Données personnelles : le casse du siècle

Partout et nulle part à la fois... L’exploitation des données demande un vrai savoir-faire qui a vu l’émergence de nouveau métiers et d’un nouveau vocabulaire. Data mining, scraping (récupérer des données en libre accès sur le web), ou encore cloud computing. Loin de la formation météorologique moelleuse et vaporeuse, le « nuage » numérique (cloud) constitue un ensemble de ressources immédiatement disponibles sur Internet. Il peut aussi bien s’agir de solutions logicielles que de plateformes techniques pour construire des applications ou des machines serveurs permettant d’étendre les capacités de calcul et de stockage. Avec lui, toutes ces ressources sont à portée de main et beaucoup plus facilement utilisables que par le passé.

Les données des acteurs économiques et des consommateurs sont confiées à des plateformes délivrant des services logiciels professionnels, commerciaux (vente en ligne) et/ou de communication (réseaux sociaux). Elles sont alors stockées sur des serveurs hébergés au sein de data centers (ou « centres de données »). Pour une entreprise, « migrer dans le cloud » signifie en général stocker et traiter ses données informatiques sur les serveurs d'un prestataire à distance. Où sont-elles stockées ? Par qui ? Et à quoi servent-elles ? 

Avec le développement des services publics dématérialisés, la société française connaît une numérisation accélérée. Depuis la crise du Covid-19, l’accent est mis sur le travail hybride, l'accélération de la transformation numérique et la recherche de solutions informatiques rentables. Entreprises et pouvoirs publics doivent s’adapter à ces nouvelles pratiques. La multiplication et l’explosion de la consommation des données dans tous les secteurs d'activité constituent une évolution qui favorise les dépenses liées au cloud. 

(source : Gartner)

Les grandes compagnies nord-américaines sont devenues incontournables dans le cloud notamment pour de nombreux acteurs français, comme les entreprises de télécommunications, les sociétés de data centers, les éditeurs de logiciels… Il est grand temps de rééquilibrer le rapport de force vis-à-vis des ultrapuissants « hyperscalers » américains !
Les dérives engendrées par cette presque hégémonie ont abouti en France à la présentation d’un projet de loi de régulation et de sécurisation de l'espace numérique qui vise en premier lieu à rétablir la confiance des citoyens dans le numérique. Car la transformation numérique du pays est un des grands enjeux des années à venir. Le texte aborde à la fois le phishing (tentative d’arnaque par des pirates informatique), le cyberharcèlement, l'accès à la pornographie par les mineurs ou encore la concurrence sur le marché du cloud. La maîtrise technologique du cloud figure également parmi les investissements prioritaires de France 2030. 

Pourquoi vouloir sécuriser les données ? 

Le site internet du Sénat français inaccessible en mai, celui de l’Assemblée nationale, en mars, tous deux victimes d’un piratage : deux épisodes d’une longue série. Afin d’éviter le risque d’ingérences extérieures, l’application chinoise TikTok a, entre autres, été interdite sur les téléphones professionnels des 2,5 millions agents de la fonction publique d'État. Le gouvernement français emboîte ainsi le pas de la Maison Blanche, de la Commission européenne et des gouvernements canadien et britannique qui en ont limité l’accès avant lui. Les autorités estiment que ces applications dites récréatives présentent « des risques en matière de cybersécurité et de protection des données des agents publics et de l'administration. » 
 

En confiant nos données à des entreprises privées, parfois étrangères, on prend le risque qu’elles soient consultées (et exploitées) par des acteurs non soumis aux règles européennes. Aux États-Unis, par exemple, le « Patriot act » donne aux autorités un accès à certaines données dans des conditions qui ne remplissent pas toutes les garanties offertes par la loi européenne. Il s’agit donc de protéger au mieux les individus. Les acteurs publics ont une responsabilité et une urgence à agir pour garantir la souveraineté des données les plus importantes de leur territoire et également pour protéger les citoyens d’abus possibles concernant leurs données personnelles.

Le régulateur agit. Ainsi, les nouveaux règlements européens tels que le Digital Markets Act (DMA) et le Digital Services Act (DSA) imposent aux puissants du numérique toute une série de nouvelles règles en matière d’abus de position dominante ou de régulation des contenus problématiques. 

