Interview de Marc WATIN-AUGOUARD, Général d’armée (2s), Directeur du CREOGN, Directeur de la session nationale IHEDN-INHESJ « Souveraineté numérique et cybersécurité »

Cette interview a été réalisée par Marius Campos le 14 décembre 2019 dans le cadre d'un projet de recherche intitulé "Cyber : une question de souveraineté - La quatrième dimension de l’espace national" dont le livre blanc préfacé par M. Jean-Yves Le Drian, Ministre de l’Europe et des affaires étrangères, est disponible ici. Les membres de Cyb-RI, étudiants en relations internationales à l'ILERI, ont été sollicités par la commission cyber-stratégie de l'Union-IHEDN pour participer à la rédaction de ce dernier et travailler sur des prospectives à propos du cyber de demain. En tant que Président de Cyb-RI, j'ai eu l'honneur d'avoir la responsabilité du groupe de travail de Cyb-RI et tiens à les remercier pour leur travail sérieux et passionné. Je tiens aussi à remercier chaleureusement M. Watin-Augouard d'avoir accepté de répondre à mes questions, ainsi que Valentin Cuer, Vice-Président de Cyb-RI, pour m'avoir aidé à retranscrire cette interview.

Marius Campos : Pour remédier aux problèmes de concentration des pouvoirs -et rôles- que pose le monopole des GAFAM, certains développent l’idée selon laquelle il faudrait faire en sorte d’avoir un choix plus large d’acteurs. Pensez-vous que l’Etat devrait s’impliquer dans le développement de ces derniers, qu’ils soient français ou non ? Le cas échéant, comment ?

Marc Watin-Augouard : Dans ces domaines, quand l’Etat s’en mêle, nous ne sommes pas surs d’atteindre les objectifs. Je ne pense pas que ce soit une solution d’Etat. De la même façon que la télévision fut porteuse de réels progrès dans le domaine de l’audiovisuel que quand elle fut ouverte à la concurrence. L’Etat peut être régulateur mais est peu entrepreneur. Il doit se poser une question stratégique au sujet des GAFAM, question selon moi évidemment européenne. La question est de savoir si nous sommes capables de développer des plateformes à l’échelle de l’Europe porteuses d’autre chose que ce que nous véhiculent les GAFAM dans leur diversité de services autant en termes de contenus, de stockages, d’hébergements etc… Lorsqu’on parle de lutter contre les GAFAM, la question est de savoir dans quels domaines. Lorsque la France montre l’exemple avec la taxe GAFAM, même si elle est suivie par d’autres acteurs, à elle seule ne peut pas faire grand-chose. Selon moi, la réponse ne peut être qu’Européenne et doit porter sur des valeurs. La politique européenne devrait reposer sur des principes offrant quelque chose au « no mans land » juridique du moins en ce qui concerne les GAFAM. Il y a une décorrélation entre la loi des GAFAM et la loi des pays. Les GAFAM ont inventé leurs propres normes et règles critiquées y compris par les américains mais lorsqu’on attaque les GAFAM, les Etats Unis font bloc car estiment que c’est leur bien, autre ambiguïté. Il me semble donc que l’Europe a une marge, n’étant pas forcément technologique, mais potentiellement basée sur un certain nombre de principes et de valeurs liées par exemple aux contenus.

MC : La publicité en ligne qui est l’une des raisons pour lesquelles il y a un capitalisme de surveillance, et en même temps, est un de ses outils car elle intègre les mouchards qui permettent de suivre les utilisateurs à la trace. A ce propos, Qwant (moteur de recherche français) a été choisis par Brave (navigateur open source fonctionnant sur blockchain) pour ouvrir la voie à un web plus respectueux des données privées des utilisateurs tout en les réintégrant dans le circuit publicitaire en ligne afin de le transformer en « utilis’acteur ». Dans une dynamique inverse, la Chine, parfois cité comme modèle de souveraineté numérique, met en place le système de surveillance et de contrôle de masse le plus poussé actuellement. Pensez-vous qu’il puisse y avoir un juste milieu entre contrôle et liberté sur le net ?

MWA : Les américains nous ont montré un modèle de liberté surveillée : la liberté, leur principe, surveillée, c’est l’affaire PRISM. Ambiguïté démontrée par Snowden : nous sommes dans un pays libre, une grande démocratie dans laquelle on surveille tout ce qui se raconte ! Le modèle chinois correspond à une surveillance sécurisée ou une sécurité surveillée dans laquelle tout est évalué, mesuré, comparé et on en tire des conclusions pour les citoyens (exclusions, interdictions de prendre l’avion le train…) : on arrive à la société « Big Brother ». La troisième voie c’est la liberté sécurisée, la voie dans laquelle l’Europe doit se lancer. Tout doit être conçu pour la liberté (liberté des citoyens, d’expression, d’aller et venir, de commerce et d’industrie…) mais il faut sécuriser cette liberté. C’est alors tout l’intérêt d’une stratégie de cybersécurité à l‘européenne qui vise non pas à faire de la cybersécurité une fin en soi mais une condition ; c’est à dire un socle sur lequel on s’appuie pour favoriser la liberté. Cette dialectique sécurité – liberté est posée en permanence : plus on utilise de méthodes intrusives pour être surs que rien ne se passera mal plus on restreint la liberté. On le voit aujourd’hui avec le débat sur les discours de haine : se posent les questions de jusqu’où aller dans le suivi et le contrôle des discours dits de haine, de discrimination etc… au risque d’aboutir éventuellement à un « contrôle de la pensée » appuyé sur des algorithmes potentiellement limités (quel est le texte, le contexte, le prétexte, le sens …). Le débat sur les contenus n’est donc pas aussi simple que ça. A l’exception peut-être des contenus et discours pédophiles, les discours nécessitent généralement une contextualisation : on a vu toutes les difficultés par rapport à l’apologie du terrorisme. Quand on présente une image, il est important de regarder ce qui est dit avec et l’intention de la personne qui s’exprime (on l’a vu avec des photos du Bataclan qui peuvent être tantôt considérées comme condamnation, tantôt apologie du terrorisme). On a donc besoin d’une intervention humaine extrêmement présente. La question est donc de savoir quelle place laisser à l’humain dans cet arbitrage sécurité – liberté et quand limiter l’algorithme. Dans le système de liberté sécurisée, il existe quand même une prise de risque. On est alors plus dans un domaine technique ou juridique mais dans un domaine politique. Si dans un espace numérique on dit qu’on ne mettra pas en œuvre telle ou telle mesure car trop intrusive dans la vie prive, parce qu’elle porte atteinte aux libertés personnelles par exemple on risque à un moment donné de passer à côté d’un élément qui aurait pu permettre de mettre en évidence telle ou telle action (d’un groupe terroriste par exemple). Il faut donc faire un choix politique : est-ce que j’accepte de ne pas pouvoir prévenir une affaire grave car je ne me serais volontairement pas donné les moyens afin de préserver des principes et valeurs ?

