Intervention de Louis Pouzin

Première question que les gens se posent souvent : qu'est-ce que la gouvernance ? La version officielle se trouve dans l'Agenda de Tunis, qui évolue avec le temps. On y fait allusion au rapport du Groupe de travail sur la gouvernance d'Internet (GTGI) : « Il faut entendre par gouvernance de l'Internet l'élaboration et l'application par les États, le secteur privé et la société civile, dans le cadre de leurs rôles respectifs, de principes, normes, règles, procédures de prise de décisions et programmes communs propres à modeler l'évolution et l'utilisation de l'Internet ». C'est certainement vrai au sens strict de la syntaxe, mais quelle sémantique y a-t-il derrière ? En fait, personne ne comprend ce que cela veut dire ! Si on sait comment fonctionne la gouvernance, on peut dire que la définition n'est pas mauvaise, mais si on ne le sait pas, on ne peut en deviner le fonctionnement à partir de cette explication. Il s'agit d'un compromis verbal écrit...

En pratique, la gouvernance de l'Internet relève essentiellement de l'Internet corporation for assigned names and numbers (ICANN), qui a amassé le plus de pouvoir possible, bien que son règlement intérieur indique qu'elle effectue la coordination technique et attribue notamment les identifiants uniques - adresses IP - qui servent à envoyer, adresser, et rechercher les messages ou toutes les informations transmises à travers Internet. Les membres de l'ICANN assurent en principe la sécurité de ce système d'aiguillage - encore qu'ils s'en occupent assez peu, tout ceci fonctionnant relativement seul, grâce à un certain nombre de centres techniques, généralement financés par les pouvoirs publics, qui maintiennent cette stabilité et cette sécurité de manière très professionnelle.

Une fois dissipé le brouillard entretenu autour de ce que fait l'ICANN, restent les noms de domaine, qui sont en quelque sorte la « vache à lait » de l'ICANN, qui lui permettent de faire partie de l'intelligentsia et du système de pouvoir, l'argent offrant beaucoup de facilités...

Que fait l'Union européenne à cet égard ? Elle est représentée dans l'ICANN, mais pas en tant que membre. En effet, l'ICANN n'a pas de membres, et ne compte que des adhérents cooptés. Ce sont pratiquement ceux qui en sortent qui décident de ceux qui y entrent ! Ce sont les mêmes têtes qui tournent entre l'ICANN, l'Internet society (ISOC), et les différents comités qui gravitent plus ou moins autour - ceux qui gèrent les noms de domaine, les protocoles, etc. Il s'agit de la génération qui a suivi les pionniers.

L'ICANN a prévu une représentation des États sous forme d'un Governmental advisory committee (GAC). Pendant un certain nombre d'années, il ne s'agissait que de strapontins, et ce qu'ils disaient n'était jamais pris en compte. Depuis deux à trois ans, ils se font plus entendre, l'ICANN ayant introduit les generic top-level domains (gTLDs), qui permettent d'ajouter 1 500 extensions, qui vont sortir au cours de cette année et l'année prochaine.

Ceci nécessitait un consensus entre les systèmes de pouvoir que sont les marques et les sociétés qui veulent faire du commerce avec les noms de domaine. Certains pensent que cela va constituer une mine ; d'autres estiment que la chose est vouée à l'échec.

Le GAC représente les États qui le veulent bien. Autant qu'on puisse les compter, environ 133 pays en font partie, mais il est rare que les contributions ou les remarques émanent de plus d'une quinzaine d'entre eux, les autres se trouvant là à titre d'observateurs.

Vingt-et-un pays sont issus de l'Union européenne, celle-ci étant également représentée.

Le GAC a acquis une grande influence grâce à ces nouveaux noms de domaine. Il existe actuellement des querelles à propos du « .vin » et du « .wine », ce qui intéresse directement les Européens, notamment la France et les pays latins, mais aussi le Chili, l'Afrique du Sud, et l'Australie - bien qu'elle se situe, comme d'habitude, du côté américain. Une protestation a aussi été présentée au sujet de « .gmbh », version allemande des noms de société. J'ai tout un fichier de doléances envoyées à l'ICANN...

Ce niveau de relations est assez chargé de suspicion, de contentieux potentiels, ou de compensations, mais procure au GAC un certain pouvoir de veto, alors qu'il n'a en théorie qu'un rôle de conseil.

