédagogique clair ;
Les projets doivent intégrer un large éventail d’objectifs d’apprentissage ;
Le rôle de l’enseignant.e in situ doit être pris en compte.

En plus de ces éléments, qui permettent de créer l’aspect pédagogique de l’expérience, il faut que le jeu soit adapté aux joueur.euse.s, qu’il ne soit pas trop difficile pour ne pas être frustrant mais pas non plus trop simple et donc inintéressant. Le but est d’atteindre un état d’équilibre appelé le flow. Il est probable que vous ayez déjà ressenti cet état lorsque vous étiez totalement plongé.e dans une activité, perdant toute notion du temps qui passe.
 

L’escape game

 
Fort.e.s de tous ces constats, nous avons commencé à créer un scénario se déroulant dans un open space analogue à n’importe quel espace de travail de façon à ancrer l’aspect sensibilisation.

À partir du cadre établi, nous avons réfléchi aux différents points à aborder, c’est-à-dire les dangers les plus souvent rencontrés en entreprise et leurs les bonnes pratiques associées (ex : les mots de passe, l’intégrité physique des objets, le social engineering4, la gestion des mails, le phishing5 etc…). Une fois les points à aborder définis, nous avons créé un ensemble de petites mises en situation qui pourraient être intégrées à un scénario plus large.

La création du scénario est certainement l’étape qui a été la plus difficile car il a fallu trouver un enchaînement naturel des points de sensibilisation qui permette au.à la joueureuse de vraiment s’inscrire dans le jeu. Pour nous aider dans la conception de chaque scénario, nous avons utilisé plusieurs outils. Dans un premier temps, nous avons créé une fiche descriptive pour chaque point à intégrer au scénario incluant l’énigme à résoudre, l’aspect de sécurité informatique à retenir et sa place dans le scénario. Une fois tous ces éléments définis, nous avons représenté sous forme d’organigramme (voir la figure ci-dessous) une vision d’ensemble du scénario afin d’être en capacité de suivre aisément l’avancé des joueur.euse.s.

Figure – Enchaînement des énigmes pour un scénario

Cet organigramme illustre le lien entre les différents personnages du scénario, le matériel de la salle et les énigmes. On peut y voir en bleu les 4 postes de travail, représentant le point de départ de la plupart des énigmes liés aux 4 personnages du scénario. On peut noter ainsi de nombreux échanges d’informations (représentés par les flèches) entre les différents postes permettant de résoudre les énigmes (en rouge). Ce schéma illustre la nécessité pour les joueur.euse.s de communiquer leurs découvertes respectives afin de pouvoir avancer dans le scénario.

Pour travailler plusieurs dimensions de la sécurité informatique, il a été décidé de créer deux scénarii différents mais complémentaires : l’un où la.le joueur.euse joue l’attaquant.e d’une entreprise, la.le joueur.euse doit voler les données les plus confidentielles de celle-ci et l’autre où la.le joueur.euse est responsable de la sécurité informatique qui doit sécuriser son entreprise avant l’arrivée de potentiel.le.s attaquant.e.s.

Les deux scénarii permettent donc d’explorer à la fois les bonnes pratiques sous l’angle du quotidien (ce qui renvoie à la vie professionnelle) mais également sous l’angle de la menace (ce qui ouvre des perspectives sur l’approche du.de la pirate informatique), donnant ainsi un réel fondement et une légitimité aux bonnes pratiques de sécurité, qui deviennent une nécessité plus qu’une contrainte.

Chaque séance commence par un briefing afin de donner aux participant.e.s tous les éléments nécessaires au bon déroulement du jeu : définition du scénario (attaquer ou défendre l’entreprise) et leurs objectifs (résoudre les énigmes en 1 heure maximum). Un debriefing est fait systématiquement à l’issue du jeu afin de faire le point sur ce que les joueur.euse.s ont retenu et pensé de l’escape game. Ce debriefing est extrêmement important car il permet de recentrer toute l’expérience sur l’aspect pédagogique et de consolider les connaissances latentes développées pendant le jeu, notamment en mettant des mots sur l’expérience sensible ressentie.

Une fois les différents scénarii établis, nous avons entrepris de les faire tester par un large panel de personnes, le but étant de voir les retours des personnes diverses : certain.e.s ayant peu ou aucune connaissance en informatique et d’autres ayant quelques notions de cybersécurité. Ainsi nous avons pu recueillir des avis venant de sources très différentes pour être sûr.e.s que notre escape game soit adapté.

Cette étape capitale a permis d’ajuster la jouabilité des scénarii de façon à se rapprocher aux mieux des divers prérequis évoqués précédemment. Heureusement nous n’avons pas eu à faire de grandes modifications, la plupart des joueur.euse.s étant satisfait.e.s aussi bien de la difficulté du jeu que de la balance entre les aspects ludiques et didactiques. Les retours ont été globalement très positifs, ce qui nous a conforté dans notre idée que cette nouvelle méthode d’apprentissage avait un réel intérêt et fonctionnait sur le terrain. À ce jour, plus de 200 personnes ont participé à cette sensibilisation. Le taux de réussite, équivalent sur les deux scénarii, approche les 90%.

Aujourd’hui nous proposons ce service à divers organismes aussi bien privés que publics, fort.e.s de nos réussites passées avec des entreprises telles que Thalès, Airbus Defense & Space, Spie ICS ou bien iSphère. Les escape games prennent donc le pari d’une nouvelle approche de la sensibilisation dans un domaine où le besoin est aujourd’hui énorme et devrait le rester pendant encore des années. Les retours des clients montrent que c’est une réussite et que cela soude les équipes tout en atteignant le but de la sensibilisation.

Nous continuons sans cesse d’améliorer nos formations, avec notamment dans le contexte difficile d’aujourd’hui, un scénario en ligne qui est en préparation.
 

L’œil de la revue Third

 
Vous avez l’impression de beaucoup entendre parler de cybersécurité mais de ne pas comprendre les risques que vous cotoyez au quotidien ou de ne pas savoir les bons réflexes à adopter ? Rassurez-vous, c’est le cas de beaucoup de monde et la sensibilisation à ces sujets en entreprise reste faible, comme en témoignent les nombreuses attaques. C’est également le constat de Barbara Joannes et Solal Besnard qui ont créé Kaïno, une société qui créé des escape game autour de la sécurité informatique dans une perspective pédagogique. Nous espérons pouvoir y jouer prochainement !



1 | https://www.pwc.fr/fr/espace-presse/communiques-de-presse/2018/fevrier/la-cybercriminalite-devient-la-fraude-la-plus-frequemment-signal.html. (Retour au texte 1)
2 | https://www.kaspersky.com/blog/the-human-factor-in-it-security/. (Retour au texte 2)
3 | Sauvé Louise, Renaud Lise & Gauvin Mathieu (2007). « Une analyse des écrits sur les impacts du jeu sur l’apprentissage ». Revue des sciences de l’éducation, vol. 33, n° 1, p. 89–107. (Retour au texte 3)
4 | Une pratique de manipulation à des fins d’escroquerie. (Retour au texte 4)
5 | Technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. (Retour au texte 5)

partager cet article

Entretien avec Alix Cazenave, conseillère en relations publiques et membre du conseil scientifique de l’Institut de la souveraineté numérique

 

Third (T) : Grâce à votre expérience, vous avez une connaissance fine des logiciels, de la gestion de crise et de la sécurité informatique. Pouvez-vous nous parler des interactions entre les notions de sécurité et de souveraineté́ dans le numérique ?

 
Alix Cazenave (AC) : On dit que la souveraineté est la qualité de l’État de n’être obligé ou déterminé que par sa propre volonté. Dans l’espace numérique, la souveraineté n’est pas du tout une chose évidente car les repères traditionnels sont difficilement transposables. Tout d’abord, le monde numérique ne connaît pas de frontières physiques, ce qui rend la notion de territoire plus difficile à définir. Ensuite, il n’y a pas d’infrastructures sur lesquelles un État peut se reposer car les réseaux sont interconnectés et beaucoup d’acteurs, privés et publics, coexistent. Enfin, il n’y a pas réellement de lois qui régissent le cyber-espace. Son équilibre repose plutôt sur un gentlemen’s agreement entre les opérateurs qui s’efforcent de répondre à l’impératif technique.

La sécurité est l’objectif premier de la souveraineté. On est souverain lorsqu’on peut protéger ses frontières, la nation et ses membres. Or, dans le numérique, il est difficile de déterminer le territoire à défendre mais il est aussi complexe d’identifier ses contreparties. On n’est jamais sûrs de l’identité d’une personne et seuls des moyens cryptographiques (adossés à des processus conventionnels) permettent d’authentifier un interlocuteur. À l’inverse, il est assez facile pour un attaquant qualifié de dissimuler son identité et son origine géographique. Certains laissent même à dessein de faux indices afin de brouiller les pistes. Cette dimension est critique lorsqu’on considère les cyber-attaques puisqu’il devient très complexe de connaître leur origine et quasiment impossible d’identifier leurs auteurs avec certitude.

Face à cela, les États décident de s’armer et de se doter de capacités numériques importantes pour être, autant que possible, en position de se défendre. Certains, comme les États-Unis, vont jusqu’à mettre en place une logique de hack back (cyber-riposte) en espérant dissuader les assaillants. Cependant, cette stratégie est délétère car, outre la difficile identification de l’attaquant (ce qui rend la réplique difficilement légitime), des représailles systématiques ont pour conséquence d’exacerber les tensions.

D’une certaine manière, on retrouve à peu près la même logique que la course à l’armement nucléaire au XXème siècle où tout le monde veut s’armer et espérer avoir des capacités dissuasives. À mon sens, les États devraient plutôt favoriser le multilatéralisme et chercher à promouvoir la paix dans l’espace numérique afin de protéger leurs intérêts nationaux, ce qui est un gage de souveraineté.
 

T : Quels sont les enjeux de sécurité pour la souveraineté numérique ?

 
AC : La protection des secrets de l’État est un des enjeux majeurs. L’espionnage, qui a toujours été pratiqué entre États, y compris entre alliés, est d’autant plus fréquent dans le numérique que les espions n’ont plus besoin d’extraire physiquement les secrets convoités. Ces attaques ont un coût pour les victimes mais ne sont pas dévastatrices.

Un autre type d’attaque est le sabotage, qui vise, de manière significative, à endommager une installation et impacter son fonctionnement. Les conséquences de telles attaques peuvent être dramatiques lorsqu’elles visent une centrale nucléaire, le réseau d’eau potable ou encore un hôpital. C’est surtout ce type d’attaque qu’on redoute lorsqu’on parle de cyber-terrorisme. La cyber-guerre ne fait pas que des cyber-morts et il peut y avoir des conséquences importantes dans le monde physique.

Enfin, il y a le déni de service, que l’on peut également appeler l’attaque en indisponibilité. Largement employées dans les années 2010 par Anonymous et d’autres collectifs plus ou moins radicaux, ces attaques sont prisées comme moyen de cyber-protestation et peuvent être assez déstabilisantes. Imaginez si le site des impôts était victime d’une telle attaque en pleine période de déclaration : sans être catastrophique, cela causerait un beau désordre et mettrait à mal l’autorité de l’État français.

Pour se prémunir contre de telles menaces, il est impératif de se doter des moyens adéquats pour assurer la confidentialité, l’intégrité et la disponibilité des systèmes d’information critiques.

En France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) est l’autorité de référence en matière de cyber-sécurité. Elle accompagne l’État et les opérateurs d’importance vitale (OIV) dans leur démarche de sécurité et en cas d’incident. Les OIV sont responsables d’installations essentielles au bon fonctionnement et à la survie de la nation dans des secteurs tels que les transports, l’énergie, l’agroalimentaire, la santé ou encore les activités militaires. Un cyber-sabotage chez un OIV peut avoir des conséquences épouvantables. À titre d’exemple, on peut mentionner les paralysies d’hôpitaux à cause de ransomware – le système d’information est verrouillé par l’attaquant jusqu’au paiement d’une rançon – ou des attaques telles que Stuxnet (qui a endommagé une centrifugeuse de la centrale nucléaire iranienne de Natanz) ou Shamoon (qui a paralysé la compagnie pétrolière saoudienne Aramco pendant une semaine en 2012).

Nous sommes ici au cœur de l’interaction entre sécurité et souveraineté. Les mesures de sécurité doivent correspondre aux enjeux. Plus le système d’information est critique, plus sa sécurité doit être élaborée.
 

T : Pensez-vous que seule une puissance technologique peut être souveraine ?

 
AC : La souveraineté numérique dépend de la capacité d’un État à maîtriser de manière indépendante ses systèmes d’information et ses réseaux. Cela suppose un tissu industriel pour fournir les produits et un savoir-faire pour les services, mais aussi des débouchés au sein du marché commun européen.

La France et l’Union européenne disposent de compétences humaines précieuses, et bien qu’elles ne soient pas leaders sur les marchés technologiques elles ont aussi des acteurs industriels solides et reconnus. Aujourd’hui, Nokia, Ericsson ou Altiostar sont en mesure de fournir le marché de la 5G, mais c’est Huawei qui remporte la mise. Que les équipements soient américains comme autrefois ou chinois comme demain, quelle est la vraie différence d’un point de vue de souveraineté ? Le vrai scandale est de se soumettre au dumping des fabricants chinois, au lieu de confier ces marchés à Nokia ou Ericsson comme le font les opérateurs américains, interdits de travailler avec Huawei.
 

T : L’Union européenne peut-elle exister dans ce paysage mondial numérique ?

 
AC : Outre les équipements télécoms dont nous venons de parler, certaines entreprises européennes sont présentes dans la chaîne de valeur. On pense à Siemens, Airbus ou Thalès qui, s’ils n’interviennent pas au niveau de la population générale, disposent des ressources technologiques précieuses pour des débouchés spécifiques (par exemple, le domaine de la Défense et des intérêts de l’État).

Le numérique dans l’Union européenne dépend largement d’entreprises technologiques étrangères, tant dans le matériel que dans le logiciel. Elle a beaucoup d’acteurs économiques mais peu de champions. D’un point de vue macro, ce sont les GAFAM (Google, Apple, Facebook, Amazon et Microsoft) qui dominent le paysage numérique européen. Pour autant l’Europe n’a pas abandonné toute souveraineté numérique.

En effet, le Parlement européen, sous l’impulsion d’initiatives citoyennes et de quelques élus soucieux de ces questions, s’est saisi de la protection des données des citoyens et des entreprises en adoptant le Règlement général sur la protection des données (RGPD). Justifié par l’espionnage sans limites auquel la NSA (agence nationale de sécurité des États-Unis) peut se livrer sur le territoire américain (central pour les GAFAM), ce règlement prévoit que les données des Européens doivent être hébergées dans des serveurs localisés sur le territoire de l’Union et doivent être soumises à ses lois. C’est un acte fort et une première affirmation de souveraineté au profit du grand public.

Par ailleurs, il existe une agence européenne de cyber-sécurité, l’ENISA, qui promeut la coopération entre États membres, propose des bonnes pratiques et offre un cadre de certification des produits de cyber-sécurité pour le marché commun. En février 2020, la Commission européenne a d’ailleurs renforcé cette orientation dans la stratégie « Façonner l’avenir numérique de l’Europe ».

À l’évidence, il y a encore beaucoup à faire mais on ne part pas de zéro.
 

T : Pensez-vous que les politiques ont une connaissance suffisante des enjeux numériques et de souveraineté ?

 
AC : Non, pas du tout. Nos décideurs au plus haut niveau manquent, depuis plusieurs décennies, de vision et d’ambition pour le numérique. Je crois qu’ils considèrent que ce n’est pas un sujet clivant et payant électoralement.

En Europe, le Parlement et la Commission ont trop souvent écouté les groupes de pression (lobbys) représentant les industries américaines du logiciel et du divertissement, en méconnaissance totale de la technique et des enjeux du numérique dans l’Union. Et si des efforts ont été faits pour harmoniser le marché des télécoms, l’Union et ses États membres n’ont jamais montré d’ambition pour maintenir ou développer des capacités stratégiques en matière de matériel ou de logiciel – hormis pour les secteurs de la sécurité et de la défense, qui échappent à la compétence de l’Union.

En France, des entreprises de premier plan (comme Alcatel ou ST Microelectronics) ont perdu de la vitesse et ne sont plus des acteurs de référence. D’autres sont encore importantes aujourd’hui, surtout parmi les prestataires de défense (comme Dassault ou Airbus). Globalement, le pouvoir politique ne s’est pas rendu compte qu’il était stratégique de maintenir et de développer du matériel souverain pour nos besoins nationaux.

Ce retard industriel n’est pas non plus compensé par une grande performance dans le domaine des logiciels. En effet, le tissu français peine à faire émerger des entreprises au-delà du marché français, de sorte que les éditeurs nationaux ne s’imposent pas comme des références. Il y a eu des sursauts de souveraineté et de politique industrielle, comme le « Grand Emprunt » et le projet de « Cloud souverain » mais ce furent des échecs patents. L’intention était pourtant louable.

Un des problèmes majeurs est que l’État a confié les clés du projet à de grandes entreprises (en l’occurrence Thalès et Orange) alors que l’expertise et la vision se trouvent dans les petites entreprises. Malheureusement, la France n’a pas la culture du risque. Tant que nos talents resteront sous la coupe de nos mastodontes, il sera difficile de faire émerger des champions. Les investisseurs ont également une lourde responsabilité dans notre retard. En ne prenant pas en compte les ambitions globales de nos start-ups, en limitant leur apport à la taille du marché français, ils les condamnent à végéter sur un marché étriqué, ou à déménager en Californie pour pouvoir prendre leur essor.

La cyber-sécurité et la souveraineté numérique échappent largement aux politiques qui considèrent souvent ce domaine comme une affaire de geeks. Fort heureusement, pour les enjeux de sécurité nationale ils écoutent les conseils de personnes très qualifiées au sein de l’appareil d’État. Mais au bout du compte, je trouve que la France, comme l’Union européenne, n’est pas une puissance technologique suffisamment indépendante pour prétendre être en complète maîtrise de son destin numérique.
 