MC : Chaque nouvelle technologie passe par plusieurs étapes : la première étant la découverte du « savoir le faire », la deuxième celle du « pouvoir le faire », la troisième celle du « droit de le faire » et enfin la dernière celle de la « légitimité de le faire », à savoir l’acceptation sociale. Si le RGPD semble nous placer entre la troisième et la dernière étape, selon vous comment l’acceptation sociale des technologies intrusives vis à vis de notre vie privée, de notre autonomie et de notre identité risque-t-elle d’évoluer à l’avenir ? Jusqu’où l’être humain va-t-il accepter d’être partie prenante ou sujet de la transformation numérique ?

MWA : C’est peut-être la question à se poser : y’aura-t-il un jour une révolte de l’« humain » ? J’ai déjà évoqué l’idée qu’autrefois l’humain était un sujet sauf pour les « seigneurs » et, du sujet, l’humain a voulu devenir citoyen en acceptant droits et devoirs de citoyens (même si aujourd’hui cette connaissance des droits et devoirs peut être parfois remise en cause) ce qui amène à la notion de souveraineté individuelle. Un citoyen est donc souverain de ses données, il est souverain de ce qu’on peut faire de lui par le biais des algorithmes sur lesquels il a un droit de regard (en ce qui concerne leur transparence et leur loyauté notamment). Le citoyen a donc la capacité d’agir sur la protection de son écosystème numérique. C’est là où se situe l’acceptabilité sociale : les gens resteront-ils passifs ou prendront-ils véritablement conscience de ce que représente les problématiques comme le profilage (notamment au niveau de la publicité) ? Dois-je accepter que les GAFAM en savent plus sur moi que moi-même (grâce aux analyses Big Data - Intelligence Artificielle des comportements sur le Web etc. qui dressent des profils très précis) ? L’acceptabilité va donc résider dans le choix d’offrir ses métadonnées aux GAFAM notamment ou non, et si non, que faire ? Pour le moment, les individus agissent de manière très isolée. Aurons-nous demain des actions de groupe (class actions) ou un grand nombre de citoyens porteront le problème devant la justice par rapport à ces phénomènes ? Pour le moment cette notion n’est pas encore dans les esprits mais lorsque l’espace numérique sera transposé concrètement dans l’espace logistique, ces dernières prendront une toute autre importance (la notion de voiture autonome par exemple). La question sera de savoir si ces technologies se substituent à l’humain ou si l’humain se doit de garder une part de décision. La problématique s’est posée par le passé avec l’apparition des caméras de surveillance : est-ce que j’accepte d’être filmé en permanence sur la voie publique en échange d’une meilleure sécurité. C’est là que transparait le débat sur la sécurité-liberté et l’acceptabilité sociale d’une nouvelle technologie. A quel moment s’arrête-t-on ? A quel moment le renoncement à mon libre arbitre constitue un renoncement à mes libertés ?
De surcroît, ils ne peuvent pas accepter puisqu'ils n'en sont pas conscients. Mais je pense qu'ils commencent à le devenir parce que lorsqu’ils entendent parler de fuites de données, de Cambridge Analytica -encore que je ne sois pas sûr que M. Michu en soit conscient-... Quand ils entendent parler d'un certain nombre de choses, ils commencent à se dire « Oula il y a un problème ».

MC : Ça, je suis totalement d'accord, mais le problème demeure que M. Michu comme vous dites, il n’en prend pas forcément conscience, et c’est ce qui me gêne. Autant des personnes comme vous et moi, qui sommes intéressés par ces sujets, quand des informations pareilles transitent sur le web, les algorithmes nous les envoient. Mais c'est vrai que des personnes qui de base ne s'intéressent pas à ces sujets-là, les algorithmes vont leur donner bien d'autres sujets à voir, et ils ne vont pas forcément voir passer ces polémiques essentielles. Je connais plein de gens qui n'ont pas vu passer ces informations, et je trouve ça révoltant. Mais on revient à la réponse que vous m'aviez donnée (n.d.l.r. plus bas dans l’interview), à savoir que les GAFAM orientent les algorithmes qui à leur tour détournent le regard des utilisateurs en leur affichant les sujets qu'ils ont l’habitude de voir.

MWA : Par exemple, si vous tapez une requête sur Google et que je tape la même. Nous n'aurons pas les mêmes réponses. Nous n'aurons pas la présentation des articles indexés de la même manière, car l'intelligence artificielle, les algorithmes, classe les résultats d'une certaine manière pour moi et d'une certaine manière pour vous. Alors il y a une phrase que j'utilise toujours la piquant à Gainsbourg c'est « je t'aime moi non plus ». En fait, les gens, en même temps qu'ils sont prêts à tout donner, à se livrer sur la toile, il y a en même temps un sujet sur lequel la prise de conscience se fait. Et cela d'une manière très pragmatique et quotidienne, même si on n'est pas totalement dans le cyber au sens classique du terme, et dans les usages et les applications, ce sont les escroqueries à la carte bancaire.
Quand on voit qu'1,3 million de ménages se sont fait torpiller l'an dernier, là sur les questions de données bancaires, les gens commencent à devenir sensible. Parce qu'ils se sont fait flinguer. Mais le jour où ils auront une prise de conscience sur d'autres phénomènes que les cartes bancaires, à ce moment-là ... voilà. Le phishing de plus en plus les gens tombent dedans, ils se font avoir. Je dirais que quand on aura un cortège de victimes suffisamment important, il y aura une prise de conscience par des gens qui vont pleurer. Et ils iront pleurer où ? Devant la justice, devant les forces de police et de gendarmerie qui n'auront pas été forcément configuré pour gérer le contentieux. D'où la vraie question qui se pose : « quelle sera demain la légitimité de l'Etat si l'Etat n'est pas capable de répondre à leurs questions ? »
Finalement souvent les questions d'ordre technique nous ramènent à des questions fondamentales. Premièrement, « est-ce que j'ai accès à la connexion ? ». Deuxièmement, « quels sont les avenirs des grandes institutions qui aujourd'hui sont censées structurer notre société ? ». Et troisièmement mais véritablement en premier lieu : « est-ce que demain l’Etat sera encore capable de répondre aux attentes ? ». Voilà la question qui est posée qui était essentielle.

