par Stéphane Schmoll
Dans les numéros précédents de S&D Magazine, ont été évoqués dans cette quasi-chronique les différents défis de la filière nationale de sécurité. Ses chantiers internes progressent, mais elle est aussi confrontée à des débats de société aux enjeux considérables, tels que la conciliation des libertés avec l’utilisation de solutions technologiques de sécurité.
Des progrès dans les principaux défis structuraux
La filière de sécurité est un bébé qui n’a pas encore un an et va bientôt marcher. Ses parents se sentent de plus en plus concernés : les entreprises se réjouissent de la création d’une délégation aux industries de sécurité au ministère de l’Intérieur tandis que dans les administrations, on constate un début de prise de conscience de la nécessité du maintien et de la création d’emplois privés dans la sécurité technologique (à ne pas confondre avec les professions de gardiennage). Cela ne tient pas seulement à des raisons économiques évidentes (emploi, PIB, recettes fiscales, exportation) mais aussi à des motifs plus larges. Avec plus de 57 % du PIB, le taux de dépense publique doit baisser pour pouvoir sauvegarder l’essentiel de notre modèle social, ce qui implique que la mission sécurité de l’État doit être aménagée avec le secteur privé. Le débat sur les prérogatives publiques de la plupart des missions opérationnelles n’est pas clos mais il devient évident que la R&D technologique, la production de solutions et l’audit systémique, entre autres, peuvent recourir davantage au secteur privé sans aucunement nuire à l’intérêt général. En pratique, la filière de sécurité s’est d’abord attelée à faire converger l’expression des besoins (France et export) avec le développement de solutions capacitaires créatrices de valeur, une première copie devant être produite dès 2014.
Parallèlement, le débat (en tout petit cercle, hélas) sur l’efficience de la filière ne laisse plus indifférent ; diverses voix s’élèvent pour encourager la définition d’objectifs et d’indicateurs communs ou au moins cohérents, à l’horizon du projet de loi de finance 2016. L’article 15 de la déclaration des droits de l’homme et du citoyen stipule que « la société a droit de demander compte à tout agent public de son administration ». En juillet 1978, à peine six mois après la loi Informatique et Libertés, il a été transcris dans la loi “CADA”. Au-delà de son utilisation dans la jurisprudence, ce principe de transparence devrait éclairer les acteurs publics de la filière, même s’il va à l’encontre de vieux comportements monarchiques que l’on retrouve sur les sujets neufs comme l’open data.
Dans le processus de modernisation de l’action publique et de recherche d’économies, chaque agent de l’État ou de collectivité territoriale sait désormais que son poste n’est pas sacralisé à jamais. En toute logique, la perspective d’une nouvelle carrière dans le privé n’est plus taboue et effraie moins. Mais si les industriels sont fondés à exiger des objectifs et des indicateurs d’efficience, ils devraient aussi rendre des comptes, par exemple en acceptant de conditionner subventions et autres aides publiques à la création d’emplois, de valeur et d’exportation ou encore en acceptation des sanctions pécuniaires ou non en cas de marché public mal exécuté.
Gageons que ces questions structurelles verront bientôt de nouveaux progrès. Ce faisant, la filière rencontre encore au moins un défi de taille, difficile à relever, celui de la conciliation de la sécurité et des libertés.
L’épineuse question du droit de la sécurité
Par définition, le progrès technologique permet, en sécurité comme ailleurs, de nouvelles applications et de nouveaux usages qui, en France, posent systématiquement les mêmes questions trop souvent confondues : est-ce bien légal, est-ce légitime, est-ce licite ?
Les donneurs d’ordre, au premier rang desquels figure l’administration, jouent le plus souvent sur la prudence. Comme il se dit que le risque ne paye pas, ils demandent des solutions inscrites dans un cadre juridique établi, clair et stable. Leurs services juridiques font mine d’ignorer que le fait précède le droit, que le législateur travaille à huis clos avec des juristes spécialisés, des think tanks passionnés et des hommes de l’art et des utilisateurs avertis. Le Conseil d’État lui-même, notre plus haute autorité juridique, consulte, réfléchit et publie des propositions de piste. Son vice-président, dans un discours admirable prononcé le 6 juin dernier1, appelait à « oser le risque » en prenant intelligemment en compte les risques mais aussi les enjeux, y compris économiques. La Section du rapport et des études du même Conseil d’État publiera prochainement son étude annuelle portant sur les technologies numériques et les libertés et droits fondamentaux2. Quand on a la chance d’être auditionné par ces sages, beaucoup plus ouverts que certains ne le croient, on mesure par contraste l’étendue de la médiocrité généralisée, un des facteurs qui freinent le développement de la compétitivité de l’industrie de sécurité. Face au manque d’audace des maîtres d’ouvrage, les chercheurs et les industriels doivent continuer de mouiller la chemise pour avancer des solutions nouvelles passant par l’expérimentation, et ne pas hésiter à les présenter à la CNIL et/ou aux législateurs compétents, que ce soit à travers des colloques savants, des think tanks ou des influenceurs consciencieux. Tandis que des revues professionnelles averties publient également recherches et propositions des spécialistes du droit et des libertés, la presse généraliste préfère tirer l’information vers le bas, vers la caricature, la peur et la défiance, attisant ainsi la prudence des donneurs d’ordre. Deux voies peuvent être suivies pour trouver des solutions de progrès.