Comme toute matière première, les données font envie ! Elles peuvent être la cible de captation, de détention malveillante, voire… de vol. Et la pratique est très répandue : en 2022, une entreprise française sur deux a été victime d’une cyberattaque. Les modes opératoires des cybercriminels consistent le plus souvent à demander une rançon après avoir verrouillé ou volé des données et à les revendre sur le « dark web » au plus offrant. Pour cela, la technique du « phishing » (hameçonnage) par mail est la plus répandue auprès des particuliers, les entreprises étant plutôt victimes de « ransomware » (attaque contre paiement d’une rançon).

La lutte contre la cybercriminalité s’organise afin de réagir aux attaques numériques qui se multiplient contre les serveurs d’organisations mal protégées, en premier lieu dans le secteur public, comme en attestent les récentes cyberattaques contre les mairies de métropoles telles que Lille ou Angers, ou de communes plus petites, comme à Reyrieux dans l’Ain ou Chaville dans les Hauts-de-Seine, et les attaques répétées contre des hôpitaux à Brest, Bourg-en-Bresse ou Corbeil-Essonnes, etc. La liste est longue. Ces attaques mettent à mal toute l’organisation de ces établissements, qui ne peuvent plus recourir à l’informatique pendant un temps donné. La qualité du service en est affectée. En 2021, dans le cadre du plan de relance, le gouvernement a mis en place un programme de cybersécurité destiné plus particulièrement aux grandes collectivités, administrations et établissements hospitaliers. Depuis son lancement en mars 2022, 60 000 plaintes ont été déposées sur la plateforme Thésée, dédiée aux arnaques sur Internet.

Sécurité et confidentialité (« privacy ») constituent les deux pôles de la souveraineté numérique.

La souveraineté numérique désigne « l'application des principes de l’exercice du pouvoir sur une zone géographique et sur la population qui l'occupe au domaine des technologies de l'information et de la communication ». Pour résumer, c’est la capacité d’un pays à réguler son cyberespace. Celui qui a le contrôle des infrastructures de stockage dispose également de l’accès aux données. L’Estonie a ainsi récemment obtenu de la part de l’Union européenne la reconnaissance d’une e-ambassade pour lutter contre l’influence de son voisin russe sur le net. Concrètement, cet État balte ultra-connecté a installé un data center délocalisé au Luxembourg pour héberger et répliquer ses données publiques. 

Les parties prenantes européennes investissent dans le cloud pour améliorer leur gouvernance et leur sécurité, en conformité avec les lois sur la confidentialité des données, la conformité réglementaire et les exigences de la législation numérique. Cela permet aux organisations (entreprises et administrations publiques) d'être dans une meilleure position lorsqu'il s'agit de répondre aux exigences réglementaires.

Face à l’hégémonie américaine, l’Europe tente de s’organiser. Parfois d’ailleurs sans pouvoir se passer des GAFAM... Plusieurs nouveautés en partie françaises sont attendues dans les années à venir : Orange et Capgemini travaillent à la sortie de « Bleu » en collaboration avec l’Américain Microsoft, un cloud situé sur le sol français ; Thalès et Google s’associent dans S3NS et Amazon envisagerait de créer son cloud avec Atos. Les offres 100 % françaises de cloud de confiance disponibles aujourd'hui se limitent soit à l'infrastructure (3DS Outscale, OVHcloud et Cloud Temple), soit aux logiciels applicatifs (Oodrive et Worldline).

La stratégie doit être mise sur les besoins du secteur public, qui manipule des données ultra sensibles, et qui est la cible privilégiée des cybercriminels. Les opérateurs du secteur de la santé, les collectivités territoriales ou les institutions financières doivent être en mesure de maîtriser le destin de leurs données et de choisir à qui les confier. Ce besoin se décline dans la confidentialité des données (« privacy »), mais aussi dans la garantie de la continuité de service et dans l’immunité contre l’extraterritorialité de certaines lois. Le contexte est favorable à la création d’un cloud « souverain ». 

C’est dans ce contexte que Docaposte, fleuron numérique du groupe La Poste, la Banque des Territoires, Bouygues Telecom et l’industriel Dassault Systèmes ont entrepris de compléter l’offre existante avec une réponse 100% française : NumSpot. Cette offre se base sur le meilleur de la technologie européenne et propose la meilleure réponse qui soit pour se prémunir des conséquences de l’extraterritorialité des lois.
 