MC : Concernant la gouvernance du cyberespace et la souveraineté numérique individuelle, que pensez-vous de cette phrase : « nous sommes passés de sujets à citoyens, il faut désormais devenir souverains » ? Pensez-vous que cela soit envisageable d’ici 2035 ?

MWA : Ça ne sera pas envisageable mais forcément envisagé. On est actuellement au début de l’accélération. En 2025, on va commencer à avoir le plein effet du développement de la 5G et la multiplication exponentielle du nombre de systèmes et d’objets connectés. Elle permet de connecter un million d’objets au km2. On sera dès lors vraiment conscient de l’hyperconnexion. Aujourd’hui les gens ont une relation bilatérale avec leurs objets connectés (rapport individu-smartphone ou individu-montre connectée). Demain ce rapport sera avec tous les objets qui l’entourent et c’est sans doute à ce moment que la prise de conscience sera forte. Il s’agira d’un déclic qui accélèrera les questionnements et qui est selon moi à venir dans les 5 ans. Ces questionnements iront très loin dans la profondeur de la société : derrière ces derniers il n’y aura pas uniquement un rapport sécurité-liberté mais une nouvelle relation au travail par exemple. Cela rendra les débats actuels complètement caducs selon moi : on parlera du travail de demain, de la mobilité de demain etc… Nous sommes aujourd’hui dans une période charnière dont seuls les politiques et les médias ne se rendent pas compte. Notre société va complètement basculer dans 5 ans vers une hyperconnexion qui aura des impacts encore inconnus sur les mutations sociales, le rapport au travail, à la mobilité, à la communication etc… Toutefois, il est très difficile de faire de la prospective à un an ou deux en matière de technologie aujourd’hui.

MC : Les nouvelles technologies ont donc toujours émergé avant que l’on réfléchisse aux usages, et finalement qu’elles soient encadrées par le droit. L’un des exemples récents pourrait être le problème posé aux Etats (et à la démocratie en général) par les propagations de « fake news » sur les réseaux sociaux, à tel point qu’ils en sont à sous-traiter la censure à ces derniers. Avec tout ce que cela implique, ne peut-on pas craindre à terme une forme d’ingérence qui viendrait s’ajouter à celle que nous avons pu connaître lors des élections du Président américain et français ?

MWA : C’est le problème. Qui est juge du bien et du mal, qui est juge du vrai et du faux ? On voit bien la tendance aujourd’hui des propositions de lois comme la proposition Avia en cours de débat en France (critiquée notamment par la Commission Européenne qui demande à la France d’attendre la sortie du règlement européen) qui se veut renforcer la responsabilité des GAFAM. Ces derniers qui respectent une directive européenne de 2000 (avant les réseaux sociaux) qui a été intégré en France dans la loi pour la confiance dans l’économie numérique en 2004 énonçant que seuls les éditeurs sont responsables civilement ou pénalement et que les hébergeurs (ce qui stockent le contenu) et les fournisseurs (qui permettent d’accéder au contenu) n’ont pas de responsabilité sauf s’ils ont pris connaissance du caractère infractionnel du contenu. C’est-à-dire qu’ils n’ont une responsabilité qu’à posteriori. Aujourd’hui, on dit aux GAFAM qu’ils doivent agir dans un délai de 24h dans le cas du règlement européen. On renforce donc leur responsabilité. Si on associe ça à des peines pécuniaires importantes comme la loi allemande du 1er Octobre 2017, la tendance des GAFAM sera donc de jouer d’une forme de censure de « prévention ». Le juge doit à la base juger du bien et du mal, on assiste ici à une déjudiciarisation du système. La question de la rapidité du système judiciaire se pose alors. Les Etats n’ayant pas les moyens de mettre en place un nombre important de modérateurs pour palier à ceux des GAFAM, ils laissent cette responsabilité à ces dernières. On assite donc dans l’espace numérique à la création d’une sécurité privée qui contrôle les flux. Le débat est donc de qui de la puissance publique ou du secteur privé doit être arbitre des élégances. Cette question entraine une remise en question de la place de l’Etat et du juge. Avec les fakes news, la manipulation de l’information est au cœur du problème majeur du XXIe siècle. On va toujours avoir des cyberattaques classiques mais on peut améliorer la sécurité, la compréhension des menaces, la « threat intelligence » et avec des Centres Opérationnels de Cybersécurité améliorer la sécurité des systèmes. En revanche, comment améliore-t-on la sécurité des contenus par rapport aux individus ? Les individus ont de moins en moins de discernement par rapport aux contenus, ils ne sont pas formés à prendre du recul et analyser ces derniers. On pourra mettre tous les systèmes et algorithmes en route, on ne peut pas revoir complètement l’éducation des gens. Il est donc nécessaire d’éduquer, pas seulement les plus jeunes, mais dès le plus jeune âge par rapport aux comportements sur internet. Aujourd’hui, la population va sur internet et utilise des outils dangereux sans « permis de conduire ».

MC : Le monde actuel semble accélérer de manière exponentielle, chaque instants les effets de la transformation numérique étant de plus en plus rapides. Nous sommes tous concernés par les problématiques qui sont liées au cyberespace, et la faille première de celui-ci n’est autre que l’être humain. De surcroît, la défense nationale fait finalement partie des enjeux, et non des moindres. La France devrait-elle pousser chaque citoyen à s’initier à la cybersécurité, en rendant par exemple obligatoire le MOOC de l’ANSSI (SecNum Académie) ?