T : Y a-il selon vous une stratégie à suivre pour devenir une puissance souveraine dans le numérique ?

 
AC :On pourrait commencer par définir un objectif. Que faut-il pour se prétendre une puissance numérique souveraine ? De quoi répondre aux besoins fondamentaux de l’État et de la Nation sans avoir recours à des offres étrangères – soit du matériel, du logiciel et des ressources humaines qualifiées.

À défaut de maîtriser l’ensemble de la chaîne, ce qui constitue un retard considérable à rattraper, nous pouvons nous spécialiser dans des domaines où nous avons l’avantage. Israël a su développer son marché des technologies de cyber-sécurité, et en est aujourd’hui le deuxième exportateur mondial.

Le marché français de la cyber-sécurité a longtemps souffert du fait que ce n’était pas un sujet grand public. Les utilisateurs considèrent encore souvent la sécurité comme une gêne et les entreprises comme un coût. Une prise de conscience se fait progressivement, notamment grâce à la médiatisation d’incidents comme des fuites de données à grande échelle et à la responsabilisation des acteurs privés vis-à-vis des données de leurs utilisateurs. Parallèlement, l’ANSSI s’efforce de poser un cadre de confiance pour développer tant l’offre que la demande. La certification permet de labelliser des produits et services selon des niveaux d’exigences ; en la rendant accessible aux PME, elle rend l’offre plus lisible et diverse. En sensibilisant les acteurs économiques aux enjeux de sécurité, elle stimule la demande.

Reste la question des ressources humaines. Pour développer un marché il est essentiel de proposer des formations correspondantes. Aujourd’hui un des freins au développement de la cyber-sécurité en France est le manque de compétences. D’abord, il faudrait commencer à enseigner les bons réflexes aux jeunes dès la primaire au lieu de n’aborder la sécurité qu’en cursus de spécialisation à bac+3. Ensuite, un nombre croissant d’universités et d’écoles d’ingénieur proposent des formations en sécurité et c’est très bien. Mais un cursus d’enseignement supérieur prend plusieurs années à compléter, et il faut encore quelques années pour acquérir de l’expertise. Cela fait long à attendre pour disposer de ressources qualifiées.
 

T : Nous avons évoqué les rapports entre États mais, en regardant plus précisément, on se rend compte qu’ils ont recours à des entreprises privées pour gérer des dimensions numériques stratégiques. Est-ce une menace pour la sécurité des États ?

 
AC : Comme toute organisation, l’État ne peut pas tout faire lui-même, il est naturel que des entreprises privées travaillent avec ses services. Là où il faut être extrêmement vigilant, c’est quand il s’agit de dimensions stratégiques pour la nation. De mon point de vue, pour les domaines sensibles, il ne faudrait pas avoir recours à des solutions étrangères.

Cependant, en pratique, on constate des situations de dépendance avec des solutions non nationales et extra-européennes. Je pense aux ministères de la Défense et de l’Éducation Nationale qui ont tissé des liens très proches avec Microsoft et qui, pour moi, dépassent l’entendement (non-respect des règles de marchés publics, des accords open bar très coûteux…). De manière plus large, ces incohérences reflètent un certain attrait pour la facilité et le confort qu’offrent ces partenariats, plus qu’un souci d’intégrité et de souveraineté.

Une autre aberration est le fait que Palantir Technologies, société américaine réputée très proche de la CIA, parvienne à travailler avec Direction générale de la sécurité intérieure (DGSI) ou des entreprises privées ayant des activités stratégiques pour la souveraineté (par exemple, Airbus). Quelles que soit les mesures prises pour compartimenter leur rôle, une telle collaboration a pour moi le parfum du loup dans la bergerie. La DGSI est d’ailleurs consciente du problème puisqu’elle l’annonce comme une solution temporaire en attendant une offre française.

La vigilance doit être de mise car tout le monde ne doit pas pouvoir travailler avec l’État ou les entreprises clés pour la sécurité nationale. On assiste ainsi à de véritables luttes pour le contrôle ou la mise en place de partenariats avec des sociétés très avancées sur des domaines stratégiques. En 2000 nous avons laissé TPG (Texas Pacific Group, proche de la CIA) acquérir Gemalto, spécialiste mondial de la carte à puces, finalement revenu dans le giron français l’an dernier suite à son acquisition par Thalès. Plus récemment, l’État s’est mobilisé pour que Thalès et Safran acquièrent Photonis (une société spécialisée dans la vision nocturne) dans le but d’empêcher l’américain Teledyne de le faire.
 

T : Comment faire fonctionner les partenariats public-privé sans compromettre la souveraineté ?

 
AC : Une bonne manière de le faire est d’appliquer un principe assez simple : l’argent public doit servir à financer des logiciels publics. En pratique, cela signifie de privilégier des solutions sous licence libre : au lieu de payer une rente (les licences) pour avoir un droit temporaire d’utilisation, nous pouvons payer pour de la valeur ajoutée (développement spécifique et service) et que l’État reste maître du code installé sur ses systèmes d’information, en capacité de le faire évoluer selon ses besoins, et libre de le republier (ou pas) pour que d’autres en profitent et l’enrichissent à leur tour. La France et l’Europe sont championnes en nombre de développeurs en logiciels libres, de sorte qu’il est vraiment dommage de ne pas s’appuyer davantage sur cet axe stratégique.

On ne peut pas se reposer exclusivement sur des solutions extra-européennes et propriétaires dont nous n’avons pas la maîtrise. Ce n’est pas sain ni sur le plan technique, ni sur le plan politique. À titre d’exemple, les liens entre Microsoft et l’État reflètent à la fois un certain favoritisme qui permet à Microsoft de contourner les procédures et une dépendance de l’État qui renouvelle les contrats par facilité. Il faudrait pouvoir développer des solutions différentes pour réduire notre dépendance en promouvant des compétences nationales et européennes. Il existe un large éventail de solutions en logiciels libres qui peuvent être opérées par des prestataires européens. Cela suppose évidemment de regarder les choses différemment.

La perpétuation des contrats avec Microsoft, outre les enjeux de sécurité et de confidentialité, renforce sa position dominante et constitue un obstacle à la diversité de l’offre. Si on promeut sans cesse les outils Microsoft et qu’on forme les jeunes sur ces outils avec le soutien de l’État, on promeut un écosystème propriétaire qui fonctionne en cercle fermé. Ce faisant, on accepte la nécessité de payer des licences pour utiliser des logiciels sur lesquels nous n’avons aucun droit d’étude et de modification, et de devoir passer par des prestataires agréés. C’est un obstacle à notre liberté de marché et à la liberté de choix de nos consommateurs.

Pour autant, il ne suffit pas de vouloir un champion pour qu’il existe. Prenons l’exemple de Qwant qui est un moteur de recherche français et dont on a essayé de faire un leader européen. Malgré l’attention qui lui est portée et les financements qui lui sont octroyés, il peine à passer à l’échelle ; ses performances sont insatisfaisantes et il continue de se reposer sur Bing pour calculer ses résultats (le moteur de recherche de Microsoft). La méthode américaine est très différente : pour répondre à un besoin technologique spécifique, les instituts fédéraux de financement de l’innovation (civils ou militaires) n’hésitent pas à octroyer des budgets de recherche à des poids plume s’ils ont des compétences concordantes. C’est ainsi que le National Science Fund a financé le premier algorithme de Google et permis la fondation de ce futur géant.

La leçon à tirer est la suivante : si on veut qu’un acteur européen soit fort, il faut qu’il soit performant. Selon moi, les investissements de l’État ne suffisent pas à élever au rang de champions certains acteurs numériques. L’État ne doit pas décréter l’émergence d’un champion, il ne peut que la soutenir. Au lieu de se considérer simplement comme utilisateur de solutions numériques, l’État devrait se considérer prescripteur et appréhender sa responsabilité non seulement sur ses propres usages, mais concevoir l’impact de ses décisions dans le paysage numérique, sur la population entière et l’économie nationale. Il faut assumer ce rôle d’orientateur en attribuant des marchés et en favorisant des entreprises nationales.

En conclusion, et pour revenir au sujet de notre entretien, je dirais qu’il y a souveraineté numérique lorsque l’on est en maîtrise de ses enjeux et de son futur. À défaut d’industrie, il faut miser sur les compétences, car ce sont elles qui permettront véritablement de consolider une souveraineté numérique, tant pour la sécurité de l’État que pour celle des citoyens et des acteurs économiques.
 

L’œil de la revue Third

 
Cet entretien avec Alix Cazenave a été essentiel pour préciser la notion de souveraineté et son lien inextricable avec celle de sécurité. Nous avons beaucoup apprécié ses explications aussi précises que pédagogiques, ce qui n’est pas rien pour des questions aussi complexes. C’est pourquoi nous sommes ravis de partager notre discussion avec elle et nous espérons que vous en apprécierez la lecture.

partager cet article

Félix Blanc, docteur en sciences politiques et cofondateur de danaides.org
 

La complexité de la notion de sécurité numérique provient de la juxtaposition des couches de l’Internet qui obéissent à des logiques différentes et dont l’enchevêtrement brouille les frontières territoriales et juridiques. Ces couches assurent la quasi-totalité de leur interconnexion transcontinentale par les câbles sous-marins qui véhiculent la très grande majorité des données numériques.

De ce fait, la dépendance physique du cyberespace réintroduit le rôle de la géographie et de l’histoire des télécommunications dans notre compréhension de la sécurité du cyberespace. La vulnérabilité de ces infrastructures redonne également du pouvoir aux acteurs étatiques qui utilisent des stratégies révisionnistes de piratage ou d’intimidation. En conséquence, la sécurité numérique ne peut pas se penser indépendamment d’enjeux géopolitiques qui englobent ceux du cyberespace, où se joue aussi la défense des droits humains.

 
La complexité de la notion de sécurité numérique provient de la juxtaposition des couches de l’Internet qui obéissent à des logiques différentes, dont l’enchevêtrement brouille les frontières territoriales et juridiques1. Souvent appréhendée au travers de ses couches logicielles et sémantiques, la sécurité du cyberespace ne peut se comprendre indépendamment de celle des réseaux physiques du cyberespace, qui est défini par l’ANSSI comme « l’espace de communication constitué par l’interconnexion mondiale d’équipements de traitement automatisé de données numériques2 ». Ces réseaux physiques assurent la quasi-totalité de leur interconnexion transcontinentale par les câbles sous-marins. Leur fiabilité, leur sécurité et leur faible coût comparé aux liaisons satellites en font des infrastructures vitales pour la globalisation.

Ces infrastructures constituent également un enjeu de souveraineté. La déterritorialisation de l’insécurité numérique, induite par des phénomènes hétérogènes comme le cyberespionnage, la cybercriminalité ou l’emprise des plateformes géantes comme les GAFAM, se heurte de plus en plus à des stratégies étatiques de re-territorialisation des outils de la sécurité numérique, qui permettraient aux États d’exercer leur “souveraineté technologique »3. Dans cette perspective, les routes empruntées par les câbles sous-marins au fond des mers et des océans, comme leurs points d’atterrage sur le littoral, deviennent un enjeu de premier plan en termes de cybersécurité, de développement économique et d’indépendance géostratégique4. Si ces routes n’ont pas beaucoup changé depuis l’invention du télégraphe au 19e siècle, si ce n’est qu’elles s’étendent désormais sur plus d’un million de kilomètres, les enjeux qu’elles revêtent ont considérablement évolué avec le développement exponentiel d’Internet au cours des trente dernières années. Elles apparaissent au cœur des luttes de pouvoir pour le contrôle et la sécurisation des flux numériques. Ce poids grandissant des infrastructures sous-marines est également renforcé par l’utilisation croissante de serveurs distants installés par les GAFAM sur tous les continents pour stocker nos données, en lieu et place des serveurs locaux (aux premiers rangs desquels nos propres ordinateurs)5. Cette tendance devrait se poursuivre avec la diffusion très large du numérique à toutes les activités humaines, entraînant une dépendance accrue aux infrastructures qui en véhiculent la croissance tous azimuts (5G, objets connectés, intelligence artificielle).

La dépendance physique du cyberespace réintroduit le rôle de la géographie et de l’histoire des télécommunications dans notre compréhension de la sécurité du cyberespace (I). La vulnérabilité de ces infrastructures redonne également du pouvoir aux acteurs étatiques qui utilisent des stratégies révisionnistes de piratage ou d’intimidation (II). En conséquence, la sécurité numérique ne peut pas se penser indépendamment d’enjeux géopolitiques qui englobent ceux du cyberespace, où se joue la défense des droits humains (III).
 

Le retour de la géographie au coeur du cyberespace

 
Les câbles sous-marins, vecteurs physiques des flux d’information, sont vitaux pour le fonctionnement de l’économie-monde. Avec les porte-conteneurs, ils constituent la courroie de transmission de l’économie numérique et mondialisée, celle de la Division Internationale des Processus de Production (DIPP), dont les routes sont largement dépendantes de la géographie de la mer et des océans6. Les connexions sous-marines participent au bouleversement de la notion de distance en rapprochant virtuellement les points nodaux du réseau internet mondial. Cette économie s’est mise en place dans la deuxième moitié du XIXème, quand ont été déployés les premiers réseaux de télégraphe, utilisées par les puissances coloniales pour défendre leurs intérêts stratégiques et commerciaux sur de longue distance. La Grande-Bretagne, qui était à cette époque une superpuissance maritime, s’est ainsi lancée dans un vaste programme de construction de câbles sous-marins destinés à alimenter ce qui est devenu le centre névralgique de l’économie mondiale et des communications : Londres. Au XXème, les États-Unis vont prendre le relai de la Grande-Bretagne et jouer un rôle déterminant dans les avancées technologiques qui ont permis l’expansion rapide d’Internet au cours des trente dernières années.
 

 

Si les technologies ont évolué, la géographie des câbles sous-marins est similaire à ce qu’elle était à ses origines, puisque les routes empruntées au 19ème siècle le sont encore aujourd’hui. La carte mondiale des câbles met ainsi en évidence la prédominance actuelle de hiérarchie entre les lieux de la mondialisation. Elle montre une forte concentration de câbles reliant les États-Unis au Japon et à l’Europe. La géopolitique des câbles illustre également la montée en puissance de l’Asie, à mesure que se densifie le réseau de câbles entre les mégalopoles asiatiques, ce dont témoigne la multiplication des projets d’investissements dans la région, dont a directement bénéficié Marseille, véritable hub entre l’Asie, l’Europe et l’Afrique7. La propriété et le contrôle des câbles est devenu un enjeu majeur pour le contrôle du cyberespace. La répartition des investissements privés dans les câbles sous-marins a aussi évolué et représente un enjeu stratégique pour les États, avec la montée en puissance des GAFAM, dont les investissements représentent désormais près de la moitié des nouveaux investissements8.
 

 

Le cyberespace comme terrain de jeu de stratégies révisionnistes

 
Ces infrastructures donnent également du pouvoir aux acteurs qui utilisent des stratégies révisionnistes, qui visent à remettre en cause les équilibres de la fin de la guerre froide, en violation des traités internationaux, à l’instar de la Russie, dont les sous-marins représentent une menace pour les réseaux de câbles déployés en Atlantique Nord et en Méditerranée. L’océan dans lequel sont déroulés les câbles sous-marins a toujours représenté une menace pour la préservation des lignes en profondeur9. Les caractéristiques du milieu marin et son exploitation par l’homme ont en effet créé un cadre hostile au maintien en état de cette infrastructure. Les espaces maritimes sont au cœur de tensions croissantes, par leur rôle central dans la mondialisation des flux de toutes natures, y compris numériques (câbles sous-marins), les ressources qu’ils contiennent et le développement des capacités navales et aériennes de frappe à distance.10 Au large de la Somalie, la rupture d’un câble en 2017 a ainsi déconnecté toute la région pendant des semaines et causé des pertes financières estimées à 10 millions de dollars par jour. En 2005, l’International Cable Protection Committee évaluait, à 1,5 million de dollars par heure la perte économique ressentie à la suite d’une coupure de câble. Le chiffre a presque doublé en 10 ans et pourrait continuer à augmenter à mesure de l’interdépendance croissant de sociétés numériques au 21e siècle. On estime à 300 par an le nombre d’interférences, volontaires ou involontaires, qui perturbent le trafic d’Internet qui transitent par ces câbles.

Les câbles sous-marins constituent dans ce contexte une cible privilégiée pour les cyberattaques, que ce soit en mer de Chine, en Atlantique Nord, en Méditerranée ou dans l’océan Indien11. Dans son étude prospective Chocs futurs, le Secrétariat général de la Défense et de la Sécurité nationale (SGDSN), a ainsi souligné que les « câbles sous-marins assurant les communications numériques deviennent de potentielles cibles dans le jeu des puissances ». En décembre 2017, le centre de réflexion britannique Policy Exchange a publié un rapport sur ce nouvel épisode de tensions diplomatiques entre la Russie et les États-Unis12. Selon ce rapport, la stratégie russe n’exclut plus de couper les câbles sous-marins de communication en cas de conflit, comme cela fut le cas lors de l’annexion de la Crimée. Les puissances révisionnistes comme la Russie pourraient donc utiliser la vulnérabilité du réseau pour interrompre les communications dans une zone cible, sans avoir nécessairement besoin de cyber armes coûteuses comme les techniques d’attaques par déni de service. Pour causer des pertes conséquentes, il suffit en effet d’un accès physique à l’infrastructure de communication et d’une expertise des forces spéciales. D’après l’amiral Stavridis, cité dans le rapport, l’Atlantique, jusqu’alors « caractérisé par une quasi-suprématie de l’Otan » est désormais devenu un espace que « la Russie conteste activement au travers d’une doctrine navale renaissante ». Selon lui, nous devrions nous préparer à une augmentation des actions hybrides dans le domaine maritime, non seulement en provenance de la Russie, mais aussi de la Chine et de l’Iran. Cela étant, la hausse de l’activité des navires russes près de ces câbles sous-marins telle qu’elle a été rapportée peut obéir à une autre motivation : collecter du renseignement, comme le font les Occidentaux, à commencer par les États-Unis qui, pour cela, ont utilisé le sous-marin USS Jimmy Carter pendant la Guerre Froide.
 

