Intervention de Henri Verdier

Vos questions peuvent être regroupées en deux grandes familles.

La première porte sur la souveraineté par l'action. J'avais dans mon équipe précédente un développeur qui avait une pensée stratégique profonde en matière de souveraineté numérique : il était très vigilant et il anticipait toujours les pièges dans lesquels on risquait de tomber. Dans les années quatre-vingt-dix, il avait créé une start-up qui avait compté jusqu'à 150 salariés et qui produisait des applications pour le Newton, l'assistant personnel numérique d'Apple. Puis, un jour, Steve Jobs a décidé de simplifier la ligne des produits et l'a supprimé. Subitement, la start-up a disparu, à cause d'une décision prise à 8 000 kilomètres de la France. Dès lors, il a toujours cherché à savoir où était hébergé le code source, qui le possédait, qui assurait sa maintenance, etc. Il ne voulait plus s'enfermer dans un système nous plaçant sous la dépendance d'un choix technologique ou d'une stratégie marketing. Pourquoi, en effet, placer des services publics sur Google Maps quand il existe OpenStreetMap ? De même, en matière de lutte contre les contenus terroristes, on nous dit qu'il existe déjà une base de données gérée par Google, Apple, Facebook et Twitter. Il suffirait de leur signaler un contenu pour que celui-ci soit retiré dans l'heure. Pourquoi ne peut-on pas avoir accès à cette base, à sa structure ? On ne peut pas vérifier si les contenus que l'on a envoyés ont bien été pris en compte. L'erreur est humaine. Nos ingénieurs pourraient améliorer la base. En la matière, il existe des pistes d'améliorations pour renforcer notre souveraineté.

Pour faire face à ces monopoles gigantesques, on a parfois cru que le meilleur moyen était de créer un monopole concurrent, de faire un Google à l'européenne, un Facebook européen, etc. Mais il est très difficile techniquement de réaliser ce Consumer Internet, cet internet de grande consommation. Surtout, ce secteur obéit à la règle du winner takes all, selon laquelle le gagnant prend tout le marché : on préfère rester sur Facebook, qui compte trois milliards d'utilisateurs, pour y retrouver ses amis, plutôt que de s'inscrire sur un réseau plus petit où l'on ne connaît personne.

Les effets de réseaux font que le plus gros attire tous les utilisateurs. C'est pourquoi on s'est souvent trompé en la matière ; et finalement les partisans de la souveraineté numérique n'ont plus osé s'exprimer - à tort. Il faut différencier selon les secteurs : par exemple dans les infrastructures, rien n'empêche de faire une 5G européenne. On possède encore les entreprises et le savoir-faire, et le modèle économique est différent. En outre, on n'est pas obligé de construire un contre-monopole pour affaiblir un monopole : quand je dirigeais la Dinsic, j'ai demandé aux administrations de ne plus installer leurs services sur Google Maps, mais d'utiliser OpenStreetMap. On a bien fait : depuis, le coût de Google Maps a explosé. On n'a pas suffisamment cherché à allumer des contre-feux, à posséder des bases arrières, des réserves. Dans une bataille, lorsqu'on ne peut pas gagner, on se replie sur des bases arrière ou dans le maquis pour résister. Avec une bonne compréhension du libre et des « communs », on peut parvenir à créer des points d'indépendance. Sans procéder ainsi de manière systématique, l'État peut au moins veiller à la sécurité juridique, technique, voire financière des « communs ». Peut-être vaut-il mieux subventionner Firefox pour que son système soit performant plutôt que de se lancer dans des aventures industrielles.

En réponse à vos questions sur ce sujet, la France n'a jamais attribué officiellement une cyberattaque à un pays : je ne peux donc pas le faire ici.

Comme on compte autant de communautés que d'enceintes, le système est lourd et lent. Voilà sept ans qu'Amazon réclame le droit de créer le « .amazon » et que la question reste en suspens.

Au sujet des diverses formes d'emprise, disons-le : il y aura des conflits cyber. On voit les armes prépositionnées, on connaît les budgets ; WannaCry était initialement une arme, elle a été volée et utilisée par d'autres. Bien sûr, il existe aussi des formes plus douces de prise de pouvoir. Toutefois, pour reprendre votre exemple, je crois que la Chine a déjà assez largement à faire pour récupérer les données de sa population ; je ne suis pas sûr qu'elle soit déjà en train d'essayer d'aspirer les données des Français, mais nous devons rester très vigilants.

Depuis que je suis ambassadeur, j'ai pu mesurer l'impact mondial du règlement général sur la protection des données, le RGPD : le Japon a négocié et obtenu l'accord d'adéquation avec l'Europe. Ainsi, le RGPD couvre déjà 700 millions de personnes. De même, par le biais de conventions, au titre de l'article 108 du Conseil de l'Europe, une quinzaine de pays se manifestent pour créer un droit similaire : l'Inde, la Tunisie, ou encore la Californie qui s'est dotée d'un régime identique.

À terme, plusieurs milliards d'individus pourront partager le même régime juridique, avec des sécurités comparables et une philosophie identique, selon laquelle c'est le consentement de l'usager qui détermine la licéité de l'usage, et non l'intérêt de l'État ou un contrat extorqué. Nous pouvons en être fiers, même si la mise en oeuvre est complexe.

Vous évoquiez les approches frontales, violentes, et les emprises par des formes de soft power, voici un exemple de contre soft power. On pourrait aussi mentionner le règlement européen « eIDAS », Electronic IDentification Authentication and trust Services, qui permet la reconnaissance mutuelle au sein de l'espace européen des identités numériques respectives. Certains pays demandent à en faire partie. Je crois que dès que les vingt-huit pays européens parviennent à se mettre d'accord sur un texte, l'Europe possède un petit avantage compétitif, car le texte qu'elle adopte est de qualité et peut rassembler. Ce n'est pas un hasard si quinze pays ont d'ores et déjà recopié le RGPD : ce texte avait déjà été largement débattu, décortiqué, mûri.