MWA : Selon moi, on ne devrait pas délivrer de diplôme d’Etat sans épreuve de sécurité (au sens large du terme). Nous devrions mettre en place des épreuves au brevet, au BAC, et aucun Master ne devrait être délivré sans composante cyber. Cette composante cyber touchant d’ores et déjà toutes les strates de la société, il est impératif d’implémenter des formations adaptées. Tous les concours administratifs de l’Etat devraient disposer d’une épreuve de cybersécurité. On ne peut pas recruter des agents de la fonction publique d’Etat ou des collectivités territoriales ou de la fonction publique hospitalière qui n’aient pas un minimum de connaissance sur ce que j’appellerai l’hygiène informatique. Aucun diplôme ne devrait être délivré s’il ne comporte pas une épreuve de cybersécurité adaptée au domaine qui le concerne (aux enfants on parlerait des réseaux sociaux et des risques cyber qui les concernent et au médecin, des risques cyber par rapport à la médecine). Le problème restant la nécessité de trouver des formateurs. Il est donc urgent de former des formateurs dans des domaines variés.

MC : D’aucuns considèrent aujourd’hui que les data brokers (tels que Cambridge Analytica) en savent plus sur les citoyens que la NSA. Selon vous, serait-il souhaitable de promouvoir le développement d’une société où les utilisateurs réussiraient à échapper à la surveillance, des sociétés du numérique et/ou des Etats ?

MWA : Lorsque l’on va sur Google, on se connecte à un serveur situé à un emplacement géographique. La plupart de ces hébergeurs étant situés aux Etats Unis, Google va savoir que moi, avec mon adresse IP, territoire français, je suis allé consulter tel site de tel heure à tel heure. Uniquement via les logs de connexion (c’est-à-dire le « cadre espace-temps »), Google sait qui je suis. Lorsque l’on est sur un système de géolocalisation sur smartphone, on peut tout savoir de vous (si vous prenez le métro, le bus, à pieds, si vous allez faire vos courses au marché au supermarché, si vous allez à la synagogue ou à l’église, si vous êtes à un meeting politique etc…). Rien qu’avec l’indexation des moteurs de recherche, on peut profiler une personne. Plus on interroge des sites correspondants à votre profil, plus les moteurs de recherche et leurs intelligences artificielles vont proposer des sites correspondant au profil : c’est l’« enfermement algorithmique ». Plus le temps passe, plus on se resserre dans l’entonnoir qui ne nous propose rien d’autre que ce qui pourrait correspondre au profil. On voit donc bien que les GAFAM jouent de ce principe : plus on s’enferme dans un profil, plus la connaissance s’affine. Il est aujourd’hui très difficile d’échapper à ce dernier. Cela nécessiterait un système qui efface ces informations de connexion au fur et à mesure qu’elles se créent, or, nous demandons aujourd’hui aux opérateurs de les conserver pendant un an pour pouvoir faire des requêtes en cas de phénomènes criminels ou terroristes. Il y a donc un dilemme aujourd’hui entre la liberté et la preuve numérique. Je vous renvoie au rapport de 2014 de la sénatrice Morrin Desailly : « l’UE, colonie du monde numérique » qui démontre comment la plupart de nos données de connexion sont aux mains des hébergeurs des moteurs de recherche américains, ce qui représente un avantage stratégique fondamental.

MC : Concernant le Big Data et les solutions de Cloud Computing, les offres aujourd’hui disponibles pour nos sociétés françaises sont presque toutes étrangères. Cela pose de véritables questions en termes de souveraineté de la data, notamment depuis le vote du Cloud Act. Peut-on encore espérer voir émerger des solutions compétitives européennes voire nationales ?

MWA : Bruno Le Maire attend une réponse d’un consortium français sur la question avant la fin de l’année ce qui dénote une volonté de rendre le cloud plus souverain. La question est alors de savoir si ce cloud français sera souverain ou un cloud européen. Selon moi, la souveraineté nationale dépendra et sera garantie d’une souveraineté européenne en la question. La question suivante est celle de l’avenir du cloud. Selon moi, contrairement à ce qu’on pense, la croissance du cloud va être contrariée par le développement du « edge computing », le computing de proximité. En effet, avec le développement de la 5G, beaucoup de données produites, traitées et utilisées devront être stockées à proximité. On ne pourra pas avoir de voiture autonome qui réagissent en dessous de la milliseconde si nos données transitent entre deux voitures par les Etats Unis ou le Canada. On tend alors vers une décentralisation et un rapprochement du stockage de données à proximité. Demain, le cloud représentera peut-être 20 ou 30% du stockage des données.

MC :La quantité de données produite et transitant sur le web augmente chaque année de manière exponentielle, et la tendance ne montre à priori pas de signes de ralentissement, on s’attend même à une aggravation du phénomène. Or le réseau internet mondial est d’ores et déjà saturé. Comment voyez-vous l’avenir de cette technologie d’ici 2035 ?

MWA : On entend souvent que le transit de données est aujourd’hui en saturation. La saturation est liée au manque de bande passante : les canaux pour diffuser les données sont insuffisants. Or, premièrement, on développe de plus en plus la fibre optique et les canaux sous-marins. Toutefois, je ne sais pas si la quantité de données augmente plus vite que le déploiement de ces infrastructures. Deuxièmement, il n’est pas dit que toutes les données se retrouvent en même temps sur ces « routes ». Le principe même de la donnée traitée à proximité par un micro-réseau implique qu’une première salve de traitement puisse réduire le flux sur le réseau global (en produisant une donnée « élaborée » à partir de ces données locales). Le « edge computing » créera peut-être des filtres ou des agrégations de la masse de données locale et c’est peut-être l’agrégation de ces données qui sera transmise. Toutefois aujourd’hui beaucoup de professionnels tels que Louis Poulin, un des pères d’internet parlent en effet de la fin de vie du protocole TCP/IP.

MC : Internet est un réseau de plusieurs réseaux gérés par plusieurs opérateurs et fournisseurs de services. Parfois, les communications entre opérateurs nationaux passent par des opérateurs pivots qui sont souvent soit américains, soit britanniques. Le Royaume-Uni étant en passe de sortir de l’UE, pensez-vous qu’il serait souhaitable d’imposer un appairage national afin de limiter le contrôle des données par des Etats externes à l’UE ?