Le rôle pionnier des programmes de surveillance des États-Unis

 
Ces stratégies révisionnistes doivent en effet se comprendre dans le contexte des révélations de l’ancien agent de la NSA Edward Snowden, qui a révélé en 2013 l’existence de collectes massives de données réalisées par le gouvernement américain13. Si le rôle des GAFAM et des entreprises de télécommunications américaines a été bien documenté et publiquement dénoncé, entraînant des ripostes juridiques comme celles de l’Union Européenne (arrêts de la CJUE Schrems 1 et 2), le rôle des câbles sous-marins, via notamment, les programmes d’espionnage Upstream, n’a pas encore donné lieu à des réactions similaire, hormis les annonces en 2014 de l’ancienne présidente du Brésil Dilma Rousseff, qui n’ont pas réellement été suivies d’effets14. Ces révélations ont fait peser un soupçon durable sur les réseaux physiques d’Internet, qui seraient au service de la domination des États-Unis et de leurs alliés – la France jouant d’ailleurs un rôle de premier plan en raison de sa situation stratégique15.

Le cadre juridique qui encadre la surveillance américaine à partir des câbles sous-marins est le Foreign Intelligence Surveillance Act (FISA), mais le meilleur atout des États-Unis réside dans la « Team Telecom », une équipe de juristes dépendant du FBI et du Department of Justice (DOJ), qui a pour objectif d’empêcher de grands groupes ou des gouvernements étrangers de prendre le contrôle des câbles, et donc des programmes de collecte de données upstream de la NSA. L’administration américaine a ainsi fait échouer en 2013 le déploiement d’un nouveau câble transatlantique New York-Londres, auquel devait prendre part l’entreprise chinoise Huawei. Il faut rappeler qu’aux États-Unis, le président a toujours eu l’autorité d’accorder ou de retirer les licences pour l’atterrage d’un câble sous-marin, une coutume entérinée par le Cable Landing Licenses Act qui soustrait ces décision, passées dans le plus grand secret, au contrôle du Congrès américain. Dernier épisode en date, l’administration américaine a demandé le 17 juin 2020 à la Commission fédérale des communications d’arrêter la construction du Pacific Light Cable Network, le premier câble internet sous-marin reliant directement les États-Unis à Hong Kong, pour des raisons de »sécurité nationale ».
 

Conclusion

 
La vulnérabilité des infrastructures sous-marines redonne du pouvoir aux acteurs étatiques qui utilisent des stratégies révisionnistes de piratage ou d’intimidation, révélant ainsi l’insuffisance de la Convention des Nations Unies sur le droit de la mer (1982). Une solution serait de rédiger un nouveau traité et de créer une instance qui garantirait une meilleure protection des câbles sous-marins face à toute forme d’interférences qui puissent être une source de déstabilisation internationale. Comme le montre l’exemple des programmes de la NSA, les câbles sous-marins sont un formidable vecteur de puissance qui permet de convertir une domination géographique, par le contrôle de points stratégiques sur plusieurs continents, en domination économique et politique, en jouant sur toutes les couches du cyberespace. Une stratégie qui semble inspirer les GAFAM, dont le poids grandissant accroît la dépendance du réseau à des acteurs privés qui n’ont aucun intérêt à partager ou à réguler des infrastructures devenues vitales pour leurs activités. Cette présence à tous les étages de l’Internet garantit aux acteurs publics et privés une puissance maximale de déstabilisation des économies et des sociétés. Leur numérisation croissante entraîne également une dépendance accrue qui induit de nouvelles sources d’insécurité. Parmi les pistes à envisager pour diminuer cette dépendance et renforcer la sécurité de nos économies et de nos sociétés, il faut donc considérer des stratégies visant à proposer une meilleure régulation des câbles sous-marins de l’Internet pour s’assurer que leur développement ne se fasse pas aux détriments des droits humains et de la sécurité collective.

Il faut aussi garder à l’esprit l’évolution technologique des satellites de moyenne altitude, qui pourraient rebattre les cartes de la géopolitique du cyberespace. En début d’année, le constructeur aérospatial américain SpaceX a lancé Starlink, un projet d’accès à Internet par satellite reposant sur le déploiement d’une constellation de plusieurs milliers de satellites de télécommunications positionnés sur une orbite terrestre basse. Si ces technologies ont la capacité d’améliorer rapidement la capacité des zones les plus éloignées des points d’atterrage des câbles sous-marins (Afrique Centrale, Amazonie), ils ne peuvent pas être des concurrents sérieux par rapport aux potentialités de la fibre optique, en raison de leurs impacts environnementaux et de leurs limitations techniques, notamment en termes de temps de latence. Grâce à la technologie de multiplexage par répartition spatiale (SDM), les câbles sous-marins ont des capacités largement hors de portée des satellites, à l’instar du câble Dunant reliant les États-Unis et la France, qui transmettra à terme 250 térabits de données par seconde, assez pour transmettre la totalité de la bibliothèque numérisée du Congrès américain trois fois par seconde.

Plutôt que d’investir dans une technologie coûteuse et source de pollutions visuelles, il serait donc préférable de déployer sur tous les continents des réseaux de fibre optique qui permettent de réduire la fracture numérique entre les régions disposant d’un accès direct aux câbles sous-marins, et celles qui en sont éloignées. La construction de ce réseau commun doit se faire avec le concours de nombreux pays et d’outils de régulation internationaux, une démarche certainement plus favorable au multilatéralisme et à la sécurité collective que des projets démesurés au service des ambitions hégémoniques et unilatérales de la Chine ou des États-Unis.
 

L’œil de la revue Third

 
Voici une plongée documentée et précise sur un enjeu-clé pour la sécurité du cyberespace : les câbles sous-marins. Ces infrastructures physiques sont souvent absentes du débat sur la sécurité à l’ère de la révolution numérique alors qu’elles en sont la clé de voûte. L’article de Félix Blanc nous propose une brillante mise au point sur un sujet crucial pour l’équilibre géopolitique de notre planète.



1 | Poupard, Guillaume. « Le modèle français de cybersécurité et de cyberdéfense », Revue internationale et stratégique, vol. 110, no. 2, 2018, pp. 101-108. 27. (Retour au texte 1)
2 | Agence nationale de la sécurité des systèmes d’information, 2011, « Défense et sécurité des systèmes d’information, Stratégie de la France », Paris. (Retour au texte 2)
3 | L’usage du concept de sécurité numérique s’est accéléré après les révélations Snowden de 2013. Didier Danet et Alix Desforges. « Souveraineté numérique et autonomie stratégique en Europe : du concept aux réalités géopolitiques », Hérodote, vol. 177-178, no. 2, 2020, pp. 179-195. (Retour au texte 3)
4 | https://www.diplomatie.gouv.fr/IMG/pdf/6_carnets_26_dossier_geopolitique_cables__cle43116d.pdf. (Retour au texte 4)
31 | CCDCOE, « Strategic importance of, and dependence on, undersea cables », November 2019. https://ccdcoe.org/uploads/2019/11/Undersea-cables-Final-NOV-2019.pdf. (Retour au texte 5)
6 | Dominique Boullier, « Internet est maritime : les enjeux des câbles sous-marins », Revue internationale et stratégique, vol. 95, no. 3, 2014, pp. 149-158. (Retour au texte 6)
7 | Projets de câbles sous-marins UNITY (2010), the South-East Asia Japan Cable (SJC, 2013), the Asia Pacific Gateway (APG, 2016), et FASTER (2016). Dwayne Winseck, and Robert Pike, Communication and Empire : Media Power and Globalization, 1860–1930, Durham, Duke University Press, 2007. (Retour au texte 7)
8 | https://www.lesechos.fr/tech-medias/hightech/internet-la-lutte-pour-la-suprematie-se-joue-sous-les-oceans-1007151. (Retour au texte 8)
9 | Daniel Headrick, The Invisible Weapon, Londres, Oxford University Press, 1991. (Retour au texte 9)
10 | Camille Morel, « Menace sous les mers : les vulnérabilités du système câblier mondial », Hérodote, vol. 163, no. 4, 2016, pp. 33-43. (Retour au texte 10)
11 | https://www.ihedn.fr/sites/default/files/atoms/files/sgdsn-chocs-futurs.pdf. (Retour au texte 11)
12 | https://policyexchange.org.uk/wp-content/uploads/2017/11/Undersea-Cables.pdf. (Retour au texte 12)
13 | https://www.lemonde.fr/technologies/article/2013/08/23/les-cables-sous-marins-cle-de-voute-de-la-cybersurveillance_3465101_651865.html. (Retour au texte 13)
14 | https://www.diplomacy.edu/blog/connecting-europe-latin-america-revolution-internet-governance. (Retour au texte 14)
15 | https://www.nouvelobs.com/societe/20150625.OBS1569/exclusif-comment-la-france-ecoute-aussi-le-monde.html. (Retour au texte 15)

partager cet article

Entretien avec Justine Atlan, Directrice Générale de l’association e-Enfance.

 

Third (T) : Le numérique et les nouvelles technologies génèrent de nouvelles formes d’atteinte à la sécurité des personnes. Comment définiriez-vous la cyber-violence ? Quelles en sont les différentes formes ?

 
Justine Atlan (JA) : Les cyber-violences sont les violences commises par le biais des outils numériques et nouveaux moyens de communication digitaux.

On pourrait avoir tendance à appeler cela des violences virtuelles, puisque c’est souvent le qualificatif que l’on donne à l’ensemble des faits qui se produisent dans l’espace numérique. C’est là qu’il y a un biais de compréhension qui fait que les gens ont tendance à minimiser très fortement et largement les cyber-violences en considérant qu’elles sont de nature virtuelle et opposées aux violences physiques, ce qui pose des problèmes dans la gestion de ces cyber-violences, en particulier pour les victimes. C’est pour cela que je m’attacherai à ne surtout pas définir les cyber-violences comme des violences virtuelles. C’est l’outil permettant la cyberviolence qui est virtuel. La violence, elle, est bien réelle.

La viralité inhérente aux outils numériques, qui permettent une diffusion massive des informations, est quasiment intégrée à la notion de cyber-violence, parce que l’on ne parlerait peut-être pas de cyber-violences si la diffusion ne passait que par des moyens de communication privés. Par conséquent, la notion d’atteinte à la réputation – qui est la suite directe de la viralité – fait elle aussi partie intégrante de la notion de cyber-violences.

On retrouve aussi la divulgation de données personnelles et l’atteinte à la vie privée dans de nombreuses cyber-violences. On le constate notamment dans les infractions à caractère sexuel (par exemple l’outing, qui consiste à révéler l’orientation sexuelle d’une personne, ou le revenge porn, que l’on a (re)découvert avec l’affaire Griveaux, qui consiste à diffuser des contenus à caractère sexuel sans le consentement de la personne visée ainsi que dans les « raids numériques » (cyber-harcèlement de groupe, réprimé depuis la loi Schiappa) qui sont quasi-systématiquement assortis de divulgations de données personnelles en plus des injures ou menaces. Dans ce dernier exemple, la divulgation de données personnelles (par exemple de l’adresse d’une personne, de son lieu de travail ou d’étude) peut se transformer en violence physique en ce qu’elle incite et permet la commission d’une agression physique à l’égard de la victime du « raid numérique ».

Il convient également de relever que les cyber-violences sont pour l’essentiel des infractions qui préexistaient au numérique. Par exemple, les injures ou la diffamation, que l’on retrouve beaucoup dans les cyber-violences, étaient déjà couvertes par le droit de la presse.

Dans le même temps, de nouvelles infractions ont été « créées » spécifiquement pour les usages numériques. La première est le happy slapping (2008) qui consiste à perpétrer une agression physique dans le but de pouvoir la filmer et la diffuser. Il y a donc trois actes répréhensibles dans le happy slapping : agresser, filmer et diffuser. Ces trois éléments réunis constituent cette cyber-violence qui est la première à avoir exister dans le droit en tant que telle. Ensuite il y a eu la notion d’usurpation d’identité spécifiquement par l’intermédiaire du numérique (loi Loppsi 2, qui a créé le délit d’usurpation d’identité numérique).

En 2014, la notion de cyber-harcèlement a été définie par la loi et est devenue une circonstance aggravante du harcèlement. Ici encore on retrouve les notions de viralité et d’atteinte à la réputation. En effet, en faisant du cyber-harcèlement une circonstance aggravante du harcèlement classique, on reconnait que la diffusion des faits de harcèlement au travers des outils numériques alourdi la peine de la victime qui le devient aux yeux de tous.

En tant que telle, la notion de cyber-harcèlement vise uniquement la répétition d’actes de cyber-violence sur une personne ciblée. Cela peut être très répété dans le temps (martèlement des cyber-violences de manière récurrente et systématique sur une victime, en général le fait d’un seul ou de quelques agresseurs), ou se passer sur un temps court mais avec une forte densité des actes (comme par exemple dans le « raid numérique » où de très nombreux agresseurs vont s’allier et chacun commettre une action de manière concomitante, un peu comme dans un phénomène de lapidation).
 

T : On entend particulièrement parler de la cyber-violence et du cyber-harcèlement s’agissant des enfants et des adolescents. Comment évalueriez-vous la proportion d’enfants et d’adolescents concernés par la cyber-violence ?

 
JA : S’agissant de la cyber-violence, il semblerait que les adolescents et les pré-adolescents ont tous plus ou moins eu affaire à de la cyber-violence, à commencer par des injures qui sont banalisées dans l’utilisation des réseaux sociaux. Mais il s’agit en général d’un acte de cyber-violence, certes désagréable mais ponctuel, qui ne conduit pas la victime à se sentir particulièrement visée.
 
S’agissant du cyber-harcèlement stricto sensu, heureusement il y en a beaucoup moins. On estime que 15% environ des adolescents ont été victimes de cyber-harcèlement. Les chiffres sont assez constants depuis 3-4 ans et ces statistiques sont assez comparables dans la plupart des pays européens.
 
Concernant la différence entre les enfants et les adolescents, plus on est jeune moins il y a de cyber-violence ou de cyber-harcèlement, les plus jeunes étant moins présents sur les outils numériques.
 
Le collège va être la tranche d’âge où l’on va recenser le plus grand nombre de plaintes de jeunes victimes de cyber-harcèlement, en particulier vers 13-14 ans. Il s’agit essentiellement d’atteintes à la réputation, parfois basées sur des faits inventés ou du dénigrement. Les faits de cyber-violence et de cyber-harcèlement au collège accompagnent l’appropriation des usages numériques à cet âge avec un appétit très fort pour les réseaux sociaux et une volonté d’exister (publication et consommation de nombreux contenus, utilisation de plusieurs réseaux en même temps…).
 
Au cours de la période du lycée on va avoir un peu moins de cyber-harcèlement mais, en revanche, les faits sont plus durs, plus installés et éventuellement beaucoup plus à caractère sexuel (le revenge porn étant assez récurrent). Les filles en sont plus victimes, ainsi que les garçons pour des faits d’homophobie.
 
Les écoliers (enfants qui sont à l’école primaire) sont heureusement beaucoup moins victimes de faits de cyber-violence ou de cyber-harcèlement parce qu’ils sont beaucoup moins utilisateurs des outils numériques et théoriquement ne sont pas censés pouvoir utiliser les réseaux sociaux. Néanmoins, on assiste à un rajeunissement des usages, les enfants ont de plus en plus tôt des smartphones ou accès à des tablettes, et les réseaux sociaux (par exemple, TikTok) s’adressent davantage aux plus jeunes.
 
Le harcèlement a toujours existé dans le cadre scolaire, y compris avant l’existence des outils numériques. Ces nouveaux outils numériques (que l’on utilise depuis à peu près 10 ans) ont simplement accentué ce phénomène. Les jeunes ont été les premières victimes de la cyber-violence et du cyber-harcèlement car ils sont les premiers à s’être approprié les réseaux sociaux et à en faire le succès, à la fois parce qu’ils sont curieux des usages et ont moins de notion du risque ; risques que les adultes n’ont pas été capables d’anticiper et d’encadrer faute de connaissance de ces nouveaux usages.
 

T : Est-ce à dire que les adultes ne sont pas concernés ?

 
JA : Les adultes ne sont pas épargnés par la cyber-violence et le cyber-harcèlement. Les personnes publiques (artistiques, médiatiques ou politiques) ont été les premières à s’approprier les réseaux sociaux, et ont ainsi été les premiers adultes confrontés au cyber-harcèlement (plutôt à des « raids numériques ») et à prendre conscience de la violence de ces faits. C’est ce qui a conduit les politiques à s’attaquer à ce phénomène, car ils en ont été victimes eux-mêmes. Cela faisait plusieurs années que l’on avait alerté les pouvoirs publics de ces problématiques qui touchaient les adolescents mais cela ne préoccupait pas grand monde. Il a fallu que des personnes publiques soient victimes pour que le sujet soit pris au sérieux.

Les adultes se sont rendu compte de l’intensité de la violence engendrée par le cyber-harcèlement, même lorsque l’on est adulte, même lorsque l’on est une personne publique, et donc même lorsque l’on est théoriquement armé pour y faire face, la supporter et se défendre. Ce que l’on a essayé d’expliquer à ces adultes est que la souffrance est encore plus grave pour des adolescents qui subissent en général le cyber-harcèlement de la part de gens qu’ils connaissent, qu’ils retrouvent tous les jours au collège ou au lycée et à un âge où tout est mélangé – vie étudiante et vie privée – donc quand on détruit votre image en ligne, on vous détruit tout court et on détruit votre identité.

En définitive, les adultes sont victimes de cyber-harcèlement mais comme ils sont moins utilisateurs des outils numériques que les adolescents, investissent moins leur image et leur identité sur les réseaux sociaux, ils restent moins touchés que ces derniers.
 

