Alors que la période sanitaire accroît les risques de dépendance technologique sur le paysage européen des données, état des lieux et remèdes préconisés par l’actuelle Commission européenne en ce début d’année 2021 et analyse de leur portée stratégique.
Par Guy de Felcourt, Consultant sur les questions de Société et d’Identité numériques, co-fondateur de l’ID Forum
Jusqu’en 2020, la politique de l’Union européenne visait à l’harmonisation progressive des paysages numériques nationaux. Ainsi, l’Europe souhaitait renforcer la cohésion des infrastructures moyennant des investissements pour adopter les nouvelles générations technologiques (IPV6- 4 puis 5G), asseoir la convergence des pratiques par une politique de normalisation et plus généralement promouvoir un espace unique du numérique européen s’articulant autour d’un triptyque de protection des données, de cybersécurité et d’interopérabilité de schémas nationaux d’identités numériques. Ce MUNE (Marché Unique du Numérique Européen) censé devenir réalité en 2020 a, sans arriver à bon port, néanmoins franchi un nombre d’étapes pour s’en approcher : conditions de roaming, fin des discriminations d’adresse IP au sein de l’UE et mise en place de règlements structurants (RGPD et eIDAS).
Des embryons d’écosystèmes nationaux
Les réalisations de ces sept dernières années depuis le règlement eIDAS ou des cinq dernières depuis le RGPD, démontre une élaboration progressive des embryons d’écosystèmes d’identités et de données sur une base nationale. Des progrès sont nets en termes de nombre d’utilisateurs enregistrés comme le système France Connect qui dépasse la barre des 20 millions d’utilisateurs uniques ou en Italie avec le Système Public de l’Identité Digitale (SPID) qui atteint des niveaux comparables avec 17 millions d’utilisateurs. Dans les pays plus avancés où les utilisateurs sont déjà massivement présents, l’utilisation des services numériques progressent toujours tout comme l’activité générale des utilisateurs, en Autriche ou au Portugal par exemple. Le déploiement de solutions de titres accréditifs d’identité ou de citoyenneté sur mobile, plus conviviaux rencontrent également la faveur du public. Enfin, pour les pays se situant dans l’avant-garde européenne (comme le Danemark ou l’Estonie), c’est un élargissement du nombre de services privés au-delà des usages publics ou bancaires et une modernisation des architectures des écosystèmes qui se dessinent.
C’est donc une tendance générale à la progression qui s’opère dans l’Union, bien que les situations d’utilisation entre les 27 pays restent hétérogènes. Au 1er Janvier 2021, une bonne moitié des Etats membres ont pré-notifié ou notifié leur schéma d’identification électronique. Si les résultats sont restés en deçà des espérances initiales, il existe une direction commune dans la construction des écosystèmes numériques des Etats membres. Une impulsion également notable sur la protection des données et la cybersécurité.
L’impact des disruptions
Les évènements de ces dernières années ont relégué à l’histoire cette vision d’un long fleuve tranquille de consolidation du paysage numérique européen. La prise de conscience du pouvoir d’intermédiation économique des plateformes numériques américaines et asiatiques sur l’économie européenne et mondiale en a été le premier facteur. Que ce soit dans les réseaux sociaux, les infrastructures Cloud et Telecom, ou d’autres services des géants de l’Internet, le pouvoir et la valeur ajoutée européenne au sein de l’économie numérique est réduite à la portion congrue.
La crise sanitaire a radicalement accéléré l’utilisation des services numériques en transposant à distance un grand nombre d’actions sociales ou économiques réalisés auparavant en présentiel. Ainsi, l’intermédiation numérique n’est plus une option ou un choix. Certains Etats avaient d’ailleurs décidé résolument de le faire bien avant la crise à l’image de l’Estonie et du Danemark. Aujourd’hui, tous en ont la quasi-obligation.
Le besoin de cybersécurité est devenu sensiblement plus important. Les cyberattaques se sont élargies au-delà du hacker exploiteur de failles découvertes dans le code, mais relèvent aujourd’hui de groupes organisés voir d’Etats eux-mêmes. La cybersécurité elle-même, a changé de nature. Elle ne relève plus tant du domaine technique que du pilotage stratégique du risque et de la gestion des organisations.
A ces trois évènements majeurs, pourrait se rajouter le Brexit. Moins explicite quant à ses conséquences, il n’en reste pas moins que sa digestion est un autre point du calendrier numérique européen. Le Royaume–Uni était très attentif à l’agenda numérique, avec des positions à la fois pragmatiques, souvent modernes (territoires numériques, services open API), mais aussi privilégiant un espace de marché avant tout limitant la profondeur d’autres intégrations possibles du point de vue de la société numérique.
Les propositions de la nouvelle Commission
La Commission « Von der Leyden – Vestager – Breton » se veut offensive sur les questions de stratégie numérique. Elle perçoit que l’enjeu est fondamental pour la stratégie et la souveraineté européenne. Plusieurs propositions ont été mises sur la table fin 2020, avec une mise en lumière de la gouvernance des données et de l’intermédiation.
Plusieurs initiatives législatives ont déjà été prises. Un premier texte visant à renforcer l’interopérabilité et la circulation des données (data governance act) au sein de l’UE a été présenté, suivi de deux textes dont les médias se sont d’avantage fait l’écho, destinés à mieux réguler l’activité des plateformes. Le DSA (Digital Service Act) vise plus particulièrement la fiabilité des contenus et le DMA (Digital Market Act) veut établir des règles pour que les plateformes géantes n’abusent pas de leurs situations dominantes.