MWA : Le RGPD dit qu'on ne peut pas exporter des données à caractère personnel des citoyens européens dans un pays qui n'offre pas la preuve de garantie adéquate en accord avec le RGPD. C’est la raison pour laquelle le Japon a signé un accord avec l'Union européenne en janvier 2019 faisant reconnaître mutuellement qu’un acteur européen peut envoyer des données personnelles d'européens au Japon et qu’un acteur japonais peut envoyer des données personnelles de japonais en Europe. Un pays qui ne respecte pas les mêmes règles que celles de l'Europe avec le RGPD peut se voir refuser l'exportation de données. C'est la raison pour laquelle la Californie a décidé de se doter d’un RGPD le 1er janvier prochain et que le Congrès américain commence à dire « si chaque Etat des Etats-Unis commence à faire son RGPD dans son coin on va avoir un patchwork américain, il faut faire un RGPD américain. »
Face au Cloud Act, l’Europe a souhaité faire un règlement E-evidence et on voyait bien qu’on allait vers un affrontement, d’où l’ouverture depuis Septembre derniers de négociations américano-européennes sur l’échange de données. Donc ce n’est pas le fait d’être extérieur à l’Europe qui compte, mais est-ce que vous offrez des garanties sur les données à caractère personnel des européens au moins équivalentes à celles que nous leur offrons en Europe. Si oui alors nous pouvons peut exporter chez vous, échanger des données personnelles, si non, c'est non.
La confiance n'exclut pas le contrôle. C'est justement un des reproches qui est fait au système avec ce qu'on appelle le Privacy Shield, l'accord qui a été conclu entre les Etats-Unis et l'Europe, mais avant, ou en même temps que le RGPD, qui repose sur un certain nombre de garanties, de contrôles, la possibilité pour un citoyen européen d’accéder en quelques sortes, de contester l'utilisation de ses données aux Etats-Unis sans passer par un avocat la justice américaine. Donc des choses extrêmement protectrices pour les Européens. Mais si vous demandez à la CNIL ce qu'elle en pense, ou à d’autres CNIL d’Europe ou au collège européen de protection de données (CEPD), ils vous diront que le Privacy Shield c'est mieux mais ce n'est pas parfait. Parce que nous n’avions n'a pas forcément la certitude que s’opère sur place un contrôle absolu des entreprises qui affichent leur volonté de faire comme si elles appliquaient un RGPD.

MC : L’Europe est un modèle d’intégration économique et de gouvernance, et de gestion partagée de la norme. Quid de son pouvoir normatif et réglementaire sur la scène internationale ?

MWA : Si vous voulez le problème c'est que les américains disent « vous les Européens vous n'avez jamais rien inventé en matière de matériel informatique », quoiqu’autrefois Nous avions quand même un socle avec Alcatel, Ericsson, Siemens, Philips etc... Donc les américains disent « Vous avez perdu la bataille du hardware, vous avez perdu la bataille du Software et maintenant vous êtes en train de nous enquiquiner avec la batailler des normes, vous ne savez faire qu’une chose c’est inventer des normes ». C'est peut-être là que l'Europe a justement une place à jouer, c'est dans la norme. Or l'Europe se targue d'avoir un marché unique, très bien, mais elle est la première à tolérer les disparités sur son marché unique avec justement les GAFAM qui sont tous enrôlés en Irlande où ils payent une taxe sur les entreprises de 12,5% contre 33% en France. Et quand le Conseil Européen en 2017 à Tallinn dit que nous allons mettre la taxation des GAFAM comme principe européen et bien vous avez l'Irlande et le Luxembourg qui ont mis leur veto. Donc l'Europe n'a pas joué son rôle en matière de normes faute d'avoir un consensus entre les 28. Résultat c’est l’OCDE qui va faire le s’en charger. Donc l'Europe a perdu une bonne occasion d'offrir au reste du monde une 3e voie, et c'est le rôle de l'Europe d'offrir cette 3e voie. Nous revenons à la notion de valeur. Certes la norme c'est parfois un peu contraignant, mais c'est surtout l'expression de principes fondamentaux : « oui mais sous réserve que ». J'espère qu'avec la nouvelle équipe de la commission et notamment avec Thierry Breton nous aurons un nouveau souffle européen. Il est nécessaire d'avoir un nouveau souffle européen, car si on ne l'a pas nous pouvons dire que l'Europe est définitivement plantée. C’est un des enjeux majeurs pour l'Europe aujourd’hui.

MC : L’avènement de la technologie 5G est proche et Huawei semble être en avance sur ses concurrents dans le domaine. Or à plusieurs reprises par le passé la Chine a détourné, via China Telecom, une partie plus ou moins importante du trafic internet mondial (notamment mobile) vers ses réseaux. Dans la mesure où l’on ne peut compter sur aucune autorité internationale de l’Internet pour prévenir ou à défaut sanctionner de telles velléités, est-il possible d’espérer qu’à l’avenir nous trouvions un moyen d’empêcher celles-ci ?