T : Quelles sont les conséquences et spécificités de la cyber-violence sur les personnes qui les subissent ?

 
JA : La spécificité du cyber est la viralité, c’est-à-dire une espèce de violence diffuse, avec un écho qui se prolonge, s’agrège et n’a pas de fin dans le temps (on a du mal à supprimer définitivement les contenus sur internet).

Il y a également cette forte atteinte à la réputation que seules les personnalités publiques pouvaient connaitre à l’ère des journaux people. Aujourd’hui tout un chacun peut subir cette surexposition de soi, décidée par des tiers qui vous dévoilent en ligne aux yeux de tous. Cette exposition amplifie les effets de la cyber-violence en elle-même, car non seulement on vous attaque et en plus on le fait devant tout le monde. On humilie donc très profondément les victimes de cyber-violences.

La période actuelle nous a également fait prendre conscience que l’on ne peut plus vivre sans dimension numérique et que nos vies vont de manière croissante prendre place au sein de l’espace numérique. Donc, quand on est détruit dans l’espace numérique en termes d’image, de réputation ou d’identité, c’est très destructeur et il sera d’autant plus difficile de s’en relever. Évidemment, quand on est adulte, on va davantage pouvoir y faire face car on s’est construit avant. Pour les jeunes c’est très différent, ils grandissent avec et il y a cette impression que c’est collé à eux et qu’ils ne vont pas pouvoir s’en défaire.

On retrouve bien évidemment chez les victimes de cyber-violence et cyber-harcèlement des sentiments associés aux violences physiques. On compare souvent les victimes de cyber-harcèlement aux femmes battues, avec un sentiment d’isolement, de culpabilité, une peur des représailles et cette perception que la société va dénigrer la violence que subissent ces victimes en leur disant que ça n’est que virtuel. Ce manque de reconnaissance participe beaucoup de la difficulté pour les victimes de cyber-violence de surmonter ces épreuves. Et on le retrouve tant chez les proches, au sein des entreprises, des établissements scolaires, auprès des services de police et gendarmerie et dans le cadre de la justice éventuellement. On a donc tout une chaîne de responsables qui, encore aujourd’hui, vont avoir tendance à minimiser la réalité de la violence subie par la victime.
 

T : La mission de l’association e-Enfance, que vous dirigez, est de protéger les mineurs sur internet. Quelles sont les actions mises en œuvre par l’association ?

 
JA : L’association e-Enfance existe depuis 2005, nous étions précurseurs sur la cyber-violence, ce qui nous permet d’avoir de la perspective sur ces phénomènes. Nous travaillons tant à la prévention des faits de cyber-violence qu’à la prise en charge des victimes.

Les actions de prévention visent à la sensibilisation des personnes concernées et en particulier des jeunes qui sont les premiers concernés. Comme nous connaissons les usages, nous pouvons les informer et leur donner des repères pour qu’ils puissent utiliser plus sereinement leurs outils numériques et réagir en cas de problème. Nous sommes lucides sur le fait qu’on ne pourra pas interdire à un adolescent de s’adonner à certains usages. Notre rôle n’est pas de les juger mais au contraire de les accompagner en leur donnant des conseils pragmatiques pour les protéger contre les risques auxquels ils s’exposent.

L’association e-Enfance est agréée par le Ministère de l’Éducation nationale dont nous sommes le partenaire historique dans le domaine des usages numériques et de la lutte contre le cyber-harcèlement. Nous intervenons dans les collèges, les lycées et maintenant au sein des école primaires pour transmettre aux jeunes les messages de base, premiers réflexes et une bonne perception du monde numérique.

Nous informons également les parents et proposons systématiquement de les rencontrer. Mais les parents sont une cible plus difficile à toucher car ils n’ont pas beaucoup de temps et ne prennent pas forcément au sérieux ces phénomènes. Nous avons la chance d’être assez présents dans les médias pour leur porter ces messages directement. Et nous portons maintenant nos efforts auprès des entreprises pour nous adresser aux parents salariés dans leur environnement de travail.

Nous accompagnons aussi les professionnels qui ont affaire aux jeunes (personnel éducatif, pédiatres, infirmiers, assistantes sociales, éducateurs…) qui ne connaissent pas forcément la vie des enfants et adolescents en ligne et ne savent comment se positionner et intervenir. Nous avons beaucoup de demandes dans ce domaine.

Enfin, il y a tout l’aspect prise en charge avec notre numéro vert NET ECOUTE 0800 200 000 qui existe depuis 10 ans. Nous sommes conventionnés avec le Ministère de l’Éducation nationale, avec Pharos, la plateforme de la police spécialisée dans le numérique, la Brigade numérique de la gendarmerie nationale et le numéro « 119 enfance en danger ». Nous avons donc la capacité de prise en charge globale des victimes : l’écouter, faire le tri entre les émotions et les faits, constater avec son accord les problèmes en accédant à ses comptes sur les réseaux sociaux, puis on va qualifier les contenus et être en mesure de signaler au réseau social les contenus illicites hébergés et leur demander le blocage ou retrait. À cet égard, nous avons des accords avec la quasi-intégralité des réseaux sociaux qui nous permettent avec des procédures accélérées de pouvoir faire retirer les contenus en une heure.
 

T : Les réseaux sociaux sont souvent désignés comme les principaux forums de la cyber-violence. Quelles sont les recommandations de l’association e-Enfance quant à l’utilisation de ces réseaux sociaux ?

 
JA : Il faut avoir conscience que les réseaux sociaux (social media en anglais) sont des lieux de partage et de médiatisation. Le registre du privé ou de l’intimité n’a pas grand-chose à faire sur un réseau social. On retrouve la qualification de « privé » sur les réseaux sociaux mais cette notion de privé est très relative et ne correspond pas aux usages. Il est important que les jeunes comprennent qu’il s’agit en réalité de contenus qui auront une large publicité.

Nous encourageons également les jeunes à s’intéresser au fonctionnement des réseaux sociaux et, en particulier, à tenter de comprendre leur modèle économique, la place de l’utilisateur au sein de ces réseaux et les mécanismes auxquels ils ont recours pour favoriser la création et le partage de contenus. Si on arrive à faire comprendre aux jeunes qu’ils sont utilisés comme des consommateurs et participent à la prospérité d’un réseau social en l’alimentant, ils seront certainement plus clairvoyants, attentifs à leur comportement et auront une meilleure maîtrise de leurs usages.

Il faut également que les jeunes comprennent qu’ils ont la capacité de faire évoluer les réseaux sociaux en exprimant ce qu’ils veulent voir et ce qu’ils ne veulent pas voir sur l’espace numérique. Ce sont des rapports de force économique, mais les jeunes ont la capacité d’influer car ils jouent un rôle essentiel dans le succès économique des réseaux sociaux (s’ils ne publient plus de contenus, les réseaux sociaux ne gagnent plus d’argent). Nous souhaitons donc que les jeunes deviennent acteurs de l’internet et des réseaux sociaux de demain.

Se pose également la question de la protection des mineurs dans l’environnement des réseaux sociaux. Le statut de mineur est malmené au sein des réseaux sociaux, car leur capacité est peu limitée dans l’espace numérique. Bien que des restrictions existent en fonction de l’âge, encore faut-il pouvoir identifier l’âge de l’utilisateur ce que l’on ne sait pas faire aujourd’hui. Le seul outil fonctionnel est le contrôle parental qui consiste à ce que les parents fixent le cadre de l’utilisation des outils numériques par leurs enfants. Mais cela demande une implication des parents, un suivi et un échange avec les enfants. Il y a donc encore un effort à faire de la part des acteurs du numérique pour protéger les mineurs et leur restreindre l’accès aux usages qui les exposent.
 

T : L’utilisation des outils numériques a fortement progressé à la suite de l’instauration de mesures de confinement pour lutter contre la pandémie de la Covid-19. Quels comportements avez-vous pu observer pendant cette période ?

 
JA : Pendant le confinement nous avons eu une explosion des sollicitations sur le numéro vert NET ECOUTE (plus 30% d’activité dès le début du confinement). Nous avons constaté beaucoup plus de sollicitations de la part des adolescents et moins des parents.

Les faits signalés ont été proches des usages des lycéens et donc beaucoup à caractère sexuel, pour les garçons comme pour les filles. Cela confirme que les adolescents ne sont pas que victimes de cyber-harcèlement (contrairement à ce que certaines personnes ont tendance à penser). Toute leur adolescence a désormais une dimension numérique et donc tout ce que l’adolescent fait dans le monde physique, y compris en termes de prises de risques, il le fait également dans le monde numérique. Cela s’est bien évidemment accéléré pendant le confinement.

À l’inverse, nous avons constaté que les enfants ont plus été encadrés par leurs parents. Ils n’ont donc pas eu à subir les conséquences de leurs usages numériques pendant cette période de confinement.
 

L’œil de la revue Third

 
Nous avons eu la chance de pouvoir échanger avec Justine Atlan, directrice générale de l’association e-Enfance, qui agit au quotidien pour que les enfants puissent profiter d’internet en toute sécurité. Cet entretien nous permet de mieux comprendre les phénomènes de cyber-violences, leurs conséquences et les moyens dont nous disposons pour y faire face et les prévenir.

partager cet article

Thomas Souvignet, Lieutenant-colonel de Gendarmerie (en disponibilité) et Professeur à l’École des Sciences Criminelles de l’Université de Lausanne, Suisse.

 

Olivier Ribaux, Directeur de l’École des Sciences Criminelles de l’Université de Lausanne, Suisse.

 
Les transformations numériques de nos activités quotidiennes se sont inévitablement accompagnées d’une évolution de la criminalité et des menaces qui pèsent sur la société. Les cybermalveillances sont devenues quasi banales et nous ne prêtons même plus attention aux tentatives d’hameçonnage qui pullulent dans nos boîtes de « spam » (pourriels).
 
Il devient alors indispensable de se demander comment les victimes ressentent ces attaques et y réagissent, et comment les pratiques policières évoluent pour s’adapter à ces transformations. Nous exprimerons ces enjeux et présenterons des développements opérationnels en illustrant nos propos par une fraude en ligne, typique, dont notre École a été la cible.

L’omniprésence des crimes numériques

 
Les transformations numériques de notre société engendrent toutes sortes de nouveaux dangers qui perturbent concrètement notre quotidien. Ils sont mis en évidence dans l’étude menée en juin 2019 par l’Institut National de la Consommation pour Cybermalveillance.gouv.fr1, le dispositif français d’assistance aux victimes, de prévention des risques numériques et d’observation de la menace en France : plus de 9 français sur 10 admettent avoir déjà été confrontés à un acte de malveillance sur Internet.

Le nombre et la variété des évènements pour lesquels ce même organisme est sollicité2 (Figure 1), indiquent le polymorphisme de ces dangers.
 

Figure 1 – Réparation des menaces lors des recherches d’assistance provenant de particuliers (source : www.cybermalveillance.gouv.fr)

Ces formes omniprésentes de criminalité en ligne, confirmées par d’autres entités comme l’association Signal Spam (Figure 2), sont souvent faussement considérées comme banales et bénignes. Elles sont néanmoins susceptibles de causer des dommages financiers et psychologiques parfois dramatiques pour les victimes.
 

Figure 2 – Évolution du spam d’origine cybercriminelle entre 3ème trimestre 2019 et 2ème trimestre 2020 (source : www.signal-spam.fr)

Dans son évaluation annuelle du paysage des cybermenaces pour l’année 2019 (IOCTA 20193), Europol met notamment en avant les formes plus organisées et graves, telles que l’exploitation sexuelle de mineur en ligne, la fraude aux paiements, l’atteinte aux systèmes numériques (rançongiciel, compromission de données, etc.) ou encore les espaces numériques sur lesquels s’appuient des activités terroristes.

Nombre de ces cybermenaces ont toutefois un angle d’attaque commun : les vulnérabilités de l’humain. En effet, une action et une inattention de l’utilisateur est très souvent nécessaire pour qu’une attaque puisse avoir l’effet escompté.
 

Au-delà des chiffres, comment réagir ?

 
Les réponses apportées jusqu’ici résultent d’une multitude d’initiatives souvent prometteuses, mais encore très fragmentées. Elles se confrontent à de nouvelles questions : qui doit prendre en charge les problèmes (institutions privées, publiques, responsabilité individuelle), quand (modes d’intervention) et comment (quelle répression ? quelles méthodes de prévention ?) ? Les questions éthiques (par ex. les libertés individuelles), comme le reste, doivent s’envisager à une nouvelle échelle.

Une attaque dont notre École a été victime durant l’été 2019, permet d’illustrer une partie de ces difficultés.

Nous prenons conscience qu’une attaque (détaillée dans un article publié dans Forensic Science International: Digital Investigation4) par harponnage (ou spear phishing) est en cours lorsque le premier auteur de cet article (professeur spécialisé en criminalistique numérique) reçoit, sur son adresse professionnelle, un courriel de son directeur (deuxième auteur de cet article) dont le sujet est « Hello are you available? ». Le tout est envoyé d’une adresse Gmail et non de celle de l’université. Tous deux sur nos lieux de vacances, nous arrivons toutefois à nous contacter et débute alors une gestion commune de l’incident.

Professionnels avertis en la matière, nous comprenons rapidement qu’il s’agit d’une usurpation d’identité (faux directeur) visant à demander de l’argent aux destinataires des courriels. Nous devons découvrir quels sont les destinataires de ceux-ci. Deux hypothèses se dessinent rapidement : soit le carnet d’adresse du Directeur a été piraté, soit l’attaquant a récupéré une liste de cibles de choix en exploitant des données publiées par exemple par le site web institutionnel de l’École.

Le mode opératoire étant défini, vient ensuite l’étape visant à endiguer l’attaque et, de manière pragmatique, éviter tout paiement. Nous comprenons que la fraude est synchrone (l’auteur dialogue en temps réel avec les personnes contactées). Notre réaction doit être immédiate.

Les messages étant envoyés d’une adresse Gmail créée par l’attaquant, la première idée consiste à s’appuyer sur Google. Un formulaire disponible sur le site support de Google semble pouvoir répondre au besoin. Mais, en restant réaliste, nous comprenons que le temps de réaction du géant américain n’est pas compatible avec l’évolution de la fraude.

L’identification des destinataires n’étant toujours pas possible, le directeur prend la décision :

d’envoyer un courriel à l’ensemble des collaborateurs de l’École,
d’informer le support informatique de l’université,
de prendre contact individuellement avec quelques adresses de sa propre liste de contacts, en dehors de l’École, pour tester l’hypothèse du piratage de son compte.

Enfin, le directeur contacte officieusement quelques responsables de la police locale, spécialisés en numérique, afin de connaître la démarche à suivre.

Les actions menées ont eu l’effet escompté puisque certains collaborateurs en discussion avec l’attaquant ont stoppé net à réception du courriel adressé aux collaborateurs de l’École. De même, le service informatique de l’université a été en mesure d’intercepter immédiatement le flux continu de messages provenant de l’attaquant. Par les retours obtenus des collaborateurs et les réponses des contacts hors de l’université, il apparaît maintenant clairement que le cercle des personnes ciblées se restreint aux membres de l’École.

Dans une seconde phase d’analyse à froid, cette hypothèse a été confirmée par l’examen des journaux d’événement (logs) du site internet de l’École : des accès aux adresses électroniques des collaborateurs par le site internet étaient synchronisés avec l’émission des courriels d’harponnage.

Finalement, seule une cible sur une centaine ira jusqu’à la phase de paiement, mais ce paiement sera annulé à la dernière minute.

Dans cette situation assez simple, de nombreuses décisions et démarches, à des niveaux différents ont été nécessaires pour endiguer la fraude.

Ces démarches, pas forcément simples ou accessibles, même pour des utilisateurs avertis, montrent la difficulté de faire face à une attaque technologiquement simple. On peut aisément imaginer la grande difficulté d’une victime âgée face à un rançongiciel (eg. cryptolocker) ou une prise en main à distance lors d’une fraude au faux support technique.
 

Une évolution nécessaire de la réponse policière

 
Cet exemple met en exergue un paradoxe quant à la manière dont la Police aborde la criminalité sur Internet et aux attentes que nous avons à l’égard de cette institution.

En effet, si nous n’avions pas été victime d’une attaque en ligne mais d’une rixe ou d’un cambriolage, nous aurions immédiatement appelé la Police et lui aurions laissé entièrement gérer la crise engendrée. Dans son rôle régalien, celle-ci aurait sans doute réalisé des opérations de police technique et scientifique, effectué une enquête de voisinage et saisi les images de vidéo protection disponibles. Quand bien même nous enseignons à nos étudiants ces pratiques, nous aurions entièrement « confié » ces opérations à la Police.

Dès lors, pourquoi n’avons-nous pas agi de la même manière avec cette cyberattaque dont nous avons été victimes ? Parce que nous n’avions pas « confiance » en la réponse que pourrait apporter la Police dans un délai aussi court. Même dans un contexte de confiance Police-Nation aussi fort qu’en Suisse, où la Police est régulièrement sollicitée pour des renseignements de toutes natures, nous considérions tacitement qu’elle n’aurait pas les ressources pour traiter immédiatement notre petite attaque. N’aurait-elle pas agi immédiatement si l’on tentait de s’en prendre à nos biens dans le monde physique ?

Cela pose ainsi la nécessité et la capacité des forces de l’ordre à traiter individuellement toutes les cyberattaques. Une enquête doit-elle et peut-elle être menée dès la réception d’une tentative d’hameçonnage ? Si ce n’est pas le cas, à partir de quel niveau d’intensité une réponse policière doit-elle être apportée ?

Pour comprendre l’éventuelle difficulté à faire face à ces cyberattaques, il suffit de consulter les statistiques de la délinquance de l’Angleterre et du Pays de Galles (Figure 3). En effet, la prise en compte des crimes et délits liés au numérique depuis 2007 a pour effet de quasiment doubler la délinquance estimée.
 