Quel est le nouveau rôle que devrait jouer l'Union européenne en cette matière ? C'est celui qu'elle aurait dû avoir depuis longtemps. Quel est-il ? D'abord, protéger les citoyens contre la criminalité, contre l'ignorance des utilisateurs - beaucoup d'ennuis n'arriveraient pas si les utilisateurs recevaient une meilleure formation et étaient sensibilisés aux pièges que l'on y trouve couramment, notamment en matière d'arnaques, mais aussi de vol d'identité -, contre la dominance de grands groupes internationaux, - dont vous n'ignorez pas qu'ils sont pratiquement tous américains, les Chinois n'ayant pas encore débarqué en Europe -, et contre les États premiers prédateurs au premier rang desquels les États-Unis. Ce sont les plus puissants du point de vue militaire, économique, et financier. Ils vont aussi de l'avant et, même si on ne peut le leur reprocher, ils laissent tout le monde derrière, en voulant imposer à chacun leur propre droit. Google ou Facebook sont par exemple suffisamment puissants pour imposer leurs propres règles, qu'elles soient ou non autorisées dans les pays où ils opèrent. Ils peuvent même menacer de représailles ceux qui veulent les contester, soit par des règlements, soit par des amendes.

Jusqu'à il y a peu, je crois que l'Union européenne ne pouvait infliger à Google qu'un maximum de 30 000 euros pour une mauvaise utilisation des données personnelles, alors que Google réalise un chiffre d'affaires de 50 milliards de dollars par an ! Ce n'est guère efficace. À moins de 10 millions de dollars, il ne sert à rien d'infliger des amendes à ce genre de groupe. Cela pourrait cependant être très rentable pour financer des opérations destinées à l'éducation du public.

Quant à l'innovation, l'Europe est pratiquement restée muette depuis que l'on a abandonné l'idée d'être leader en matière de réseaux, dans les années 1970 et 1980. Faute de concurrence, ce sont essentiellement les Américains qui innovent dans ce domaine. Ils sont suivis de très près par les Chinois, qui ont, pour l'instant, peu dépassé le stade de la copie technologique. Ils sont cependant assez innovateurs pour ce qui est des applications, mais sont ralentis par la barrière naturelle de la langue. Ce seront toutefois des concurrents potentiellement assez efficaces, lorsqu'ils auront appris à se comporter de manière moins agressive vis-à-vis du monde extérieur.

La sécurité est actuellement en première ligne ; elle l'a toujours été, mais beaucoup ne la prenaient pas au sérieux. Aujourd'hui, on sait qu'on est écouté en permanence, et que tout ce que l'on transmet est enregistré. Cela peut finir par poser quelques problèmes, et soulever la peur, comme dans tous les pays où ont existé des systèmes totalitaires - stalinisme, hitlérisme, franquisme, voire maccarthysme aux États-Unis...

Du temps de la Gestapo, il n'existait pas de système de collecte d'informations comme à l'heure actuelle, mais on trouvait énormément de lettres de dénonciation, certains pensant toujours pouvoir tirer parti du fait que d'autres soient poursuivis. La dénonciation fait partie du système de surveillance. C'est une très sérieuse menace, et j'irais jusqu'à dire que les États-Unis ont passé le cap du non-retour ! Il faut suivre ce sujet d'assez près, et l'Union européenne doit avoir une vision plus nette de la façon de contrer cette dérive totalitaire.

Quelle stratégie adopter ? On parle souvent de la neutralité du Net. C'est pour moi un faux problème. On ne sait pas exactement de quoi on parle. La neutralité se mesure-t-elle ? Comment peut-elle s'évaluer d'un système à l'autre ? On s'attaque par ailleurs souvent aux opérateurs, mais pourquoi eux ? Il existe, outre les opérateurs, des fournisseurs de contenus, des fournisseurs d'accès, des utilisateurs. Ce sont des groupes qui contribuent au fonctionnement de l'ensemble du système. Ils ont aussi des intérêts et des contraintes. Il faut toutes les prendre en compte, et parvenir à un équilibre.