MWA : Cela rejoint le problème du gap technologique qui est intéressant historiquement parce qu’en 1957 les américains se sont retrouvés face à un gap technologique avec les Russes qui avaient alors réussi à lancer spoutnik dans l'espace. Grandes peurs chez les américains. D’où l'idée de développer cette nouvelle technologies qu’était Arpanet, donc internet, tout ça est né du gap technologique. Les américains découvrent qu'avec la 5G ils sont en retard par rapport aux chinois. Et les Européens, eux, découvrent que Nokia et Ericsson qui restent à peu près européen comme structure industrielle est aussi en retard par rapport aux chinois. Que faire ? On retarde l’arrivée de la 5G ? Ou bien alors on fait ce que propose la France avec la loi dite Huawei, qui impose que tout opérateur soumette au contrôle de l'ANSSI tous les équipements essentiels qui vont contribuer à construire le réseau 5G. Sachant que c'est un réseau qui sera nettement plus virtualisé qu’actuellement et la vraie question est de savoir « que faisons-nous ? » et « quelles sont les limites que nous pouvons apporter au risque d'intrusion chinois sur nos réseaux ? ». Évidemment, si vous dites « les chinois sont capables de rentrer sur nos réseaux » je vous répondrai que les américains le font aussi. Alors quand se pose la question des services particuliers on me répond assez durement « je préfère américain que chinois » sur quoi je peux partager assez volontiers cette analyse mais elle ne suffit pas en soi. Je ne veux pas avoir le choix entre la peste et le choléra. Avec la peste je souffrirai moins mais je mourrai quand même. Donc là on est face à la vraie question « Est-ce qu'on est capable nous européens de développer une offre technologique ? » et l'autre question qui se pose est de savoir « est-ce qu'il faut travailler sur la technologie d'aujourd'hui en remontant le courant ? » où est-ce qu'il faut se poser la question de savoir « et demain ? ». Les chinois ils sont déjà en train de travailler sur la 6G. donc la question qui se pose aujourd'hui est « quelle sera la technologie disruptive de demain sur laquelle il faut aller tout de suite ? ». Il YA une vraie bataille sur laquelle l'Europe peut s'engager c'est sur le quantique et sur l’IA car la messe n’est pas dite. Donc c’est maintenant qu’il faut y aller et y aller massivement. Et tant pis si on est dépendant. C’est comme si je vous disais « Nous avons manqué le tournant de la machine à vapeur » mais aujourd'hui ce n'est pas si grave. Or, pour arriver à cela il faut véritablement que nous ayons une volonté partagée, et c’est là où d'ailleurs je crois que nous serons obligés à un moment donné de revoir non pas l'Europe, mais d'avoir une approche beaucoup plus pragmatique de l'Europe. Finalement, nous avons commencé par quoi ? Par la communauté européenne du charbon et de l'acier (CECA), avec le tandem France/Allemagne. Puis progressivement nous avons élargi aux 6, c'est devenu la communauté européenne (CE). Et puis et puis et puis ... Peut-être que sur le numérique il faudrait faire une communauté européenne du numérique avec un certain nombre de pays qui sont d'accord sur le même principe pour faire avancer le schmilblick en attendant finalement que les autres se rallient.

MC : Le développement de l’Intelligence Artificielle constitue l’une des courses technologiques contemporaines. Compte tenu de l’avance que semblent avoir la Chine et les Etats-Unis en la matière, comment envisagez-vous le positionnement de la France et de l’UE sur cette technologie ?

MWA : Je crois qu'il ne faut pas penser que la France est en retard. Elle a des compétences tout à fait remarquables en matière d'intelligence artificielle. Encore faut-il qu'elle les fédèrent. L'Union européenne soutienne des grands projets d’IA. Et elle le fait d’ailleurs, puisqu’on a un certain nombre de projets européens qui impactent directement les grands centres de recherche (comme à Grenoble St Clay et d’autres qui travaillent de manière très approfondie). Sur l'intelligence artificielle il ne faut pas penser que nous sommes complètement dans les clous. On a des compétences importantes et des savoir-faire importants, des gens bien formés. Le seul problème est que lorsqu’ils sont bien formés, ils partent aux Etats-Unis parce qu'ils y sont mieux payés. Donc c'est plus la question, à la fois de la mobilisation des moyens, de la fédération des ardeurs et de la gestion des compétences qu'il faut aborder. Car ce serait quand même dommage que ce soient nos propres élites qui partent. Je crois savoir qu'un des meilleurs d'un l'intelligence artificielle chez Google et un français, Yann Le Cun. Il est d'ailleurs considéré comme l'un des inventeurs de l'apprentissage profond.

MC : Les récentes annonce de création de cryptomonnaie privées par Facebook ou Telegram ont beaucoup fait réagir les institutions bancaires internationales et les Etats (comme la Chine, la Russie, les Etats-Unis ou encore l’UE) ainsi que la Banque de France, les ministres de l’économie français et allemands, et dernièrement la Présidente de la BCE qui voudrait que la BCE soit proactive sur les projets de « stablecoins ». La création d’un crypto-euro est débattue, mais si de nombreuses interrogations demeurent à l’agenda, l’une d’elle concerne la traçabilité et la transparence rendue possible grâce à la blockchain. Si l’on perçoit aisément les avantages que cela signifierait, notamment en termes de lutte contre le blanchiment d’argent, que penser de la surveillance qui pourrait être pratiquée ?

MWA : Le principe de la Blockchain c'est que normalement toutes les transactions sont connues, c’est le principe des bases de données distribuées. Chacun a l’ensemble de l’historique des transactions des crypto-actifs sur le réseau. Si on regarde la blockchain du Bitcoin on a une transparence presque totale. Mais en même temps si le système est transparent, vous n'avez aucun contrôle des deux bouts. Quand on dit que la blockchain est un système qui permet de lutter contre le blanchiment, jusqu’à plus ample informé. Parce que si 2 truands sont de chaque côté de la chaîne vous aurez une transaction parfaitement clean mais ça ne veut pas dire que l'argent qui rentrera ce sera un argent parfaitement propre. Donc la notion de blockchain parfaites par rapport au blanchiment ça je n'y crois pas. Sinon ça se saurait. Je crois en fait qu'on est dans un dispositif qui est certainement intéressant, notamment par rapport la capacité de faire des certifications sans tiers de confiance et c'est très intéressant. Comme par exemple par rapport au titre de propriété ou aux diplômes universitaire. Cette technologie permet de renforcer la confiance.
Maintenant sur les monnaies je ne vous cacherais pas que j'ai plutôt l'impression concours après les crypto-actifs en disant et si on n'était pas dans le coup alors que ça pourrait peut-être demain on ne sait pas pourquoi devenir quelque chose d'important encore faut-il il y être aussi et ne pas se faire doubler. Maintenant vous dire que les Etats arrivent dans les crypto-actifs avec un enthousiasme débordant je n'en suis pas certain. Il faudrait plutôt poser la question à nos amis de la Banque de France (BdF) ou de la Banque Centrale Européenne (BCE). Leur objectif est de contrer Libra, de contrer les initiatives privées, qui souhaiteraient se mettre à battre monnaie. Enfin ce ne sont pas des monnaies au sens que le commun les entend car il n'y a pas de contrepartie. Alors évidemment le prix des bitcoins ne fait qu'augmenter parce qu'ils sont rares, d'ailleurs tout le système a été conçu pour créer la rareté et plus le temps va passer moins on créera de Bitcoin quand on validera un bloc, et donc plus le bitcoin va forcément s'apprécier. Je sais bien que celui qui a acheté un Bitcoin il y a 10 ans n’a peut-être pas la même somme aujourd’hui et tant mieux pour lui. M’enfin il y a quand même des variations saisonnières assez importantes. Il faut comprendre qu'aujourd'hui, alors qu'on nous disait que c'était quelque chose de complètement hermétique et de difficiles d'accès, dans les enquêtes judiciaires, on est quand même maintenant capable de mieux pénétrer le système, et le cas échéant, de mieux agir. Il y a d'autre crypto-actifs qui quand même doivent encore nous livrer leur secret (Ethereum et autres). Mais ce qui est sûr c’est que ce n’est pas le Bitcoin qui va nous sauver du blanchiment d’argent car il demeure compliqué de savoir qui envoie de la valeur à qui.
Enfin pour ce qui est d'un crypto-euros, effectivement si c'est la BCE ce qui est aux commandes elle pourra surveiller toutes les transactions.

