Par Barbara Tron
Enjeu stratégique de sécurité, de police, de société, d’économie, les données, qualifiées d’« or noir », méritent un cadre juridique et légal clarifié. Si la question de leur gouvernance n’est à ce jour pas tranchée et demeure un sujet sur lequel les avis divergent, un élément fait l’unanimité : il est temps de s’en (pré-)occuper, et vite !
Favoriser l’innovation et le business européens
Le RGPD est un premier pas et donne la direction d’un cap à suivre : « le RGPD est un cadre propice au développement économique qui rend homogène une règlementation sur un continent de 500 millions d’utilisateurs, en mesure de rivaliser avec les blocs américains et asiatiques », indique Eric Bothorel, député LREM de la 5e circonscription des Côtes-d’Armor, qui rappelle en outre que nous évoluons dans un monde instable, dans lequel n’importe quelle entreprise peut faire état de vulnérabilité, y compris les GAFAM. « Cette instabilité frappe tous les acteurs. Mais la France, avec l’Europe, trouve matière à prendre des décisions qui vont améliorer les choses. L’objectif est avant tout de ne pas freiner l’innovation. La France a son mot à dire sur la fiscalité, sur la régulation des données, sur l’innovation, comme la blockchain par exemple, sur la manière de résister aux cybermenaces, sur l’ordinateur quantique qui bouleversera les modes de calculs et les logiques auxquelles nous sommes soumis aujourd’hui et qui ouvrira de nouvelles pistes, tout comme de nouvelles menaces. »
Chaque jour, l’innovation technologique bouscule l’acquis et apporte de nouveaux services aux citoyens. La SNCF déploie par exemple des programmes visant à fluidifier l’expérience client et multiplie les sources de données pour optimiser la maintenance du réseau, le trafic et l’information aux voyageurs. Source de données importante, l’application accompagne les utilisateurs qui acceptent d’être géolocalisés dans leurs déplacements et est capable d’analyser la répartition des voyageurs dans les villes aux alentours de leur gare d’arrivée, ou l’impact des conditions climatiques sur leur mobilité. L’application SNCF affiche près de 11 millions de téléchargements.
SNCF Réseau mène une stratégie de transformation industrielle et digitale d’envergure s’inscrivant dans un cadre d’ouverture des données, en mettant notamment pas moins de 215 sources de données ouvertes à disposition de ses partenaires, grands groupes et start-ups.
Pour ne pas condamner l’innovation, pour ne pas freiner les initiatives, pour accélérer le déploiement des start-ups et pérenniser l’activité des entreprises, le cadre législatif et la façon d’établir des lois doivent eux aussi innover et apporter des solutions adaptées aux nouvelles technologies « les réflexions doivent être menées afin de faire grandir l’innovation sans la contraindre dans des carcans législatifs historiques, qui ne sont plus adaptés au monde actuel » soutient Eric Bothorel.
Faire front aux blocs américains et asiatiques
La France montre l’exemple et donne l’impulsion avec l’émergence d’une autorité à l’échelle européenne qui vise à contrebalancer les blocs américains et asiatiques. Selon Eric Bothorel, il est nécessaire de « déterminer une doctrine, de trouver les moyens, puis de se coordonner, en s’appuyant sur les forces de chaque pays. Agilité et souplesse sont essentielles pour établir des modèles hybrides, permettant le libre choix d’améliorer son quotidien, sa santé, sa culture, etc. ».
Ainsi, pourquoi ne pas relever et mutualiser certaines données, anonymisées, de telle sorte que leur traitement et leur analyse favorisent l’émergence de services novateurs ?
En ce sens, Jérôme Savajols, directeur Innovation de Delta Assurances, imagine « un réservoir partagé et accessible en « open source », permettant aux acteurs économiques de créer de nouveaux services, de la valeur ajoutée. Une masse anonymisée de données personnelles, classifiée, organisée et enrichie en temps réel permettrait d’accélérer l’innovation et de représenter, à l’échelle européenne, un contre-poids redoutable face aux blocs américains, asiatiques et russes ».