Chaque nouvelle modification qui intervient dans un métier assez répandu déplace les équilibres, et certains en profitent toujours, ou sont au contraire victimes du système. Le nombre d'échanges commerciaux étant tel qu'un déséquilibre, dans un pays donné, peut entraîner une véritable contagion. Le sujet doit être traité à l'échelon européen, quitte à faire ensuite jouer la subsidiarité des différents États.

Comment parvenir à ces objectifs ? Selon moi, il est totalement inutile d'essayer de discuter avec les Américains pour trouver un compromis. Ces derniers n'ont absolument pas l'intention de changer leur système, malgré les paroles cosmétiques de Barack Obama. Ils vont donc continuer aussi longtemps que possible. Il ne faut pas laisser ce système vieillir, car les Américains sont capables de le rénover en conséquence. Il ne faut pas oublier que les choses ont commencé avant les années 2000. Je l'ai personnellement appris en 2005, après la publication d'un article du New York Times à ce sujet. À l'époque, personne ne s'est soucié de cette dérive. Ce n'est qu'à partir de Snowden que la situation est devenue sérieuse.

Il s'agit d'une pratique totalitaire, en ce sens que l'homme le plus puissant des États-Unis n'est pas Barack Obama, mais le général Alexander, qui a tous les moyens de faire chanter tout le monde, et assez d'argent pour acheter chacun ! C'est donc potentiellement un dictateur. S'il veut se présenter aux prochaines élections présidentielles, il est capable d'être élu. Il suffit d'acheter des voix. Il continuera ensuite à faire ce qu'il est en train de faire, mais à un niveau bien plus important !

Que faire ? Rien qui nécessite l'accord des États-Unis, car nous n'obtiendrons rien de toute façon ! Discuter de règlements aux Nations unies est une très bonne chose, mais cela prendra dix ans ou plus. C'est probablement ce qu'il faut faire, sans toutefois rien en attendre ! Il faut donc mener des actions qui ne nécessitent pas l'accord des États-Unis, et contre lesquelles ces derniers ne peuvent pas grand-chose.

Il faut, en premier lieu, viser les noms de domaine, dont l'ICANN tire ses moyens financiers et ses pouvoirs car, sans argent, l'ICANN devient une commission technique comme une autre.

Pour casser ce système, il faut introduire la concurrence. Aujourd'hui, l'ICANN est un monopole de fait, sans aucun traité à la base. Ce monopole est illégitime et abusif, mais l'Union européenne n'a jamais réagi, alors que d'énormes procès ont eu lieu contre Google, Microsoft ou IBM, en son temps ! C'est pourtant un géant parfaitement visible, qui profite largement de son abus de pouvoir.

Si on fait jouer la concurrence, cette « vache à lait » va se transformer en une multitude de petits seaux, et il y en aura pour tout le monde !

Il faut d'autres racines que celles de l'ICANN. D'ailleurs, avant l'ICANN, il existait d'autres racines. C'est donc essentiellement un rideau de fumée. Avoir d'autres racines permettra d'avoir d'autres noms que l'ICANN n'accepte pas actuellement, ou qu'elle vend à des prix abusifs. Un nouveau domaine de premier niveau générique (gTLDs) coûte 175 000 dollars ; il faut ensuite s'acquitter de 50 000 dollars par an pour s'en servir, puis recourir à une armée de juristes et d'avocats pour que le dossier avance - probablement dans les 300 000 dollars. Ceci exclut pratiquement toutes les petites sociétés.

Si l'ICANN mène à bien son projet - et elle réussira certainement pour certains noms de domaine -, les PME, dont bon nombre sont situées en Europe, deviendront esclaves de ceux à qui l'ICANN loue ces noms. Les PME européennes seront alors étranglées, du fait du contrôle de la publicité.

Une autre façon de diluer ce pouvoir, qui s'est formé sans autorisation et a absorbé certains domaines de normalisation, est de les remettre entre les mains de l'Organisation internationale de normalisation (ISO).

Il existe un facteur de 1 000 à 10 000 entre les noms de domaines existants et ceux qu'il faudra allouer aux futurs objets connectés. Il faudra donc un nouveau système, marché que Google ou VeriSign visent à posséder. Ce n'est pas bon pour l'industrie française. Les noms d'objet devraient être gérés par les métiers qui les utilisent - pharmacie, aéronautique, automobile, etc - afin que ceux-ci ne soient pas piégés.