MC : Internet a permis le libre transfert de l’information, la Blockchain permet désormais le libre transfert de valeur. La Blockchain permet non seulement de transférer de la valeur (pas forcément monétaire) mais aussi et surtout de vérifier sa validité, son origine etc ... Là où internet a permis de faire « ctrl C + ctrl V », la Blockchain permet désormais de faire « ctrl X + ctrl V ». Quelles opportunités et quels risques y voyez-vous ?

MWA : Si vous voulez l'intérêt de la blockchain c'est encore une fois d'accélérer les transactions Parfois parce qu'on appelle des « Smart Contracts » en simplifiant par la règle « if ... then », à savoir que si telle condition est remplie alors l’accord initial est automatiquement validé une action est activée. On voit très bien ce que ça peut représenter dans le quotidien l'instauration d'un système en principe de confiance. Il y a certainement des potentialités de la Blockchain. Je ne pense pas que ce soit un buzz word. On va y arriver de plus en plus et voir se développer décade usage de plus en plus nombreux notamment à l'aide des Smart Contracts. Je pense que la Blockchain va certainement initier des restructurations, des reconfigurations, chez tous les tiers de confiance actuel. Parce que les banques vont être obligées de se restructurer par rapport à la Blockchain, les notaires de même. Et en même temps, c'est un système qui va permettre d'avoir un historique des transactions plutôt intéressant en soi. Si on prend comme usage l'enregistrement sur Blockchain de tous les diplômes délivrés par l'Etat, on supprimera la fraude aux diplômes.
On a, grâce à la Blockchain, la capacité d'améliorer la confiance dans les transactions. De là à dire que l'essor de la Blockchain sera aussi rapide que fut celui d'internet, là je ne sais pas.

MC : En parlant des multiples intermédiaires qui constituent le web, certains évoquent aujourd’hui une nouvelle génération du web, le web 3.0, qui serait l’avènement du web décentralisé fonctionnant en pair à pair, avec une suppression notamment de nombreux intermédiaires. Imaginez-vous que ce soit possible d’imaginer qu’à l’avenir nous aurons un web qui reviendra vers une forme plus libertaire, ce qu’il était censé être originellement ?

MWA : C'est la 5G. Ce web 3. 0 c'est le web de l'internet des objets. C’est le web qui va permettre aux objets de communiquer entre eux. Aujourd’hui nous sommes dans une relation extrêmement passive avec un web 1.0, statique, on est passé à un web 2.0 dynamique avec les réseaux sociaux, et demain le web 3.0 c'est celui des objets qui communiquent entre eux. Ces objets vous parler entre eux sur nous, malgré nous, et peut être contre nous. Nous serons là dans un autre monde. C'est d'ailleurs pour ça que le FIC a pour thème cette année de replacer l'humain au cœur de la cybersécurité, ce n'est pas notre c'est pour dire « attention ne laissons pas l'espace numérique nous échapper ».

MC : C'est très intéressant ce que vous dites car l'un des cas d’usage de la blockchain est justement de permettre la sécurisation des communications entre les IoT (internet des objets).

MWA : C'est à mon avis une des applications vraisemblables de la blockchain par rapport à l'internet des objets en effet.

MC : Au regard de votre expérience, comment a évolué l’état du Web français ? Comment l’imaginez-vous évoluer à l’avenir ?

MWA : C'est une vraie question. La question qu'on oublie toujours de poser c'est le problème de l'accessibilité à l'internet, au substrat numérique. Si vous êtes dans un endroit où vous n'avez aucun accès vous allez avoir une fracture technologique qui va s'ajouter à une fracture sociale et donc la vraie question qui se pose c'est de savoir comment va évoluer l'accessibilité sur le territoire national, y compris dans les outre-mer. C'est une question fondamentale car votre voiture autonome ne va pas s'arrêter là où la couverture réseau s'arrête. La vraie question est donc de savoir où nous en sommes dans la couverture nationale en très haut débit ? Avec la fibre optique en particulier. Où en est-on de notre capacité à absorber la quantité de données que les habitants de notre territoire vont être enclin à échanger. La notion de connectivité est trop souvent oubliée.
Quand vous avez Bercy qui annonce que tout le monde va devoir déclarer ses impôts sur internet comment faire lorsqu'on n'a pas accès à internet ? Dès lors que nous allons rentrer dans le l’e-administration, dans l’e-santé, si dans mon village on n’est pas connecté correctement, comment voulez vous que le centre médical puisse accéder à mon dossier médical partagé ? Avant de discuter de toutes les possibilités diverses et variées, il faut se poser la question d'où nous en serons en termes de connectivité en 2025 ? Alors certes nous avons le plan très au débit en 2022 mais c'est une vraie question qui mérite d'être posée. Il faut s'assurer que M. Michu, dans sa ferme à 3 kilomètres du village sera connecté à internet. Je ne veux pas défendre les Gilets Jaunes mais il y a un petit peu de ça derrière : c'est le sentiment de ne pas être dans la France qui avance.

MC : Comment l’Etat français a accompagné son développement ?