La voie législative
Le législateur peine souvent, comme on l’a vu récemment lors de la passe d’armes sur le projet de loi concernant la biométrie, confirmant que nombre de nos parlementaires sacralisent le principe de précaution en omettant d’en examiner les conséquences économiques pour le champion mondial de la discipline, pourtant bien français. Après la biométrie, de nombreux outils technologiques risquent d’être ainsi remis en question : la vidéoprotection, le big data, le renseignement numérique opérationnel, les cybersondes, l’analyse comportementale, les traces génétiques, etc.
À vouloir tout régir, le droit perd pied face au progrès galopant, le législateur produisant trop vite des lois presque immédiatement obsolètes. Pour que la filière de sécurité et le Parlement travaillent bien ensemble, les parlementaires gagneraient à travailler davantage avec les experts publics et privés de la filière mais aussi des juristes, des économistes, des sociologues et même des philosophes pour concilier notre sécurité et nos libertés. Une concertation intelligente et posée déboucherait sur des textes pérennes avec des principes généraux clairement interprétables et indépendants des technologies du moment, comme ce fut le cas pour la loi Informatique et Libertés en 1978 ou la loi Godfrain sur la fraude informatique en 1988. Les réflexions et travaux doivent également s’inscrire dans le cadre européen, carrefour démocratique du débat entre les diverses cultures et l’arbitrage des enjeux et des influences. Ainsi, le projet de règlement sur la protection des données personnelles, adopté le 12 mars 2014 par le Parlement européen, va encore donner lieu à des combats de fond. Il s’agit d’instaurer une pratique commune européenne favorisant les conditions de la décolonisation numérique de l’Europe et sa sécurité économique, avec en toile de fond des chantages à l’emploi des entreprises internationales exerçant sur notre sol. La volonté politique claire devra suivre un débat démocratique large et bien éclairé.
La voie professionnelle
La voie législative a le mérite de prévoir le bâton. En reprenant l’exemple de la protection des données personnelles, aucune entreprise censée ne prendra le risque d’une sanction pouvant atteindre 5 % de son chiffre d’affaires mondial ou jusqu’à 100 millions d’euros. Mais l’autre voie, celle de la carotte, c’est celle de l’auto-régulation par les professionnels eux-mêmes. La fonction de correspondant responsabilisé dans l’entreprise pour informatique & libertés (CIL), instaurée par la CNIL et qui sera prochainement transformée en chief data officer et data protection officer au niveau européen, va dans le sens de la responsabilisation. Cependant, la construction d’une véritable confiance numérique peut se faire, avant et au-delà de la loi, par la voie de référentiels de bonnes pratiques établis ensemble par les professionnels d’un domaine et servant de base à la délivrance de labels éclairant les consommateurs, en attendant d’éventuelles normes. Les think tanks, chaires de recherche ad hoc3 et organisations professionnelles, y compris le CICS, en constituent des laboratoires légitimes et crédibles. Déjà, de tels labels peuvent être reconnus par la CNIL, qui pourrait se contenter de labelliser des certificateurs. Les entreprises ne pouvant se prévaloir d’un tel label seraient de facto suspectes aux yeux des utilisateurs et les labels pourraient devenir un critère d’attribution des marchés publics nationaux.
Le droit et le devoir d’expérimenter
Les vrais spécialistes sont humbles et reconnaissent qu’en matière de technologie appliquée à la sécurité, on ne peut pas tout prévoir et tout garantir à l’avance. Les processus d’expérimentation ont le mérite de permettre à tous les acteurs d’un même projet de définir un cadre de test limité dans le temps et l’espace mais déployé en conditions réelles et munis de tous les instruments d’analyse utiles à en tirer les enseignements a posteriori, à l’instar des vols d’essai d’un nouvel aéronef. Ainsi, on limite les conséquences de défauts éventuels avant toute généralisation. Cela permet un partage raisonné et raisonnable des risques entre les maîtres d’ouvrage, les maîtres d’œuvre et les sous-traitants d’un projet. Face aux retards accumulés par rapport aux anglo-saxons, des voix s’élèvent pour prôner une égalité entre le principe d’innovation et le principe de précaution inscrit dans la Constitution4. L’Euro2016, dont les enjeux de sécurité sont considérables aux yeux du pays et du monde, serait un parfait cadre pour tester et démontrer l’intérêt des solutions françaises.
Le choix est clair : l’immobilisme ou comment piétiner dans la défiance… ou le volontarisme pour avancer en fabriquant notre propre maîtrise du cadre juridique pour ne pas décourager le génie français, toujours encadré par un humanisme raisonné, et permettre à nos champions de rester dans la course, si ce n’est de la gagner. Une alternative qui exige un positionnement assumé de chacun des acteurs concernés.
Notes
1. http://www.conseil-etat.fr/fr/discours-et-interventions/osez_le_risque.html
3. Par exemple : http://cvpip.wp.mines-telecom.fr/