L'Organisation mondiale de la propriété intellectuelle (OMPI) a par ailleurs la possibilité d'attribuer des homonymes. Mont-Blanc est ainsi une marque de stylo, de crème dessert, etc. C'est parfaitement normal dans le système des marques. Il existe une quarantaine de classes d'activité où l'on peut rencontrer des marques identiques. Ce n'est pas possible avec l'ICANN, le système étant construit pour que tout nom de domaine soit unique au monde, dans n'importe quelle langue. C'est manifestement aberrant au plan technique, mais cela permet de ramasser de l'argent.

Un des gros problèmes réside dans le fait que le système Internet TCP/IP a aujourd'hui quarante ans. C'est le plus ancien, et on peut considérer qu'il est à présent obsolète. Rien ne permet d'assurer la sécurité, l'authentification, la duplication des flux, ou le multilinguisme. À l'époque de sa création, ses auteurs ne savaient pas comment poser le problème. J'en faisais partie... Ce système a été construit comme un système qui fonctionne bien si l'on n'essaye pas de le casser. À partir du moment où le commerce est passé par là et, du même coup, la criminalité, le système est devenu extrêmement vulnérable, au moins à un certain niveau de fonctionnement.

Or, il n'existe pas de projet européen pour le remplacer. C'est pourtant le bon moment, car cette situation ne se présente qu'une fois tous les quarante ans. On a laissé passer le premier cycle, dans les années 1970-1980, et les États-Unis ont ainsi eu le champ libre. Si on ne fait rien maintenant, on est à nouveau reparti pour un cycle qui va durer 20, 30 ou 40 ans !

Il faudrait un projet ciblé, comme Eureka en Europe autrefois. Actuellement, on ne fait que de l'arrosage. Certes, c'est nécessaire, les laboratoires ayant peu d'argent, mais on ne distribue que de petits contrats, de quelques centaines de milliers d'euros, avec lesquels ils font vivre leurs futurs doctors philosophiæ (PHD) ou leurs futurs masters. Ceci ne produit pas de résultat immédiatement transférable à l'industrie, tout au plus de la connaissance, mais pas davantage.

Il existe aujourd'hui un système américain, développé à l'université de Boston, que je connais bien, et qui a été conçu de manière avant tout scientifique, à partir de théories qui n'avaient jamais été abordées avant. Il permet l'identification en toute sécurité, autorise la livraison des données sur plusieurs canaux, etc. Il permet également à des réseaux virtuels qui ne se connaissent pas, c'est-à-dire invisibles des autres réseaux ce qui empêche de passer l'information à d'autres. Il s'agit d'un système composé de compartiments naturellement étanches, un nouveau système d'avenir, alors qu'Internet ne présente aujourd'hui aucune sécurité...

Deux laboratoires, en Europe, l'un à Barcelone, l'autre à Waterford, en Irlande, travaillent sur ce sujet depuis au moins quatre ans. C'est une bonne base de départ. L'IPSIS, en France, y a également déjà travaillé, mais n'a pas de contrat cette année pour le faire. C'est en effet la Commission européenne qui délivre les contrats, et il s'agit visiblement plus d'arrosage que d'autre chose. Il faudrait revenir à une autre politique de projets dans ce domaine.

Il convient aussi de s'intéresser au chiffrement et aux certificats. On peut toujours estimer que cela ne sert à rien, la National security agency (NSA) pouvant tout casser, mais c'est là une façon d'être toujours dépendant. On a, en France, de très bons ingénieurs du chiffre, que l'on pourrait valoriser. Le chiffrement devrait être adapté aux besoins : on peut chiffrer faiblement des choses qui n'ont pas grande importance, comme le courrier personnel, certains rapports, etc, mais lorsque le sujet devient critique, il faut des chiffres très difficiles à casser, susceptibles de poser de sérieux problèmes aux attaquants.

Les certificats, quant à eux, permettent d'institutionnaliser la pratique de certains chiffrements en cas de transfert d'argent, ou de données personnelles exigeant une haute sécurité. Il faut également que ce soit facile à utiliser, ce qui n'est pas le cas aujourd'hui. C'est un problème d'interface avec les personnes, l'actuel système appelé « Pretty good privacy » (PGP), étant assez barbare et décourageant.