MWA : L'Etat français a pris conscience pas uniquement du web mais de l’espace numérique... parce que le web c'est la partie des contenus, c'est qu'une partie du numérique car il y a toute la partie qui n'est pas liée au contenu qui est lié aux câbles, aux Data Centers, à l'infrastructure... L'Etat a pris conscience des enjeux de l'espace numérique, je vais être sympa, en 2003/2004.
D’ailleurs c'est à ce moment-là que je suis chargé de mener un groupe de travail sous l'autorité de Thierry Breton sur les enjeux de la cybersécurité. Et ça a été vraiment le début d'une réflexion d'Etat. Quand on a rendu notre rapport à Dominique de Villepin, alors ministre de l'Intérieur, quand il est devenu Premier Ministre, il a poursuivi la réflexion avec le rapport du député Pierre Lasbordes en 2006. Tout ça nous a mené à une véritable réflexion et par la suite au livre blanc, puis à la création de l’ANSSI, du ComCyber et tout ce qui suit derrière. L’Etat a pris conscience des enjeux, ça j'en suis sûr. Dire qu'il a traduit cela en terme organisationnel, ça c'est moins sûr, car si j'étais l'Etat, il y a longtemps que j'aurai créé un Ministre d'Etat chargé de la cybersécurité directement auprès du Premier Ministre et non pas un sous-secrétaire d'Etat auprès d’un Ministre lointain. Il y aurait vraiment une prise de position politique. Ça on n'y est pas encore. L’Etat aurait dû, à mon avis, revoir ses structures afin qu’elles soient beaucoup plus transversales et non pas verticales comme il le fait encore. Créer véritablement des synergies entre les différents ministères sur les questions cyber et numériques, donc cela suppose un pilotage politique fort. L'Etat aurait dû demander à ses différentes composantes de progresser, et plus vite que la musique, en matière de posture cyber. Autant les armées l'ont fait, et le font bien, parce qu'elles en ont eu les moyens, autant on peut dire que du côté de la police, la gendarmerie et la justice, on est encore un peu à la traîne. Quand je vois contre qu’entre deux lois de programmation militaire les armées ont eu 2,6 milliards d’euros, je cherche l’équivalent pour les autres ministères régaliens. L’Etat progresse, mais parfois sur une seule jambe. C'est remarquable ce que fait le ComCyber mais il est tout seul. Si les autres ne vont pas aussi vite on va avoir un déséquilibre total. Je pense qu'il n'est jamais trop tard pour bien faire. Moi je pensais honnêtement que nous aurions eu le quinquennat du numérique. Euh... Bon, bah... Vous avez entendu parler de Cédric O ? (-Non.) Et bien c’est le secrétaire d’Etat au numérique. Vous avez entendu parler de Mounir Mahjoubi ? (-Oui.) Depuis qu’il est parti il n’y a plus rien. On l’a viré, mais de son temps la fréquence était animée, et là, c’est 0. Il a écrit au mois de juin dernier que son agenda ne lui permettait pas de venir au FIC (Forum International de la Cybersécurité – il a lieu à Lille). Bon ben très bien, ok, on a compris. Il faudrait grâce au numérique, remettre la politique en scelle. Si vous repartez du numérique, vous pouvez remettre la politique. Toute la politique régalienne est à reconstruire autour du numérique. Toute la politique économique est à reconstruire autour du numérique. Toute la politique sociétale et à reconstruire autour du numérique. Vous pouvez tenir un discours aussi européen autour du numérique. Et un discours qui est de nature à sensibiliser c'est peut-être même à ouvrir un New Deal, un nouveau monde. Or là on a l'impression qu'on gère la queue de trajectoire du 19ème et du 20ème siècle.

MC : Quel décalage pouvait-on apprécier entre le développement du Web français et celui du Web américain et mondial en général ?

MWA : Le décalage ? (-Oui.) Il est énorme ! C’est quoi le web français ?

MC : C’est une bonne question. J’ai constaté lors de mes recherches qu’il y a un vrai débat autour de ce que l’on entend par « Web français » donc je vous laisse libre de choisir la définition qui vous semble la plus appropriée.

MWA : Si le décalage fait référence à l'existence des GAFAM et des réseaux sociaux, je répondrai que le trou est abyssal. Il n'y a pas de web français. Il n'y a pas de web allemand. Il n'y a pas de web britannique. Il y a un web essentiellement américain. Ou bien vous avez les GAFAM, ou bien les BATX et à la rigueur VKontakt chez les russes. Mais on n’a rien de véritablement national. On a peut-être ce qu’on essaye de faire émerger, mais qui a du mal à émerger faute sans doute de volonté politique, c’est Qwant. Mais une fois qu’on a dit ça. Qu’est-ce qu’il y a ? Il n’y a rien. Rien.

MC : Pour le coup j’ai vraiment beaucoup d’espoir à propos de Qwant, notamment du fait que Brave leur ait fait confiance et que Brave soit en train de récupérer de plus en plus d’utilisateurs. J’ose espérer que Brave deviendra une réelle alternative à Chrome dans les mois et années à venir (https://steemit.com/fr/@faucheur/pourquoi-vous-devriez-tous-passer-a-brave).

MWA : Non mais la question c'est « Est-ce qu’en France on a dit aux administrations : « Les enfants vous êtes gentils mais vous devez essentiellement utiliser Qwant. » ? ». On ne l’a jamais dit ! Vous voyez même en France, quand on dit « on va prendre des logiciels libres » (ce qu’a fait la Gendarmerie Nationale), vous en avez d’autres qui disent « Bah non, non, moi c’est Microsoft et rien d’autre. » Donc en fait, non seulement on est conscient qu'on est des vassaux, mais on n'a parfois même pas la volonté de se libérer de la tutelle des autres quand on a des solutions Franco européenne je ne sais pas pourquoi on a toujours tendance à aller chercher chez Microsoft et compagnie. Un autre exemple, citez-moi un antivirus français. (-Je n’en connais pas, désolé.) Eh bien voilà. Donc c’est quand même symptomatique. Sur un certain nombre de fonctions stratégiques essentielles on n'est pas là, mais que ce soient les français, ou les européens. Prenez McAffee, Kaspersky, Symantec, si, il y a un tchèque : Avast. Mais on est quand même sur un certain nombre de points stratégiques, totalement dépendants.