En France, les dossiers médicaux électroniques, les applications et les objets connectés relevant des indicateurs de santé, les vidéo-consultations, et autres « e-traces » laissées dans le sillon des individus représentent une source de données fantastique pour contribuer à l’avancée scientifique, sous réserve, une fois encore, d’une supervision réglementée de ces précieuses data.
Pour quel régulateur opter ?
Plusieurs pistes sont évoquées par Eric Bothorel, parmi lesquelles la CNIL, le CFA, l’Autorité de la concurrence, l’ARCEP… Mais alors que de multiples et divergents facteurs s’entremêlent – télécoms, énergie, transports, environnement, enseignement, etc. -, ne faudrait-il pas plutôt s’orienter vers les régions, qui centralisent l’ensemble des compétences, interroge Christian Daviot, conseiller stratégie de l’ANSSI.
Selon Jérôme Savajols, « c’est à l’Etat qu’il revient de fixer l’algorithme qui anonymiserait un immense réservoir en open source. Dès lors qu’on décorrèle les données liées à un individu, il n’y a plus de sujet quant à l’identification d’un individu et le lien vers ses données personnelles. Il suffit donc qu’une autorité régule et contrôle l’anonymisation ».
Des initiatives déjà engagées
Dès septembre 2018 va débuter une session nationale « souveraineté numérique & cybersécurité », portée par l’INHESJ et l’IHEDN et destinée aux cadres dirigeants des secteurs privé et public afin de dispenser une culture des enjeux de cybersécurité et de souveraineté induits par les transformations numériques. Durant une année scolaire, la formation traitera nombre de sujets, dont celui de la gouvernance des systèmes d’information, l’intégration des nouvelles technologies et du Security and privacy by design, les enjeux de souveraineté (technologique, économique, politique) pour la France, les stratégies de puissance des États, le rôle des GAFAM ou encore les enjeux d’un cloud souverain.
Autre initiative, le « Think tank 2.0 », traitant du numérique et de la gouvernance des données, avec pour mission d’assurer une veille internationale stratégique et juridique, d’appuyer la mise en œuvre des politiques publiques et de promouvoir à l’international l’approche française (hors OIG). Fruit de l’union de 5 collèges (l’Etat, des universitaires et professions intellectuelles, des acteurs économiques, des autorités administratives indépendantes et des organisations non gouvernementales et des élus locaux et des Parlementaires nationaux et européens), le groupement d’intérêt public produira un ensemble de supports, dossiers de fonds, événements, blog en matière de sécurité du numérique, cybersécurité et gouvernance des données. Un travail collectif visant à « proposer une solution à l’Etat pour aider à la prise de décision, dans un délai court, avec des experts multidisciplinaires » souligne Christian Daviot.
Anticiper le risque
Ce dernier insiste toutefois sur le fait que, même avec une contrainte de temps serré, il faut garder à l’esprit de « penser et d’anticiper le risque, d’estimer l’ensemble des formes que pourrait revêtir la cybercriminalité. » Des scénarii tels que la propagation d’un virus au sein d’un corpus de données pourraient engendrer des situations catastrophiques telle que la falsification de données de santé conduisant à l’ordonnancement d’un traitement inadapté par exemple.
Anonymisation, régulation, législation, sécurisation… Pour ne pas laisser filer le temps, Jérôme Savajols replace l’individu au cœur du sujet « Laissons le libre-arbitre et la responsabilité aux utilisateurs. Si les bénéfices liés à la connaissance et au traitement de leurs données leur est profitable, à eux de choisir. Reste toutefois à l’éditeur de mettre en œuvre une communication transparente et régulière, avec des notifications éclairées au fil de l’utilisation des services. Si mes données peuvent servir à l’avancée de la science, de la santé, de la recherche, alors, encore une fois, allons-y. Le tout est de veiller à ce que cela ne devienne pas un système de plus pour les annonceurs publicitaires ».