Ces textes nouveaux viennent compléter la poursuite d’initiatives plus anciennes comme la relance du projet de règlement e-privacy sur les communications en ligne (un premier consensus a été trouvé au niveau du conseil en février 2021) ainsi que les propositions sur l’évolution du règlement eIDAS de 2014 sur l’identification électronique et les services de confiance, soumises en Août dernier à une consultation et sur laquelle la CE doit soumettre des propositions détaillées durant le semestre en cours. Sur le volet cybersécurité, la Commission annonçait en décembre dernier une nouvelle stratégie et proposait un nouveau texte de directive pour améliorer la résilience des entités critiques.
Les défis de la territorialité numérique
Nous sommes appelés à prendre des mesures qui ne soient pas uniquement en réaction aux difficultés d’aujourd’hui mais qui soient davantage en phase avec le monde de demain, à horizon de cinq à quinze ans. La question est donc de savoir ce que nous pouvons appréhender de celui-ci : une hyper-connectivité numérique entraînée par des dizaines de milliers de satellites en orbite basse, des centaines de milliards d’objets connectés et une explosion de l’exploitation des données sur des forêts de milliers de serveurs. Ces immenses territoires numériques seront-ils européens ? Un peu ou pas du tout ?
La réponse traditionnelle apportée à cette question est celle des investissements sur les infrastructures numériques : investissons sur les infrastructures cloud, sur le lancement de nos propres satellites, sur les puces pour des serveurs de haute performance, sur les technologies quantiques, sur l’intelligence artificielle. Restons compétitifs vis-à-vis de l’Amérique et de l’Asie pour garder la maîtrise de notre destin.
Cela est certes utile, mais notre autonomie stratégique requiert aussi de construire sans tarder l’ancrage des services sociaux et économiques sur une armature de confiance numérique. Les territoires numériques ne sont pas seulement une question d’infrastructure, ils sont aussi une question d’architecture suivi d’une progressive rééducation des usages. Et dans ce domaine la construction juridique et technique des identités et des données des acteurs européens : administrations, entreprises, citoyens, est essentielle. Des textes comme le RGPD et le Cloud-Act américain démontrent aussi par leur sphère d’applicabilité que la territorialité numérique n’est pas à confondre avec la territorialité géographique.
La période sanitaire actuelle a le mérite d’ouvrir les yeux des utilisateurs, y compris des particuliers, pour réaliser que bénéficier d’une identité numérique fiable leur permet de garantir leur droit lors d’une portabilité des données, d’un vote en ligne, d’un accès à un dossier de santé, d’exercer un droit de la consommation, de signer sur l’accord d’un prêt ou de manifester leur droit a un débat contradictoire face à une décision d’un organisme d’Etat. Dans le numérique, plus encore que dans le monde physique, il n’y a pas de droits exerçables et reconnaissables possibles sans identités.
De l’espace de données vers un possible écosystème européen…
Pour les entreprises et les citoyens européens, le recours à des écosystèmes d’identités et de données les rattachant à leur géographie juridictionnelle pourra constituer de ce point de vue une garantie essentielle pour la connaissance de leurs droits et la maîtrise de la portée de leurs responsabilités. Les données ne sont-elles pas que du sable lorsqu’elles ne sont pas ordonnancées par l’usage des identités, ou bordées par la résilience de la cybersécurité ?
La voie reste néanmoins étroite pour la Commission européenne sur la base des traités européens actuels. En effet, tant l’identité que la cybersécurité restent essentiellement des prérogatives du domaine réservé des Etats Membres. Les principes d’harmonisation du marché intérieur et/ou de subsidiarité permettent des marges de manœuvre mais celles-ci restent étroites au vu de l’importance des chantiers qu’il faudrait mettre en œuvre.
Pourtant, il en va de l’intérêt des Etats eux-mêmes de construire au niveau européen ce qu’ils semblent avoir du mal à réaliser sur le plan national, par insuffisance de moyens budgétaires, ou frilosité politique.
L’UE pourra t’elle franchir le pas ?
Un premier élément de réponse est attendu avant la fin du premier semestre 2021 avec les propositions de la Commission sur les évolutions pour le règlement. Lors des consultations elle avait évoqué trois scénarii non exclusifs l’un de l’autre : le premier est une timide consolidation et actualisation du règlement de 2014, le deuxième promeut des voies d’élargissement au secteur privé, avec sans doute de plus fortes mesures incitatives pour les usages nécessitant un degré élevé de confiance. Le troisième scénario prévoyait quant à lui la possibilité de développer des schémas d’identité paneuropéens, proposés potentiellement à l’ensemble des citoyens de l’UE. Ce dernier scénario, le plus offensif des trois, permettrait aux populations dont les gouvernements sont peu actifs dans ce domaine d’utiliser les solutions alternatives promues sur le plan paneuropéen.
Quel sera le mélange des scénarii retenu dans la proposition de la Commission ? Ce sera à n’en pas douter un premier test du niveau d’ambition de l’UE en ce domaine. Resterons-nous dans la voie progressive pour accompagner la situation présente et limiter les points de douleur sur les territoires numériques ou allons-nous véritablement faire face aux défis actuels ? Avons-nous la volonté d’aller plus loin qu’un espace de données avec des règles de protection pour aller vers une architecture européenne des services ? Souhaitons-nous affronter l’avenir en construisant un écosystème numérique européen ?
En regardant les territoires numériques impactés en Europe par la situation sanitaire, l’intermédiation des plateformes, la cyber insécurité et le Brexit, nous sommes aujourd’hui quelque peu dans une situation similaire à celle décrite par Chateaubriand qui à la fin du 18e siècle fui les tourbillons de la révolution et du premier empire sur l’Europe. Nous pouvons dire avec lui “La vieille Europe ; elle ne revivra jamais : la jeune Europe offre-t-elle plus de chances ?”