Annoncée fin 2022, la première offre devrait voir le jour à peine un an plus tard. NumSpot cible particulièrement les secteurs publics règlementés ou stratégiques appelés OIV (opérateurs d’importance vitale). Ces organisations, dans le domaine de la santé, de l’alimentation, de l’énergie, des communications, des activités civiles et militaires, ont été identifiées par l’Etat car leur activité est considérée comme indispensable à la survie de la nation. On dénombre 12 secteurs d’activité d’importance vitale (SAIV) en France. NumSpot fournira une solution technologiquement et commercialement compétitive, fiable et sécurisée répondant aux besoins d’hébergement régulés conformément aux standards SecNumCloud. Cette certification, créée par l’Anssi, est octroyée aux fournisseurs de services de cloud garantissant le meilleur niveau de sécurité. Sans elle, pas de « cloud de confiance ».

Grâce à la robustesse de son actionnariat 100% français, l’offre propose d’assurer une stabilité et une pérennité aux clients. NumSpot promet des services aux meilleurs standards du marché en termes de performance, de sécurité, de prix et de responsabilité environnementale. L’offre vise un développement commercial sur le marché européen avec l’ambition de devenir l’offre de référence du cloud de confiance. Le but ? Sceller un « pacte de confiance » avec les clients, et donc avec les clients des clients que sont les citoyens… 

Tout est une question de confiance : les citoyens sont en général attentifs à ce qui est fait de leurs données personnelles, même si paradoxalement ils sont parfois plus prompts à laisser les GAFAM que leur gouvernement faire ce qu’ils veulent avec leurs données personnelles ! 

Si les Français ont plutôt confiance dans le respect de leur vie privée et dans l’utilisation qui peut être faite de leurs données par les acteurs publics, à plus forte raison de proximité, cela n'est pas le cas dans les autres pays. La Poste, qui fait partie du groupe Caisse des Dépôts, est en pointe sur le sujet, entre autres grâce à Docaposte, l’entreprise de services du numérique du groupe, spécialisée dans la confiance numérique. Ses atouts sont nombreux autour d’un service numérique de confiance du quotidien qui concerne entre autres l’identité numérique ou encore le coffre-fort électronique. En acquérant récemment Idemia, Docaposte est ainsi devenu le leader français de la signature électronique. Il s’agit d’un véritable nouveau service au public autour de l’identité numérique. 

La Caisse des Dépôts dispose, à travers ses activités de mandat pour l’Etat, d’un grand nombre d’applications comprenant des données sensibles de citoyens et de l’État français. Nous avons donc une responsabilité sur ces données. Mon Compte Formation, par exemple, comprend de nombreuses informations personnelles nécessaires à la gestion des parcours de formation. Nous ne pouvons pas prendre le risque que ces données soient utilisées par des États ou des entreprises ne respectant pas le droit européen ; et ce qui est vrai pour Mon Compte Formation l’est pour toutes les autres activités sensibles du Groupe, comme les retraites ou encore Ciclade.

La data bien exploitée peut servir à transformer le pays, notamment écologique. C’est pourquoi la Caisse des Dépôts a lancé le 30 mars à Station F son TechSprint pour un numérique éthique et sobre. Le Techsprint cherche à appuyer le développement de solutions souveraines Cloud-Data-IA (InfraTech) en favorisant le passage à l’échelle des cas d’usages liés à la transformation écologique. Le groupe Caisse des Dépôts soutiendra les meilleurs d’entre elles.

La question de la donnée doit être considérée comme une formidable source d’opportunités : opportunité de se réinventer, de casser des silos, pour une plus grande efficience dans la gestion quotidienne, pour l’innovation territoriale, pour de nouveaux services aux citoyens. 
Dans un monde équitable, l’intérêt général doit être la priorité dans la collecte, le traitement et l’utilisation des données. Afin d’éviter de se voir imposer des solutions venues de l’extérieur qui les mettent en danger, les acteurs publics, trop longtemps passifs face à un système qu’ils ne comprenaient pas, doivent développer une expertise en interne. La solution au problème de souveraineté doit passer par des outils européens.