Figure 3 – Estimation de la délinquance en Angleterre et Pays de Galle (source : Office nationale de la statistique du Royaume-Uni5)

Au vu de la criminalité dans les années 90-2000, on pourrait se dire, qu’à effectif du même ordre de grandeur6, la moitié serait dédiée à cette nouvelle délinquance et qu’une réponse à la hauteur de la criminalité traditionnelle serait produite. Ceci n’est bien sûr pas le cas.

Dès lors, les polices sont-elles atteintes du « syndrome Kodak » qui semble frapper les laboratoires forensiques7 ? En d’autres termes, est-ce que les forces de police ont su prendre le virage numérique, adapter leurs pratiques aux cybermenaces ? Faute de prendre en compte ces nouvelles menaces, et campant sur des pratiques du siècle dernier, ne risquent-elles pas, à l’image de Kodak qui misait tout sur la vente de pellicules, de ne pas se remettre de ces évolutions numériques ?

Tout d’abord, il est possible d’argumenter à ceux qui voient un « syndrome Kodak » dans l’adaptation des forces de police aux cybermenaces, qu’un « syndrome Polaroid » peut également être mis en avant. En effet, même avec l’avènement du numérique les pratiques traditionnelles restent d’actualité. Le succès du Polaroid ne se dément pas, comme celui de la criminalité traditionnelle.

Ensuite, les forces de l’ordre s’attachent à réaliser leurs transformations numériques. En France, dès la fin du XXème siècle, les spécialistes en scène de crime8 ont été rejoints par des spécialistes en analyse de supports et en enquêtes numériques9. Depuis 200910, la Plateforme d’Harmonisation, d’Analyse, de Recoupement et d’Orientation des Signalements (PHAROS) a quant-à-elle pour mission de recueillir, de manière centralisée, l’ensemble des signalements de nombreux faits commis en ligne, dont les escroqueries et arnaques financières utilisant internet. Enfin, des unités spécialisées détiennent les compétences techniques nécessaires à la lutte contre les fraudes mettant en œuvre des technologies évoluées, comme le montre le démantèlement d’un réseau de darkphones (téléphones hautement sécurisés utilisés par des groupes criminels) par la Gendarmerie Nationale11.

Reste tout de même la prise en compte de l’utilisateur qui doit faire face à une cyberattaque, telle que nous l’avons vécue. Là encore, les agences gouvernementales françaises prennent en compte le virage numérique avec esprit d’innovation. La Gendarmerie a ouvert une brigade en ligne, accessible 24h/24 en créant la « brigade numérique ». La coproduction de sécurité est ainsi régulièrement utilisée dans les mécanismes mis en place. Nous noterons ainsi la participation des forces de l’ordre dans des associations de lutte contre la criminalité numérique (Signal Spam, CECyF, etc.) ou encore la création de Groupes d’Intérêt Public (GIP) comme le GIP Action contre la Cybermalveillance (GIP ACYMA) derrière « cybermalveillance.gouv.fr » préalable cité.
 

Une marge de manœuvre encore grande

 
Malgré cette prise en compte des nouvelles menaces portées par le numérique et la transformation de leurs pratiques, les forces de Police ont quand même du chemin à parcourir pour prendre en compte la criminalité numérique de la même manière qu’elles prennent en compte la criminalité traditionnelle. En dehors d’une meilleure prise en charge des victimes, l’exploitation systématique du renseignement judiciaire pourrait être un moyen efficace de rattraper ce retard. C’est du moins ce qu’essaie de faire la Suisse en développant la Plateforme d’Information de la Criminalité Sérielle en Ligne (PICSEL). Cette plateforme exige déjà des policiers qui saisissent les plaintes et qui alimentent le dispositif, une attention particulière à ces formes de criminalité jusqu’ici ignorées. Ils doivent s’entretenir avec le plaignant et s’appuyer sur les brigades spécialisées pour exprimer clairement le mode opératoire et en identifier des traits pertinents. Les traces accessibles sont aussi susceptibles d’aider à détecter des problèmes répétitifs et à suivre leur évolution. L’analyse des informations ainsi réunies et organisées, offre les moyens d’adapter les stratégies préventives et répressives, de mieux communiquer avec les partenaires et avec le public, de prioriser les efforts et d’orienter les enquêtes. En moins de deux ans de fonctionnement et bien qu’en état encore embryonnaire, ces nouveaux processus ont déjà modifié profondément l’approche policière des crimes transformés numériquement.
 

L’œil de la revue Third

 
Quelles sont les étapes concrètes d’une cyberattaque ? La police est-elle armée pour y faire face ? À l’ère de la criminalité numérique, Thomas Souvignet et Olivier Ribaux nous proposent un article très intéressant sur les mécanismes à l’œuvre et les progrès qui restent à accomplir pour mener des enquêtes de police efficaces.



1 | https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/plus-de-9-francais-sur-10-ont-deja-ete-confrontes-a-un-acte-de-cybermalveillance. (Retour au texte 1)
2 | https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/chiffres-et-tendances-des-cybermenaces-cybermalveillance-gouv-fr-devoile-son-premier-rapport-dactivite-2019. (Retour au texte 2)
3 | https://www.europol.europa.eu/activities-services/main-reports/internet-organised-crime-threat-assessment-iocta-2019. (Retour au texte 3)
4 | https://www.sciencedirect.com/science/article/pii/S2666281720300810?via%3Dihub. (Retour au texte 4)
5 | https://www.ons.gov.uk/peoplepopulationandcommunity/crimeandjustice/bulletins/crimeinenglandandwales/yearendingmarch2020. (Retour au texte 5)
6 | https://www.gov.uk/government/collections/police-workforce-england-and-wales. (Retour au texte 6)
7 | https://onlinelibrary.wiley.com/doi/abs/10.1111/1556-4029.13849. (Retour au texte 7)
8 | Technicien en Identification Criminelle – TIC – en Gendarmerie et Agent spécialisé de Police Technique et Scientifique – ASPTS – en Police. (Retour au texte 8)
9 | Enquêteur spécialisé en technologie numérique – NTech – en Gendarmerie et Investigateurs en cybercriminalité – ICC – en Police. (Retour au texte 9)
10 | https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000020767189&dateTexte=20191223. (Retour au texte 10)
11 | https://www.europol.europa.eu/newsroom/news/dismantling-of-encrypted-network-sends-shockwaves-through-organised-crime-groups-across-europe. (Retour au texte 11)

partager cet article

Entretien avec Laëtitia Vitaud, conférencière et consultante sur le futur du travail et de la consommation, auteure du livre « Du labeur à l’ouvrage » (Calmann Levy, 2019).

 

Third (T) : Vous êtes une experte du monde du travail et de ses évolutions. Quelles sont les interactions entre les notions de sécurité et de travail ?

 
Laëtitia Vitaud (LV) : L’origine d’une partie de mes réflexions vient de mon parcours personnel. La sécurité et le travail ont un lien très fort et je m’en suis rendue compte lorsque j’ai créé mon entreprise. En effet, en devenant entrepreneure, j’ai quitté mon poste d’enseignante dans la fonction publique, laquelle représente l’emploi stable par excellence et une forme de sécurité ultime. Cette décision m’a menée à interroger mon rapport au travail et, plus généralement, sa place dans notre société. Je trouve qu’il y a une vision fallacieuse de la sécurité lorsqu’on est enseignant.e dans la mesure où la mobilité (tant géographique que professionnelle) est limitée et où la paupérisation de la profession s’accroît, ce qui créé ainsi un sentiment d’insécurité économique et d’enfermement intellectuel. D’une certaine manière, mes travaux sont imprégnés du rapport un peu ambigu entre la sécurité et l’insécurité dans l’univers du travail.

Historiquement, on perçoit de manière évidente le lien entre la sécurité et le travail dans les grandes révolutions technologiques (au nombre de 5 selon l’économiste Carlotta Perez). Par exemple, dans la société du Moyen- ge, la naissance déterminait tout, en particulier le rapport à la sécurité et le rôle économique. Puis, à chaque révolution technologique, il y a eu un changement des rapports de force, ce qui n’a pas manqué de conduire à une insécurité profonde puisque « l’ordre des choses » a été bouleversé. Au cours des transitions, les cadres du paradigme d’avant perdurent un certain temps mais ne collent plus tout à fait à la nouvelle réalité. Ainsi, des populations entières sont confrontées à un nouveau fonctionnement et perdent la sécurité dont elles disposaient dans la situation antérieure.

À titre d’illustration, la révolution industrielle a amené des cohortes de travailleurs agricoles dans les villes pour y devenir ouvriers. Au début, les villes se sont développées sans infrastructures, de sorte que les nouvelles conditions de vie des travailleurs ont apporté des dangers nouveaux (par exemple, des épidémies). La transition cause donc une insécurité très grande. Puis, la société s’est structurée et des mesures ont été mises en place pour créer les conditions de sécurité nécessaires pour apporter la prospérité dans ce nouveau paradigme.

Autrement dit, chaque révolution technologique connaît une période de transition dans l’attente de créer de la prospérité, de la croissance économique et des institutions sécurisant les individus.
 

T : Quels sont les différents types de sécurité accordée à une personne qui travaille ? Comment ces sécurités vous semblent-elles avoir évolué depuis le début du XXème siècle ?

 
LV : C’est avec la révolution de l’automobile que les sociétés modernes ont construit les principaux accessoires de la sécurité et ils constituent, encore aujourd’hui, notre héritage.

À mon sens, la première grande innovation est l’invention de la relation contractuelle stable entre l’employeur et l’employé. Avec le contrat de travail, une personne peut ainsi accéder à la sécurité de l’emploi, ce qui n’existait pas vraiment avant puisque le travail journalier dominait. Cette invention a été imaginée car le recrutement quotidien de nouvelles personnes représentait des coûts de transaction trop importants. Avec l’automobile, les entreprises ont eu besoin de productivité et de faire tourner les machines en continu, ce qui imposait une stabilité de la main d’œuvre et des compétences. Cette organisation du travail permettait une sécurité de la production bénéfique à l’entreprise. En contrepartie, on assurait à la personne de conserver son emploi. Les grands exemples de cette période sont l’invention des 3-8 ou les five dollars a day (qu’on appelle aussi la paie fordiste). C’est la sécurisation de la production qui a engendré la sécurisation de la relation de travail.

Puisqu’un lien de salariat existe, l’employeur verse de manière récurrente et prévisible la somme d’argent convenue. Pour le matérialiser, l’employeur délivre une fiche de paie, laquelle est la deuxième grande innovation du XXème siècle. Il s’agit d’une invention liée au crédit bancaire car, avec la stabilité de la relation de l’emploi et le versement périodique d’un salaire, il était possible de justifier de revenus futurs. C’est avec la fiche de paie qu’on signale aux personnes extérieures la stabilité de ses revenus et qu’on démontre sa solvabilité future. La société a été profondément transformée par cette nouveauté puisqu’elle a donné la capacité aux individus d’emprunter sur la base de la feuille de paie.

La conjonction de ces deux sécurités, celle de la production et celle de l’emploi, a permis à la société de consommation de s’épanouir. En effet, avec la sécurisation de la production, on a produit plus, avec la sécurité de l’emploi, les personnes ont eu des revenus pour consommer et avec la stabilité du salariat, les banques ont accepté de prêter de l’argent. La société s’est retrouvée en phase avec les fondamentaux de la révolution de l’automobile. Les institutions créées à cette période ont créé des cercles vertueux où les différentes formes de sécurités se sont imbriquées les unes aux autres.
 

T : Le numérique et les nouvelles technologies questionnent le fonctionnement du monde du travail. Pourriez-vous nous présenter les changements provoqués par la transition numérique ?

 
LV : Tel que je l’explique dans mon livre « Du labeur à l’ouvrage », les institutions créées dans le cadre de la révolution de l’automobile visaient à procurer les sécurités nécessaires et reposaient sur une définition du travail que je qualifie de « labeur ». En échange de l’aliénation (c’est-à-dire la division du travail, la perte de ses compétences, la limitation de l’autonomie et la subordination), on bénéficiait de la sécurité de l’emploi ainsi que de la contribution de l’employeur à la retraite ou la santé. C’est ce que j’appelle le « contrat de labeur ». Ce contrat profondément ancré dans la sécurité est fait de promesses immenses. Ce n’est pas tant que l’ouvrier des usines trouve son travail épanouissant, c’est simplement que les contreparties sont fortes et irrésistibles.

Puis, il y a le début de la révolution numérique, soit le passage à une autre révolution technologique. Pour Carlotta Perez, la date symbolique est celle de la création du premier microprocesseur dans les années 1970. Avec la mondialisation, la désindustrialisation et l’apparition de concurrents issus de pays qui n’avaient pas les mêmes définitions de la sécurité, on a vu arriver insidieusement des formes d’insécurité qui ont mis en péril ce « contrat de labeur ». Dès les années 1970, les contreparties se désagrègent lentement mais sûrement. Ainsi, apparaissent des nouvelles formes de salariat qui ont l’apparence du « contrat de labeur » mais qui n’offrent pas les mêmes sécurités (par exemple, les contrats de travail courts ou précaires). Pourtant, l’aliénation, l’appauvrissement mental et la dépendance demeurent. Ce qui est curieux, malgré ces formes de salariat dégradées et une paupérisation grandissante des travailleurs, c’est qu’on s’accroche encore aux souvenirs des sécurités offertes par le « contrat de labeur ».

En réalité, même si on est entrés dans une nouvelle révolution technologique, on vit encore sur l’héritage du passé et les institutions collectives ne se sont pas encore adaptées à cette nouvelle donne économique. Il est aisé de le constater car beaucoup de secteurs sont chamboulés, certains modèles d’affaires ne marchent plus, les insiders du marché du travail sont favorisés et le nombre de personnes qui ne sont plus concernées par le « contrat de labeur » ne cesse d’augmenter. En conséquence, il y a un déséquilibre croissant entre des institutions mises en place pour le paradigme précédent et le nouveau pour lequel des institutions adaptées n’existent pas encore. Entre les deux, on trouve une forte insécurité sous toutes ses formes parce que l’on n’a pas encore recréé les mécanismes protecteurs et stabilisateurs. Le numérique n’est pas la cause mais le révélateur de ces mouvements profonds qui touchent le monde du travail.
 

T : Aujourd’hui, comment apprécieriez-vous le rapport entre sécurité et travail ? Faut-il dé-sécuriser le lien de salariat pour re-sécuriser les autres relations de travail ?

 
LV : À mon sens, il ne s’agit pas nécessairement de dé-sécuriser le contrat de travail puisque cela détruirait de la sécurité pour les salariés. En revanche, les individus se rendent compte que ce qui a l’apparence de la sécurité pourrait être en réalité source d’insécurité. C’est ce que j’ai constaté comme enseignante où je craignais l’insécurité économique à la retraite. Beaucoup d’individus se rendent également compte que cette aliénation ne s’accompagne plus des bonnes compensations. Ainsi, si les contreparties du « contrat de labeur » n’existent plus, alors notre sécurité se loge dans notre capacité à nous réinventer individuellement (par exemple, développer des nouvelles compétences, être mobile géographiquement) et à ne pas être dépendant d’un seul donneur d’ordre (par exemple, un freelance doit avoir plusieurs clients). On assiste ainsi à des phénomènes comme le freelancing, le nomadisme ou le néo-artisanat qui viennent donner du sens au travail dans une autonomie et une maîtrise du processus. Ces formes de travail témoignent du questionnement de l’aliénation et dans le questionnement du « contrat de labeur ».

La vraie question est d’inventer les nouvelles formes de sécurité qui épouseront cette nouvelle réalité du travail. Cependant, je trouve que ce questionnement et ces réflexions sur les nouvelles formes de sécurité prennent des formes très individualistes. En effet, il y a peu d’avancées sur la manière de faire évoluer les institutions collectives parce qu’il y a des risques qui restent malgré tout intacts (le risque d’être malade, d’avoir un accident, de vieillir et de ne plus pouvoir travailler ou encore les nouveaux risques comme celui de se retrouver dans un désert géographique et de devoir être mobile pour travailler). Si c’est évidemment plus facile d’avoir de l’impact à son échelle d’individu, la réflexion collective devrait nous occuper.

Aujourd’hui, le rapport entre sécurité et travail doit être réinventé. Cela se manifeste via ce que j’appelle le « contrat d’ouvrage », qui est cette nouvelle relation de travail où la personne se sécurise en se libérant de l’aliénation, en donnant du sens à son activité et en étant autonome. C’est la raison pour laquelle on assiste, depuis plus de 10 ans, à l’explosion du nombre d’indépendants et une attraction toujours plus grande pour ce mode d’exercice. La quantité de sécurité ne doit pas dépendre du statut (salarié ou indépendant) mais doit être attachée à la personne (des droits personnels).
 

T : La protection sociale fait partie de la sécurité et des avantages octroyés au travailleur sur la base du contrat de travail. Comment définiriez-vous la notion de protection sociale ? Pourquoi un système de protection sociale a-t-il été mis en place ?

 
LV : La sécurité sociale constitue la troisième grande innovation de la révolution de l’automobile, après la sécurité contractuelle (contrat de travail) et l’expansion du crédit bancaire ou du crédit à la consommation (feuille de paie). Au cours du XXème siècle, on se rend compte que l’espérance de vie augmente de manière très forte et il y a une prise de conscience de l’insécurité profonde causée par les chocs économiques, des situations de chômage subies ainsi que des déséquilibres temporaires. Il était donc important de créer des institutions offrant une sécurité vis-à-vis de ces risques.

À titre d’exemple, le chômage a été mis en place par le Président Roosevelt dans l’État de New-York au moment de la Grande Dépression et il l’a étendu à l’ensemble des américains avec le Social Security Act de 1935. En France et au Royaume-Uni, ces institutions ont été créées après la Seconde Guerre Mondiale, qui a souligné le besoin de créer des institutions apportant une sécurité au-delà de la relation de travail.

La protection sociale (principalement, l’assurance chômage et la retraite) a donc été une institution collective nécessaire pour assurer la sécurité des personnes dans les sociétés industrielles prospères basées sur l’industrie automobile. C’est une manifestation évidente de la mise en place d’institutions résultant d’une révolution technologique. Actuellement, on voit bien que la révolution numérique questionne les fondamentaux de la protection sociale qui est inadaptée pour une partie des actifs (par exemple, la multiplication des indépendants).
 

T : Quelles sont les pistes de réflexion pour concevoir un système de protection sociale en phase avec les mutations actuelles du monde du travail ? Quels sont les défis à relever ?

 
LV : Avec la pandémie du Covid-19, il y a eu des amorces pour que de nouvelles institutions émergent (par exemple, le fonds de soutien aux indépendants) mais on est encore loin d’un véritable New Deal. On se demande même si on va être capable de mettre en place des nouvelles institutions qui sont nécessaires dans le paradigme d’aujourd’hui et de créer les différents types de sécurité attendus par les actifs.

Il est impératif de se confronter à ces enjeux car notre conception de la sécurité est profondément bouleversée par des carrières professionnelles qui sont devenues discontinues, diverses et plus longues. Ainsi, le rapport aux carrières professionnelles, à la vie et aux institutions de sécurité qui nous protégeaient ne collent plus aux changements de la société opérés par la révolution numérique. En effet, nos institutions, issues de la révolution de l’automobile, correspondaient à trois phases : (i) la formation, (ii) la carrière professionnelle et (iii) la retraite. Or, cette vie en trois phases a complètement éclaté, tout comme le paysage économique qui a changé avec cette transition technologique.

Les réflexions doivent donc porter sur la manière dont on fait évoluer la relation de travail pour la rendre attractive et pour répondre à une nouvelle définition de la sécurité. À cet égard, on n’a pas encore trouvé les manières vertueuses d’imbriquer les sécurités les unes aux autres. Il y a donc des cercles vertueux à recréer. À mon sens, une idée serait d’avoir des droits sociaux et des protections qui suivent les individus plutôt que le contrat de travail. On retrouve ici l’idée selon laquelle les droits devraient être liés à la personne plutôt qu’au statut juridique.

Je suis assez convaincue que l’on peut faire évoluer les institutions inventées pour le paradigme de l’automobile de manière à accompagner la redéfinition de la sécurité à l’ère du numérique.
 

T : Au-delà d’une réforme technique de la protection sociale, faut-il réformer nos mentalités vis-à-vis du travail (qui n’est plus un labeur mais un ouvrage) pour être capable de recréer de la sécurité sociale « mentale » à l’ère numérique ?

 
LV : Dans l’esprit collectif, la sécurité ancrée dans les fondamentaux de l’ancien paradigme mais il est inadapté au monde d’aujourd’hui. Les aspirations évoluent car les promesses de la sécurité de l’emploi, de la délivrance d’une feuille de paie chaque mois et d’une retraite paisible ne sont plus aussi attractives et puissantes qu’auparavant. C’est particulièrement vrai chez les jeunes qui adoptent des activités nouvelles et des modes d’exercice différents. On est loin de la carrière linéaire dans un grand groupe du CAC 40.

Je trouve que les mentalités évoluent rapidement et que nous avons collectivement progressé. L’un des signes de ces changements est que dans le monde syndical, et en particulier à la CFDT, il y a une réflexion assez poussée et il est pris acte qu’une part grandissante d’individus veulent sincèrement être indépendants ou ne plus être exclusivement salariés.

Par ailleurs, il y a une véritable prise de conscience de la paupérisation d’un certain nombre de professions qui étaient auparavant considérés comme des nantis (par exemple les médecins). Ainsi, beaucoup d’emplois qui étaient qualifiés de sûrs ne le sont plus trop aujourd’hui, ce qui rebat les cartes et invite à créer de nouvelles choses.

Cela étant dit, la prise de conscience n’est pas généralisée. Il faut continuer les efforts d’évangélisation et, surtout, adapter nos institutions collectives pour offrir la sécurité nécessaire aux travailleuses et travailleurs d’aujourd’hui.
 

L’œil de la revue Third

 
Discuter avec Laëtitia Vitaud de la transition numérique et de l’avenir du travail a été passionnant. Les analyses de la situation contemporaine sont mises en perspective avec l’histoire, le tout avec une grande pédagogie et précision. Le triptyque « sécurité, travail, protection sociale » en dit long sur notre société et permet également de construire l’avenir. Cette conversation éclaire sous un nouveau jour la notion de « sécurité » et nous ne pouvons que vous encourager à lire son livre pour en apprendre plus !

partager cet article

Maxime Agostini, co-fondateur et président de Sarus Technologies.

 

Alors que l’innovation cherche à se nourrir de données toujours plus fines, les cadres réglementaires de protection de la vie privée en contraignent de plus en plus la collecte ou l’usage.

 

Heureusement, les objectifs de l’innovateur et du régulateur sont parfaitement compatibles pourvu qu’on parvienne à concevoir une chaîne de traitement de la donnée préservant la vie privée. C’est l’ambition d’une nouvelle génération de théories et de technologies qui permettent d’envisager la réconciliation définitive d’innovation et de protection des individus.

 

L’opposition entre innovation et protection des données à caractère personnel

 
L’innovation est une recherche constante d’améliorations par rapport à l’existant. Innover sous-entend donc la présence d’un étalon pour comparer des solutions entre elles et pour évaluer les progrès réalisés. Innover sous-entend également un processus d’expérimentation et d’itération à des fins d’amélioration continue. Dans le numérique, les deux nous ramènent irrémédiablement à la donnée.
 

La collecte de données comme carburant pour l’innovation

 
À tous les niveaux, la création de nouveaux produits et leur amélioration va nécessiter la collecte, l’analyse et l’exploitation d’information. Que ce soit la donnée des patients ayant reçu un traitement, celle des utilisateurs d’une application mobile, des usagers d’un service de transport ou des ventes d’un magasin, chaque fois, l’innovation va se nourrir de toute la donnée à sa disposition et chercher à en étendre la collecte.

Protéger la donnée personnelle est la force opposée : l’individu aspire à préserver son intimité et à garder ses actions dans la sphère privée. Il ne souhaite a priori pas que ses actes soient épiés, enregistrés et conservés sans raison valable. L’objectif de l’innovateur d’acquérir sans cesse plus de données se heurte frontalement au souci de protection de la donnée personnelle, qu’il émane de l’individu ou du législateur pour le compte de l’intérêt général.

Cette tension n’est devenue apparente que récemment. Dans un monde de peu de données, l’innovateur se contentait de maigres sources. Il s’agissait, par exemple, d’enquêtes de consommateurs – et donc d’individus consentants – ou de données agrégées comme des décomptes d’usagers d’une ligne de métro. Ces données étaient utiles pour guider l’innovation et suffisamment peu identifiantes pour ne pas inquiéter l’individu. L’immense majorité des informations relatives à un individu finissait oubliée ou restait dans la sphère privée. Les échanges principalement oraux s’envolaient. Ceux qui se faisait par écrit étaient, pour la plupart, inexploitables pour l’analyse scientifique faute de moyens de numérisation et de traitement adaptés.
 

Des données toujours plus nombreuses et la nécessaire protection des individus

 
Au fil des progrès technologiques, les inventeurs et entrepreneurs ont cherché à saisir chaque opportunité de s’alimenter en données à une maille toujours plus fine. Aujourd’hui, la moindre interaction entre individus ou avec un produit peut être enregistrée, analysée et utilisée pour améliorer les services futurs. Des outils d’analyse de données d’imagerie médicale beaucoup plus sophistiqués laissent entrevoir une révolution du diagnostic. La connaissance fine des déplacements individuels ouvre la voie à de nouveaux modes de transports collectifs efficients que les services d’hier n’auraient jamais su pourvoir. Le marketing aussi est devenu plus efficace avec le ciblage publicitaire, pour le meilleur et pour le pire.

L’individu se voit proposer un échange difficilement résistible : entrer pleinement dans l’ère numérique et profiter des nouveaux services au prix de laisser ses données alimenter leurs fournisseurs. Les géants du numérique, notamment Facebook, Uber ou Google, prospèrent grâce à cet échange. À leur échelle, les acteurs économiques plus petits suivent la même logique. Il faut exploiter les données au maximum pour que les utilisateurs profitent chaque jour de produits ou services plus efficaces et plus utiles. Si pour l’individu les termes de l’échange peuvent paraître acceptables, à l’échelle d’une nation les risques prennent une autre dimension. La capacité de surveillance et de manipulation de masse confère à ces actifs une valeur colossale dont on ne perçoit que le début de la portée.

Naturellement, les régulateurs se sont émus et sont intervenus bien avant que les citoyens ne s’y opposent significativement. Dans la plupart des pays, des législations protégeant la vie privée ont émergé1 contraignant la collecte et l’utilisation d’informations personnelles. Ces réglementations ne visent pas l’innovation en tant que telle mais, en contraignant l’accès à sa matière première, elles pourraient la ralentir significativement. Doit-on y voir la fin d’un cycle d’innovation frénétique ?
 

Les technologies qui permettent de réconcilier innovation et protection des données

 
Pour pouvoir répondre à cette question, notons tout d’abord que si, d’un côté, les autorités de protection de la donnée personnelle ne cherchent pas à limiter l’innovation, de l’autre, les innovateurs ne cherchent pas à connaître les faits et gestes des individus non plus.
 

À la recherche de règles générales pour construire les solutions numériques

 
Les praticiens de la donnée cherchent à développer des solutions qui conviennent dans la majeure partie des cas. Le diagnostic médical parfait est impossible, mais rechercher celui qui a la plus grande probabilité de succès est un objectif atteignable. De même, on ne saura jamais exactement quels seront les déplacements domicile-travail du lendemain, tout comme on ne saura jamais parfaitement quand un client d’une banque décidera de partir pour la concurrence. L’innovation cherche à améliorer la compréhension des interactions entre les utilisateurs et les produits existants mais elle n’ambitionne heureusement pas de résoudre l’incertitude inhérente au comportement humain. L’objectif de l’innovateur est donc de découvrir des règles cachées qui sous-tendent les comportements. Ces règles ne seront jamais absolues et ne doivent pas être spécifiques à un comportement en particulier car celui-ci ne se reproduira jamais à l’identique.

Le pouvoir de généraliser est même un des fondements des modèles d’intelligence artificielle. Quand un élève de primaire apprend les additions à deux chiffres, il a plus intérêt à apprendre les règles générales de l’addition qu’à mémoriser tous les exemples du manuel. Le modèle d’intelligence artificielle a le même objectif : extraire les règles générales sans s’efforcer de retenir les cas particuliers. On cherche, avec des modèles mathématiques, à créer des systèmeslogiques et cohérents. Un algorithme qui détecte une tumeur sur une IRM ne cherche pas à se souvenir de toutes les images qui ont servi à son apprentissage. Il serait sans doute contre-productif de chercher à tout retenir car son objectif est d’être efficace dans la détection de tumeurs sur des IRM qui lui seront soumises dans le futur. Si l’innovateur s’intéresse essentiellement au général, accéder au particulier paraît comme un mal nécessaire pour y parvenir.
 

Le risque de l’accumulation des données personnelles individuelles

 
L’alignement des intérêts entre l’innovateur et le législateur est rassurant : l’individu et le législateur cherchent à protéger la donnée individuelle tout en souhaitant l’amélioration promise par l’innovation. Quant à l’innovateur, il n’a pas besoin et ne souhaite pas emmagasiner l’information personnelle pour elle-même mais seulement pour constituer ses modèles numériques. Si c’est souvent la donnée agrégée qui intéresse l’entrepreneur, il semble nécessaire d’accéder à la donnée individuelle primaire avant de l’agréger. Il s’agit donc d’une difficulté majeure : l’innovateur ne s’intéresse pas à la donnée individuelle mais il doit en disposer pour travailler sur l’ensemble.

Actuellement, l’approche dominante vise à retirer le caractère identifiant de la donnée source avant de la mettre à disposition des praticiens de la donnée. Les pratiques dites d’anonymisation consistent à supprimer les champs rendant l’identification triviale comme les éléments de l’état civil, les numéros de téléphone ou les adresses. Malheureusement la réidentification peut aussi venir de n’importe quelle combinaison de valeurs. L’âge et la date d’admission dans un hôpital peuvent suffire à retrouver quelqu’un. Quelques achats sur une carte de crédit constituent une empreinte digitale d’une redoutable efficacité. Dans le cas d’un concours organisé par Netflix2, la liste des films vus s’avérait être un moyen très sûr de retrouver des individus, conduisant à un procès très médiatique et très coûteux.

Ces méthodes permettent de traiter les cas simples mais deviennent inadaptées dès que la source de données s’étoffe. Une protection robuste nécessiterait la suppression de toutes les combinaisons de champ problématiques, vidant ainsi la donnée de tout son potentiel.
 

La sécurisation de l’exploitation des données à caractère personnel

 
Cet enjeu essentiel a aujourd’hui une réponse imparfaite, de sorte qu’il faut trouver une idée nouvelle pour rendre possible l’utilisation des données toujours plus fines. Il nous semble qu’il s’agit d’une difficulté technique et non une impasse théorique. En effet, des technologies sont en développement pour adresser ce sujet d’une nouvelle manière. Elles reposent sur deux idées.

La première est de travailler sur des données qu’on ne voit pas, par exemple sur des données qui resteraient sur des téléphones ou entreposées dans un hôpital. On parle d’ « apprentissage à distance » ou d’ « apprentissage fédéré » quand la donnée est répartie sur plusieurs sites. Certaines solutions reposent également sur du chiffrement pour pouvoir déplacer et les traiter sans les exposer (chiffrement homomorphique, calcul multipartite sécurisé). Il est aujourd’hui possible d’envisager toute une chaîne de traitement de la donnée sans que le data scientist n’accède à la donnée source. Il peut effectuer ses analyses et calculs sur des données distantes et n’en récupérer que le résultat.
 
ThirrdN5_Visuels7

Figure 1 – Schéma d’exploitation des données personnelles « à distance »

 

Dans ce paradigme, la donnée n’est pas copiée ou déplacée. Le data scientist n’y a pas accès directement mais doit soumettre tous ses calculs à travers un serveur de calcul qui se charge d’exécuter ses requêtes sur la donnée source. Cela limite considérablement le risque de fuite et donne la possibilité de suivre l’usage qui a été fait de la donnée. Mais le data scientist pourrait soumettre un calcul qui extrait spécifiquement la donnée d’un individu ou même dont on ne sait pas dire si le résultat est personnel ou non. C’est par exemple le cas des réseaux de neurones dont les millions de paramètres peuvent encoder des informations très précises sur les données sources. Faire un calcul sur des données distantes apporte bien peu de garanties il est nécessaire d’ajouter une dimension pour résoudre le problème identifié.

La seconde idée est qu’il faut pouvoir garantir explicitement que le résultat de l’analyse ne révèle pas l’information individuelle qu’on a voulu protéger. Chaque élément du résultat pourrait suffire à dévoiler l’information d’un individu. Le risque est d’autant grand que les résultats peuvent être croisés avec d’autres sources d’information, ce qui est de plus en plus courant avec la multiplication des sources d’information tierces disponibles en ligne comme les réseaux sociaux.

Pour s’en prémunir, le formalisme mathématique de la confidentialité différentielle (differential privacy) est devenu le cadre théorique de référence3 et il est mentionné comme une perspective prometteuse dans le cadre des règles de protection des données à caractère personnel. Il permet d’appréhender le risque de ré-identification dans tout calcul quels que soient les croisements de données qui pourraient être faits. Il établit que pour que le résultat d’un calcul ne dévoile pas d’information individuelle il faut qu’il soit insensible à l’ajout ou au retrait de tout individu. Cette propriété peut s’appliquer à tout type de calcul et constitue donc une brique essentielle d’une chaîne de traitements sécurisée de l’information privée.

Pour implémenter la confidentialité différentielle, il est nécessaire d’insérer dans le calcul une part d’aléa qui rendra la contribution d’un individu indistinguable d’un bruit statistique. En pratique, ce bruit est inséré au moment du calcul, le récipiendaire des données est incapable d’en déduire la moindre information identifiante quelles que soient ses connaissances a priori. La garantie apportée par confidentialité différentielle – l’insensibilité à l’ajout ou au retrait d’un individu – est presque parfaitement avec l’objectif de l’innovateur : découvrir les propriétés générales des données qui ne dépendent pas d’un individu en particulier.
 
ThirrdN5_Visuels8

Figure 2 – Schéma illustrant la création d’un modèle à partir d’un jeu de données

 

Dans l’exemple illustré en Figure 2, on cherche à créer un modèle prédisant où les individus se répartissent dans l’espace. Pour être considéré comme anonyme au sens de la confidentialité différentielle, ce modèle doit être indistinguable qu’on ajoute ou qu’on retire Bob lors de sa conception. Puisque la présence ou l’absence d’une personne ne change pas le résultat, on peut donc affirmer que ce modèle issu de données personnelles ne permettra pas de déduire d’information sur un individu en particulier quelle que soit l’utilisation qui sera faite du modèle. Cela illustre la puissance des garanties apportées par la confidentialité différentielle.
 

Conclusion

 
Ces nouvelles technologies annoncent une réconciliation définitive entre innovation et protection de la vie privée. Si la donnée personnelle n’est jamais dévoilée l’innovation peut continuer de prospérer. Des applications sur des données auparavant jugées trop sensibles deviennent alors envisageables. Cela ouvre la voie à de nouveaux modes de collaboration autour de la donnée pour lesquels les individus ne sont plus otages.

L’open data a eu un impact très limité en ne s’adressant qu’à des jeux de données très peu sensibles. La donnée personnelle n’est pas libre, mais, pour l’innovateur, ce qui importe dans un jeu de données c’est d’extraire le savoir général qu’il comporte et non de mettre la main sur la donnée source. Ces solutions nouvelles ouvrent la voie à la valorisation de ces savoirs sans entraver les libertés individuelles.
 

L’œil de la revue Third

 
Tout le monde s’accorde pour dire que les données sont « l’or » du XXIème siècle. Mais qui s’est réellement intéressé à la manière de les exploiter en toute sécurité ? C’est pourquoi nous avons trouvé l’article de Maxime Agostini aussi intéressant. Les perspectives technologiques qu’il dresse sont édifiantes et passionnantes.



1 | La plus fameuse d’entre elle est certainement le règlement européen n°2016-679 sur la protection des données à caractère personnelle (dit « RGPD »). (Retour au texte 1)
2 | https://www.wired.com/2010/03/netflix-cancels-contest/. (Retour au texte 2)
3 | Par exemple, le bureau du recensement américain va utiliser ce formalisme pour garantir la protection de la vie privée dans son recensement de 2020. Il considère la confidentialité différentielle comme le nouvel étalon-or de la protection de la donnée (https://www.census.gov/about/policies/privacy/statistical_safeguards/disclosure-avoidance-2020-census.html). (Retour au texte 3)

partager cet article

Caroline Lequesne Roth, maître de conférences en droit public à l’Université Côte d’Azur.

 

La gestion de la crise de la Covid 19 est un remarquable exemple de la tension séculaire entre la protection des libertés publiques et l’appétence sécuritaire des gouvernants. Les équilibres établis se mesurent aujourd’hui dans le déploiement et le régime des outils de surveillance1, particulièrement mobilisés dans la gestion récente de la crise sanitaire. Ils constituent la traduction d’un phénomène : celui de la quantification du monde. Nécessaires à la lecture globale de notre réalité, ces opérations de quantification se sont imposées dans les mécaniques institutionnelles, au point d’en menacer la dimension démocratique. L’analyse de la gestion de crise constitue aussi une nouvelle démonstration des écueils de la gouvernance par les nombres de dangers qu’elle constitue pour les libertés publiques, et de la nécessité d’inscrire les chiffres dans l’enceinte du débat démocratique.

 
Les crises qui ont jalonné l’histoire récente de nos démocraties appellent, dans les circonstances bien particulières de chacune d’entre elles, à rejouer continuellement les équilibres fragiles du tandem liberté sécurité. Tandis que le désir sécuritaire s’intensifie, et se décline dans toutes les sphères de notre vie sociale – de la sécurité des individus à la sécurité du territoire – la liberté érige des digues pour limiter les effets du phénomène. Celui-ci se traduit par un contrôle accru des populations, des flux et de l’espace et une inquiétante acclimatation à ce qu’il est désormais convenu d’appeler « la société de surveillance »2. Être tracé, identifié et profilé dans l’espace public, comme dans nos vies intimes, décrit le nouveau mode d’existence de la modernité. Celui-ci repose lui-même sur des instruments et une mécanique de « quantification » : pour contrôler la réalité dans sa densité, encore faut-il qu’elle soit « saisie » et appréhendée de manière accessible et intelligible. La mise en chiffre du monde répond à cette problématique en offrant, a fortiori, l’illusion de l’objectivation. La quantification résulte en effet d’une opération en trois temps : l’abstraction, l’universalisation et l’uniformisation.3 Ses origines peuvent être ainsi identifiées dans les développements du commerce et la nécessité de sécuriser les échanges. Dans l’histoire de l’État moderne, l’effort de centralisation politique et administrative de l’État, puis « l’aspiration des individus à lutter contre des injustices nées des privilèges détenus par certains pouvoirs qui peuvent décider des unités » offrirent de nouveaux développements à la quantification dans le sens « d’une simplification, rendant le système plus facile à connaître, à utiliser et à vérifier »4. La quantification, de ce point de vue, pouvait être comprise comme l’exercice d’une autre forme de contrôle, démocratique : celle du citoyen sur les autorités détentrices du pouvoir. Tout au long du XXème siècle, la dynamique de quantification n’a eu de cesse de se renforcer, s’imposant bientôt comme un nouveau « mode de gouvernance »5 , un facteur de légitimation de l’action politique.6

La gestion de l’actuelle crise sanitaire en constitue une illustration paroxystique, la politique de prévention des risques et d’administration des solutions se traduisant par une politique du chiffre : la sécurité sanitaire des populations au prix de la quantification (I.). Cette crise rappelle en outre les limites et les écueils d’une telle politique, conduite au péril des libertés publiques (II.).
 

La sécurité au prix de la quantification du monde

 

Les chiffres ont constitué le langage commun de la gestion de la crise. De la comptabilisation du nombre de cas de contamination, d’hospitalisation et de décès, ont succédé les indicateurs colorant nos régions, les taux de contamination et d’incidence. La quantification a en outre revêtu les formes les plus sophistiquées de la science des données au travers de la modélisation de la pandémie, de la gestion numérique des cas contact ou de l’automatisation de la prise de température dans certaines régions du monde. Dans un souci de sécurité sanitaire, les opérations de quantification ont schématiquement répondu à un double objectif : gouverner et surveiller.
 

Quantifier pour gouverner

 
La mobilisation de l’expertise dans les plus hautes sphères du pouvoir a été – et demeure – déterminante dans la gestion de crise. Si le phénomène n’est pas inédit, il octroie une visibilité singulière aux savants, auxquels est dévolue une responsabilité décisive dans la conduite des politiques mises en œuvre. Au gré de l’évolution de la pandémie, les opinions scientifiques exprimées conditionnent les choix politiques.

Dans la fébrilité d’un automne suspendu au risque de « seconde vague », les exemples de la mécanique normative à l’œuvre se multiplient. Le 23 septembre 2020, le ministre de la Santé dressait un bilan de la situation appelant de nouvelles mesures de restrictions pour contenir une situation sanitaire « dégradée ». La stratégie et les choix mis en œuvre étaient éclairés à l’aune de « trois indicateurs-clés de cette phase de l’épidémie : le taux d’incidence, c’est ce qui mesure l’intensité de la circulation du virus et donc le nombre de malades ; le taux d’incidence pour les personnes âgées de 65 ans et plus, qui sont les personnes les plus fragiles et exposées au risque de faire des formes graves d’infection ; enfin, la part des patients atteints du Covid-19 dans les réanimations, c’est le reflet de l’impact de l’épidémie sur notre système de santé »7. Dressant un bilan de la situation, le ministre observait ainsi que le taux de reproduction du virus restait « supérieur à 1, le taux de positivité des tests est passé en une semaine de 5 % à 6 %, et la part des patients atteints du Covid-19 en service de réanimation est de 19 % au niveau national » ; il en concluait alors la nécessité de « mesures complémentaires » impliquant, notamment, des fermetures d’établissement dans certaines régions placées en « zone d’alerte renforcée ».

Un double enseignement peut être tiré de la dynamique décrite. Il apparaît en premier lieu que les chiffres confèrent au discours scientifique tous les aspects de la loi naturelle, dont les mesures annoncées assurent la retranscription. Les taux de référence s’appliquent en l’espèce avec la froideur d’une apparente neutralité, et la force de la vérité révélée. D’autre part, il est intéressant d’observer que la politique du chiffre devient l’essence même de la politique mise œuvre : il s’agit pour reprendre l’image d’Alain Supiot, empruntée au personnel hospitalier en grève, de « soigner l’indice plutôt que le malade »8. L’usage excessif du chiffre conduit à en faire la seule réalité, et à réduire par la même la variété des leviers d’intervention du politique.
 

Quantifier pour surveiller

 
Le second aspect de la quantification opérée au nom de la sécurité sanitaire est plus insidieux, mais tout aussi effectif sur le terrain normatif. Il procède du développement d’outils technologiques, justifié par le contrôle de la pandémie et la prévention de la formation de nouveaux clusters, ces foyers de propagation du virus. Au printemps dernier, les débats qui ont accompagné la sortie du confinement ont en effet été animés, dans de nombreuses régions du monde, par les choix technologiques à opérer. Applications de traçage, bracelets électroniques, passeports de santé, dispositifs de reconnaissance faciale, drones, robot de surveillance : les initiatives furent nombreuses et l’arsenal sécuritaire largement déployé à l’échelon global9. En France, le mouvement s’est traduit par l’adoption d’une application de traçage nommée « StopCovid ». Le traitement de données qu’elle permet répond à quatre finalités : informer ses utilisateurs des risques ; sensibiliser les utilisateurs quant aux symptômes ; recommander aux contacts à risque de contamination les personnes à consulter et les dispositions à prendre ; adapter, le cas échéant, la définition des paramètres de l’application10.

Les choix technologiques opérés par les gouvernements et les garanties offertes sur le terrain des libertés sont très variables d’un État à l’autre. Il n’en demeure pas moins une philosophie commune à ces dispositifs, qui traduit les effets d’une politique de la quantification : ces outils ont vocation – et permettent – d’orienter les comportements, au départ des données de géolocalisation – voire, dans certains cas, des paramètres vitaux (température corporelle, pression sanguine, etc.) – traitées par un modèle mathématique. Ici encore, le résultat du calcul n’est pas seulement informatif, il est aussi prescriptif. Bernard Stiegler décrivait déjà les effets des technologies de contrôle développées par l’industrie : celles-ci ont pour but de « systématiser le développement des applications et des usages des moyens de calcul, de communication et d’information au seul service d’une massification des comportements de production et de consommation dans le sens des intérêts financiers investis »11. Cette logique normative se décline aujourd’hui à l’échelon des outils de surveillance étatique : en France, une personne identifiée comme étant « contacts à risque de contamination » est invitée à s’isoler sept jours conformément aux recommandations du Conseil scientifique12. Dans d’autres États, les mesures de quarantaine et d’isolement peuvent être perpétrées de manières automatiques, et leur respect contrôlé voire sanctionné par ces mêmes applications13.
 

La quantification au péril des libertés

 
Nul ne saurait contester l’utilité et la nécessité des opérations de quantification : indispensables à l’appréhension du monde, elles en constituent indéniablement l’un des langages communs. Force est toutefois de constater que le déploiement dont elles font l’objet interroge sur le terrain des droits politiques et des libertés individuelles. Cela tient de la compréhension qui en est faite et de la place qui leur est allouée dans les mécaniques institutionnelles.

Si les opérations de quantification offrent une représentation du monde, il importe de comprendre qu’à l’instar de toute représentation, celles-ci ne sont pas neutres et offrent inévitablement une vision parcellaire de la réalité. Cela tient tant aux données mobilisées, qu’au modèle algorithmique permettant leur traitement. S’agissant des données, celles-ci ne sont pas nécessairement disponibles ou complètes, et peuvent a fortiori être erronées. Le modèle de traitement peut parallèlement faire l’objet de biais, son paramétrage reflétant irrémédiablement des choix culturels, sinon politiques. Rappelons en effet que toute opération de quantification requiert en amont une opération de qualification14, et l’usage de conventions15 qui résultent elles-mêmes d’un contexte – politique, culturel, social – donné. Les indicateurs et plus largement les chiffres de la quantification relèvent ainsi du construit, et transforment la réalité plus qu’ils ne reflètent le monde.

De cette lecture résulte une double leçon quant à l’usage et la diffusion des outils de quantification au cœur des politiques publiques.

La proportionnalité des atteintes aux libertés requiert tout d’abord de limiter l’automatisation des processus décisionnels16. Les conséquences de ceux-ci peuvent être nuisibles tant à l’échelon individuel que collectif. Le cas des applications de traçage en constitue un bon exemple : les données de géolocalisation n’étant pas fiables17, les modèles fondés sur celles-ci sont susceptibles d’engendrer des mesures arbitraires. Tel serait le cas d’une obligation de confinement résultant d’une fausse déclaration de contamination ou d’une notification erronée au regard du contexte (par exemple, deux individus identifiés en contact, car situées à quelques mètres l’un de l’autre alors que séparés par des cloisons tangibles). À l’échelon collectif, Alain Supiot invite à opérer une distinction claire entre gouvernement et gouvernance par les nombres, la seconde conduisant à automatiser des choix privant la représentation nationale des débats requis en démocratie.

De cette dernière observation résulte la seconde leçon : l’exercice de nos droits politiques impose de replacer les outils de quantification sécuritaire à leur juste place. En tant qu’artefact du social, ils supposent une mobilisation critique et la juste distance du débat démocratique. Alexandre Viala invite aussi à se déprendre de la tentation du « sophisme épistocratique » : « pour un despote (éclairé), ce tour de passe-passe rhétorique est plus efficace que le recours à la force. Le prince compte moins sur la violence de sa police que sur les lumières du savoir pour se soustraire au débat démocratique dont il ne manquera pas d’invoquer le caractère superflu dès l’instant où la décision est frappée du sceau de la connaissance ». Réinvestir la dimension politique de la technique, pour redonner sa place à l’homme : tel est l’impératif démocratique auquel impose de se soumettre l’usage raisonné et raisonnable des outils de quantification du monde.
 

L’œil de la revue Third

 
La sécurité ne saurait se comprendre sans aborder ses relations avec la notion de liberté. Particulièrement pertinente à l’époque contemporaine, cette tension trouve à s’appliquer de manière éclatante dans les politiques de gestion de la pandémie Covid-19 en cours. L’article de Caroline Lequesne Roth en synthétise brillamment les enjeux et permet à chacun de retrouver la hauteur de vue nécessaire pour alimenter le débat démocratique.



1 | S. Zuboff, The Age of Surveillance Capitalism: The Fight for a Human Future at the New Frontier of Power, Profile Books Édition, Main, January 2019, 705 p. (Retour au texte 1)
2 | O. Martin, L’Empire des Chiffres, Paris, éd. Armand Colin, septembre 2020, p.49. (Retour au texte 2)
3 | Ibid., pp.50-51. (Retour au texte 3)
4 | A. Supiot, La Gouvernance par les nombres, Paris, Fayard, 2015, 512 p. (Retour au texte 4)
31 | Sur la question, nous renvoyons à notre contribution : Le politique au défi des sciences, Paris, éd Mare Martin, 2020 à paraître. https://www.academia.edu/43215110/Le_politique_au_d%C3%A9fi_des_sciences_R%C3%A9flexions_sur_la_l%C3%A9gitimit%C3%A9_algorithmique. (Retour au texte 5)
6 | https://www.lemonde.fr/planete/article/2020/09/23/vers-des-mesures-specifiques-de-lutte-contre-le-coronavirus-a-paris_6053290_3244.html (Retour au texte 6)
7 | A. Supiot, « L’Emprise du numérique est aussi mentale », Marianne, 11 octobre 2019. (Retour au texte 7)
8 | Pour un panorama : voy. notamment Algorithm Watch, Automated Decision-Making Systems in the COVID-19 Pandemic: A European Perspective, September 2020, en ligne : https://algorithmwatch.org/en/project/automating-society-2020-covid19/. (Retour au texte 8)
9 | Article 1 du décret n° 2020-650 du 29 mai 2020 relatif au traitement de données dénommé « StopCovid ». (Retour au texte 9)
10 | B. Stiegler, Ars industrialis, Réenchanter le monde, La valeur esprit contre le populisme industriel, Paris, Flammarion, 2006, coll. « Champs essais », p. 29. (Retour au texte 10)
11 | Avis n°9 du Conseil scientifique COVID-19, 3 septembre 2020. (Retour au texte 11)
12 | Tel est notamment le cas de nombreuses applications asiatiques, mais aussi de l’application russe, polonaise ou encore israélienne. Voy en ce sens : Algorithm Watch, Automated Decision-Making Systems in the COVID-19 Pandemic, précédemment cité. (Retour au texte 12)
13 | Comme le rappelle A. Supiot, La Gouvernance par les nombres, précédemment cité. (Retour au texte 13)
14 | O. Martin, L’Empire des Chiffres, Paris, éd. Armand Colin, septembre 2020, p. 186 (Retour au texte 14)
15 | Notons que le droit européen et national interdit par principe les traitements automatisés mais les exceptions au principe sont larges et nombreuses. (Retour au texte 15)
16 | A. Soltani, R. Calo, & C. Bergstrom, “Contact-Tracing Apps Are Not a Solution to the COVID-19 Crisis”, Brookings TechStream, April 27, 2020. https://www.brookings.edu/techstream/inaccurate-and-insecure-why-contact-tracing-apps-could-be-a-disaster/. (Retour au texte 16)
17 | A. Viala, « Coronavirus : La science doit servir le pouvoir sans que celui-ci ne succombe à la tentation de s’en servir », Alexandre Viala, Coronavirus : « La science doit servir le pouvoir sans que celui-ci ne succombe à la tentation de s’en servir », Le Monde, 30 mars, en ligne https://www.lemonde.fr/idees/article/2020/03/30/coronavirus-la-science-doit-servir-le-pouvoir-sans-que-celui-ci-ne-succombe-a-la-tentation-de-s-en-servir_6034857_3232.html, 30 mars, en ligne https://www.lemonde.fr/idees/article/2020/03/30/coronavirus-la-science-doit-servir-le-pouvoir-sans-que-celui-ci-ne-succombe-a-la-tentation-de-s-en-servir_6034857_3232.html. (Retour au texte 17)

partager cet article

Michel Leclerc, Arthur Millerand & Jérémie Aflalo, associés du cabinet Parallel Avocats.

(www.parallel.law)
 

Nemo censetur ignorare legem : « Nul n’est censé ignorer la loi ». D’après cet adage bien connu, toute personne doit connaître les règles de Droit et ne peut pas invoquer leur ignorance pour faire échec à leur application.

La réalité est tout autre car, compte tenu de l’inflation normative, de la diversité des sources et de la complexité des normes, aucune personne, pas même un juriste, ne peut prétendre connaître l’état du Droit dans son ensemble.

Ce constat nous conduit ainsi à interroger le concept de sécurité juridique et à explorer ce que signifie l’innovation dans un contexte règlementaire aussi dense qu’incertain.

 

Pour un non-juriste, le Droit est souvent imaginé comme le domaine de la logique et de la rationalité implacable, où les règles juridiques applicables constitueraient un ensemble clair et lisible. Selon cette approche idéale (pour ne pas dire utopique), la sécurité juridique serait le standard et les professionnels du Droit seraient les porte-paroles de textes qu’il leur suffirait d’appliquer pour résoudre des situations pratiques, à la manière d’un mathématicien qui résout une équation.

La réalité est toute autre puisque les règles sont nombreuses1 et enchevêtrées. Dans cet univers, l’insécurité juridique s’impose comme une préoccupation quotidienne et les professionnels du Droit jouent un rôle capital dans l’identification des règles applicables, leur interprétation et le conseil des opérateurs économiques.

Cette contradiction entre croyance et réalité invite à interroger les notions de sécurité et insécurité juridique :

Sécurité juridique : le terme « sécurité » désigne « l’état d’esprit confiant et tranquille de celui qui se croit à l’abri du danger ». L’adjectif « juridique », quant à lui, semble plutôt préciser « l’origine du danger, c’est-à-dire le danger venant d’une règle de droit, soit-elle de nature législative ou réglementaire ou bien d’origine jurisprudentielle »2.

Autrement dit, la sécurité juridique correspondrait au sentiment de confiance quant à l’absence de danger provenant des règles de Droit. Ainsi, le principe de sécurité uridique « renvoie à la qualité de la règle de droit et tend à garantir une effectivité des droits des justiciables »3.

Insécurité juridique : la doctrine souligne qu’ « on doit constater que l’insécurité juridique ne peut se définir qu’en creux, c’est-à-dire par rapport à une autre notion, bien plus consistante en droit, celle de sécurité juridique. C’est ainsi qu’il y a insécurité juridique lorsque les conditions de la sécurité juridique ne sont pas ou plus remplies ou lorsque certains de ses éléments constitutifs sont remis en cause », à savoir l’accessibilité, l’intelligibilité et la prévisibilité du Droit4.

Selon un auteur, l’insécurité juridique « se nourrit de l’inflation normative comme de l’instabilité des règles ou encore du déclin de l’art de légiférer. Parce qu’elle fait obstacle à la connaissance des règles, elle provoque une situation d’angoisse face au droit. C’est l’insertion de la norme juridique dans l’ordre social qui est en cause, et donc sa vocation à régir réellement et durablement les situations juridiques, sans compter le discrédit qui affecte alors le droit. L’insécurité juridique, c’est la règle qui se dérobe5 ».

Si l’on considère que l’insécurité juridique est la norme, alors comment entreprendre dans un monde si (mal) règlementé ? Comment être en mesure d’innover alors que les règles sont complexes, changeantes, floues ou absentes ?

Ces questions se posent avec encore plus d’acuité dans le secteur numérique où s’épanouissent les nouveaux modèles, usages et technologies. Le numérique est aujourd’hui le théâtre de l’innovation et cela en fait un objet d’étude passionnant pour le rapport entre la sécurité et l’insécurité juridique.

L’objectif de cet article est d’explorer le rapport ambigu entre réglementation et innovation afin de présenter une démarche pour que les entrepreneurs du numérique puissent sécuriser leurs opérations en tenant compte des contraintes juridiques.
 

Le rapport ambigu entre normes juridiques et innovations

 
Réglementer permet de fixer un cadre

Le dictionnaire Larousse définit le terme « réglementation » comme l’ « ensemble des mesures légales et réglementaires régissant une question ». Ainsi, l’essence de la réglementation est de fixer des contours permettant d’encadrer les questions qui affectent notre société. Formulé autrement, les règles juridiques constituent le fondement du vivre ensemble et structurent notre société en régissant les relations entre les personnes.

La notion de réglementation est donc intrinsèquement liée à la sécurité, notamment en ce qu’elle donne de la prévisibilité dans la gestion de situations litigieuses ou du rapport aux choses. C’est pourquoi, il est bénéfique pour les opérateurs économiques qu’un cadre réglementaire clair régisse leurs activités, car cela les sécurise. Pour illustrer ce propos, nous avons pu constater que la récente invalidation du privacy shield6 – qui encadrait et ainsi permettait le transfert de données à caractère personnel entre l’Union Européenne7 et les États-Unis – par une décision de la Cour de Justice de l’Union Européenne, a contraint l’ensemble des opérateurs concernés à adopter de nouvelles mesures (notamment opérationnelles et contractuelles) pour tenter de s’adapter, sans toutefois avoir la garantie que ces mesures soient conformes aux principes issus du RGPD8. La disparition d’un élément juridique a ainsi placé les entreprises dans une situation d’insécurité.

La définition du terme « réglementation » implique également, qu’avant d’édicter une règle juridique, il convient de connaître la question que l’on souhaite régler. On perçoit ainsi une limite inhérente à la réglementation : le Droit régit a posteriori des situations factuelles connues et appréhendables. En conséquence, en présence d’une situation nouvelle, il existe toujours un temps de latence pendant lequel le cadre réglementaire est inexistant ou inadapté, car fondé sur la situation ancienne. Et c’est précisément pendant ce temps de latence que le Droit, pourtant l’instrument par excellence de sécurité, peut être source d’insécurité.

Innover questionne les frontières du Droit

Le même dictionnaire définit le terme « innovation » comme l’ « introduction, dans le processus de production et/ou de vente d’un produit, d’un équipement ou d’un procédé nouveau ». L’innovation correspond donc à la création et l’émergence d’une nouveauté. Sans forcément être révolutionnaires, de nouveaux objets, procédés et situations émergent grâce à l’esprit d’entreprise.

On peut distinguer trois types d’innovations pour les besoins de notre propos :

L’innovation incrémentale (amélioration de ce qui existe) consiste à améliorer un produit ou service existant sans bouleverser le marché ou à rendre ce dernier plus accessible. On peut citer par exemple l’émergence des plateformes de location de logement pour de courtes durées qui sont venues améliorer le marché, déjà existant, des locations courtes durées, en facilitant la mise en relation entre loueurs et locataires.

En règle générale, l’innovation incrémentale peut être appréhendée par les règles juridiques existantes puisque la situation sous-jacente est déjà connue et pas fondamentalement bouleversée par l’innovation. Des adaptations des règles sont réalisées par les juges avec l’interprétation et par le législateur avec le renforcement des régimes juridiques.

L’innovation radicale (nouveauté totale) consiste en la création d’un nouveau produit ou service qui crée un nouveau marché ou transforme en profondeur un marché existant. C’est le cas notamment des voitures autonomes qui vont transformer le marché automobile en allant au-delà de la conception du véhicule conduit par un humain.

En présence d’une innovation radicale, les règles juridiques sont inexistantes, ce qui impose de créer un cadre nouveau. Dans l’exemple des voitures autonomes, les règles existantes sont fondées sur le fait qu’un véhicule doit être maîtrisé par un conducteur personne physique et sont donc inapplicables à la situation factuelle nouvelle (l’absence de conducteur), ce qui impose, entre autres, de modifier les traités internationaux sur la circulation routière ou les règles relatives aux assurances automobiles.

L’innovation adjacente (nouveauté partielle) consiste à utiliser un produit, un service ou une technologie nouvelle sur un marché existant. Un exemple d’innovation adjacente pourrait être les crypto-actifs, issus de l’utilisation de technologies de stockage et de transmission d’informations (blockchain) dans l’industrie financière.

L’innovation adjacente se trouve généralement partiellement et imparfaitement régie par des règles existantes, ce qui conduit à adapter les règles existantes (ex : la taxation des plues-values) ou à en créer de nouvelles (ex : les levées de fonds en crypto-actifs). En ce qui concerne les levées de fonds par émission de crypto-actifs (Initial Coin Offering – ICO), qui étaient partiellement appréhendées par le régime applicable aux offres de titres financiers, elles font désormais l’objet de règles spécifiques avec notamment pour objectif d’encadrer les émissions et prestataires qui échappaient au cadre de la règlementation financière9.

Confrontée à l’innovation, la sécurité juridique, dont l’une des caractéristiques essentielles est la prévisibilité – qui implique une certaine stabilité des normes10 – créé les conditions d’une insécurité juridique, le cadre règlementaire n’étant plus adapté à la situation factuelle nouvelle.

En définitive, il existe nécessairement une phase où l’innovation est en marge des règles de Droit. Pendant cette phase, la sécurité juridique est relative mais il ne faut pas s’empêcher d’innover (tout ce qui n’est pas interdit par la loi étant permis11) si l’on adopte la bonne approche pour sécuriser sa démarche.
 

Sécuriser l’innovation en tenant compte des contraintes juridiques

 
Accepter l’insécurité juridique

Pour surmonter l’insécurité juridique inhérente à toute activité innovante, l’entrepreneur doit obligatoirement accepter, au moins temporairement, d’évoluer dans un cadre réglementaire incertain. Prenons quelques exemples pour illustrer ce propos :

La reconnaissance du covoiturage : en 2004, BlaBlaCar lance une plateforme communautaire de covoiturage qui permet la mise en relation entre des conducteurs voyageant avec des places libres et des passagers se rendant dans la même direction. Lors du lancement de l’activité, il n’existait aucune définition juridique du covoiturage12, exposant BlaBlaCar (et ses utilisateurs) à une incertitude quant à la qualification juridique de cette activité ainsi que sa licéité ou le régime juridique qui lui serait applicable. La première définition jurisprudentielle n’intervient qu’en 2013 et il faut attendre 2015 pour qu’une loi consacre légalement le covoiturage13.

L’application du statut de base de données protégée aux plateformes numériques : le Code de la propriété intellectuelle définit ce qu’est une base de données14 et confère à son producteur un droit sui generis15. Cependant, cette définition laissant le soin aux juges du fond d’apprécier si les conditions de la reconnaissance du statut de base de données sont remplies, les opérateurs de plateformes numériques restent exposés à un aléa quant au fait de savoir si leur plateforme constitue une base de données protégée par un droit sui generis16. Il a ainsi été jugé que le site d’annonces en ligne « leboncoin.fr » constituait une base de données au sein du Code de la propriété intellectuelle tandis que cette qualification a été refusée à une plateforme mettant en relation des parents avec des baby-sitters17.

L’interdiction de TikTok aux États-Unis : le 6 août 2020, le président des États-Unis d’Amérique, Donald Trump, a signé un décret aux termes duquel il a déclaré que l’application de partage de vidéos TikTok, propriété de la société chinoise ByteDance Ltd., collectait des données personnelles transmises aux autorités chinoises et étaient utilisées dans des campagnes de désinformation au profit du parti communiste. En conséquence, il a interdit à toute personne relevant de la juridiction des États-Unis de procéder à toute transaction avec ByteDance Ltd. et/ou ses filiales et participations18. Sans nous prononcer sur la légalité de ce décret, nous constatons que l’absence de cadre spécifique applicable au transfert, au stockage et au traitement de données personnelles par TikTok auprès de ses utilisateurs américains l’a exposé à un « fait du prince » menaçant la continuité de ses activités aux États-Unis.

Ces situations illustrent que l’innovation technologique et numérique implique des enjeux juridiques capitaux, ce qui impose de placer la stratégie juridique au cœur de la stratégie de l’entreprise.

En effet, accepter l’insécurité juridique ne signifie pas qu’il faut faire abstraction des considérations et contraintes juridiques, au risque de faire face à des conséquences dramatiques et non anticipées (par exemple, en lançant une activité pourtant expressément interdite en vertu des règles existantes). Bien au contraire, il est indispensable de comprendre le cadre règlementaire existant, d’apprécier les contraintes juridiques qui en résultent et d’évaluer les risques qui en découlent, afin (i) de déterminer le degré de risque que l’entreprise est en mesure d’accepter (notamment, à la lumière des profits attendus de l’activité innovante) et (ii) de disposer d’options stratégiques permettant de réduire la probabilité d’occurrence des risques ou, le cas échéant, d’en limiter les conséquences (par exemple, en explorant des solutions alternatives permettant de réorienter ses activités).
 

Construire une stratégie règlementaire pour créer les conditions de sa sécurité juridique

 
Le Droit est un outil qui permet de sécuriser son modèle, de protéger ses créations et d’en assurer la pérennité. Chaque entrepreneur dans le numérique et les nouvelles technologies doit y être très attentif pour éviter l’écueil du « géant aux pieds d’argile ». Que ce soit des nouvelles formes de logiciels, des modèles basés sur les données (personnelles ou non) ou des entreprises qui révolutionnent des secteurs ou professions règlementées, la considération juridique doit être présente pour protéger le développement de l’entreprise.

Contrairement aux idées reçues, l’absence de règles est très dommageable pour les entreprises innovantes (cf. supra), qui n’ont pas pour ambition de conduire leurs activités dans un Far West juridique. Certaines entreprises innovantes ont ainsi compris qu’il était dans leur intérêt, à défaut ou dans l’attente d’un cadre légal adapté à leurs activités, de s’autoréguler en fixant ses propres limites sur la base de son interprétation juridique des règles existantes. Les fournisseurs de solutions numériques sont toujours appréhendés par le prisme de la loi pour la confiance dans l’économie numérique de 2004, issue de la directive européenne sur le commerce électronique, et il existe des débats jurisprudentiels importants sur l’étendue de leur responsabilité (soit éditeur, soit hébergeur). Ainsi, de nombreuses sociétés anticipent les futures clarifications juridiques en conduisant des analyses approfondies de leurs activités pour limiter certains fonctionnalités ou potentialités de leurs produits/services.

Pour pouvoir suivre cet exemple et adopter une lecture règlementaire logique et pertinente, les acteurs numériques et technologiques innovants doivent :

définir avec précision leur modèle économique et comprendre les contraintes juridiques associées à leur activité, évaluer les risques qui en découlent et adopter une stratégie réglementaire dans l’optique de sécuriser leurs activités ;

participer aux réflexions sur la création ou l’évolution des règles existantes : il est en effet primordial pour tout opérateur innovant de concevoir le Droit non pas comme une contrainte mais comme un avantage compétitif créateur de valeur, dans l’objectif de faire triompher sa vision et son interprétation ;

former tous les membres de l’entreprise pour que chacun, dans sa fonction et à son niveau, porte un message uniforme. À défaut, l’opérateur innovant s’expose à ce que la lecture réglementaire non partagée conduise l’entreprise à commettre des erreurs (provoquant un désalignement entre réalité opérationnelle et lecture réglementaire) et empêche sa stratégie réglementaire de prospérer ;

développer leurs activités en sachant être un interlocuteur déterminé, mais également raisonnable et raisonné, des autorités et des régulateurs.

En substance, les fondateurs et dirigeants d’entreprises technologiques doivent connaître et maîtriser leur environnement juridique afin de pouvoir avoir un impact sur celui-ci. Il faut être actif et adopter une lecture règlementaire conforme à sa stratégie opérationnelle pour sécuriser son modèle et assurer son leadership sur le marché.



1 | Selon l’édition 2019 des Indicateurs de suivi de l’activité normative publiés par le secrétariat général du gouvernement, il existait au 25 janvier 2019, 84 619 articles législatifs et 233 048 articles réglementaires. (Retour au texte 1)
2 | DE SALVIA Michele, La sécurité juridique en droit constitutionnel français, Cahier du Conseil Constitutionnel, n°11, décembre 2001. (Retour au texte 2)
3 | EL HERFI, Les principes de confiance légitime et de sécurité juridique en droit européen – Interprétation et portée en droit de l’Union européenne et en droit de la Convention européenne des droits de l’homme, Service de documentation, des études et du rapport de la Cour de cassation, Bureau du droit européen, 27 octobre 2015.(Retour au texte 3)
4 | ABLARD Thierry, Insécurité juridique : l’impuissance publique ? Cahiers de droit de l’entreprise n° 1, Janvier 2008, dossier 4. (Retour au texte 4)
5 | MOLFESSIS Nicolas, Combattre l’insécurité juridique ou la lutte du système juridique contre lui-même, Rapport d’activité du Conseil d’État, 2006, p. 391.
(Retour au texte 5)
6 | Décision d’exécution (UE) 2016/1250 du 12 juillet 2016 de la Commission du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis. (Retour au texte 6)
7 | Data Protection Commissioner c/ Facebook Ltd et Maximillian Schrems, CJUE, 16 juillet 2020, Aff. C-311/18. (Retour au texte 7)
8 | Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. (Retour au texte 8)
9 | Règles issues de la loi n°2019-486 du 22 mai 2019 relative à la croissance et la transformation des entreprises (dite loi « Pacte »). (Retour au texte 9)
10 | VALEMBOIS Anne-Laure, La constitutionnalisation de l’exigence de sécurité juridique en droit français, Cahiers du Conseil Constitutionnel n°17 (prix de thèse 2004), mars 2005. (Retour au texte 10)
11 | Article 5 de la Déclaration des Droits de l’Homme et du Citoyen de 1789 : « La loi n’a le droit de défendre que les actions nuisibles à la société. Tout ce qui n’est pas défendu par la loi ne peut être empêché, et nul ne peut être contrainte à faire ce qu’elle n’ordonne pas ». (Retour au texte 11)
12 | Cass. Com., 12 mars 2013, Bull. 2013, IV, n°36, n°11-21.908. (Retour au texte 12)
13 | Loi n°2015-992 du 17 août 2015 relative à la transition énergétique et à la croissance verte (cette définition a été codifiée et figure à l’article L.3132-1 du Code des transports).(Retour au texte 13)
14 | Article L.112-3 du Code de la propriété intellectuelle. (Retour au texte 14)
15 | V. articles L.341-1 et suivants du Code de la propriété intellectuelle ; ce droit sui generis leur permettant notamment de faire interdire l’extraction et la réutilisation de la base de donnée. (Retour au texte 15)
16 | TGI Paris, 1 septembre 2017, n°17/06908, LBC France c/ entreparticuliers.com (Retour au texte 16)
17 | CA Paris, 21 novembre 2008, n°07/10985, Jurisdata n°2008-373507, Sté Select à domicile et autres c/ Sté Cariboo Networks. (Retour au texte 17)
18 | Executive Order on Adressing the Threat Posed by TikTok en date du 6 août 2020 (https://www.whitehouse.gov/presidential-actions/executive-order-addressing-threat-posed-tiktok/). (Retour au texte 18)

partager cet article

Ce site utilise des cookies d'audience afin d'améliorer la navigation et les fonctionnalités.