Intervention de Giacomo Luchetta

Je vous remercie M. le Président. Je suis en effet chercheur au Centre for European policy studies et je m'intéresse à la régulation du numérique. J'aborderai ainsi la protection des données et les possibles politiques dans ce domaine, en soulignant les défis à relever au niveau européen.

Je centrerai mon propos sur l'Europe : il s'agit ainsi de savoir ce que peut faire l'Union européenne, au-delà des politiques nationales, sur ces problématiques. J'envisagerai ainsi deux questions d'actualité: tout d'abord, la protection des données en ligne, qui relève des droits de l'homme parmi lesquels celui à la protection de la vie privée, et ensuite la recherche d'un véritable Internet européen.

Je souhaite également remercier mes collègues, Mme Kristina Irion et MM. Sergio Carrera et Colin Blackman qui m'ont apporté les précisions nécessaires à la bonne tenue de cette présentation.

À titre liminaire, je dirai que la protection de la vie privée sur les réseaux de communication et le rôle des acteurs européens dans l'écosystème d'Internet représentent des enjeux de taille pour l'Union Européenne qui n'a atteint, pour le moment, que des résultats plutôt mitigés. L'Union européenne, en tant qu'institution, doit faire plus et mieux, en adoptant une approche intégrée en matière de politique Internet puisque l'échelle nationale ne permet pas d'atteindre la masse critique nécessaire. Toute politique nationale, dans ce domaine, est vouée à l'échec.

La vie privée sur Internet n'est pas encore annihilée, mais cela fait longtemps qu'elle souffre. S'il est vrai qu'à la suite des attaques du 11 septembre 2001, des logiciels détectaient et enregistraient déjà tout message qui contenait des mots-clés définis, en revanche, l'échelle de la surveillance de masse en ligne aujourd'hui constatée, la quantité et l'importance des sujets impliqués et la quantité de données collectées demeurent sans précédent. Si la surveillance pratiquée par les gouvernements était connue, aucun expert n'était conscient de la quantité de ressources techniques mise en oeuvre à cette fin. En effet, ce sont près de 20 milliards de données, soit 3.000 données par personne à l'échelle de la planète, qui ont été enregistrées par jour, selon le Guardian !

Néanmoins, nous avons tendance à définir ce scandale comme purement américain, mais d'autres pays, appartenant à l'Organisation pour la coopération et le développement économique, ainsi que des États-membres de l'Union européenne, sont également concernés !

S'agissant du rôle du Gouvernement américain, qui est l'opérateur principal dans ce domaine, celui-ci est entré dans la vie privée de chacun, y compris en Europe, de deux manières : soit légalement, notamment par des décisions judiciaires, soit illégalement, par l'entremise d'agences de surveillance.

Ainsi, le Gouvernement américain peut légalement avoir accès aux informations sur des citoyens non-américains gérées par des opérateurs étant en connexion « lâche » avec la juridiction des États-Unis. Point n'est besoin pour le Gouvernement américain d'une ordonnance judiciaire pour avoir accès aux métadonnées ! Cependant, pour avoir accès au contenu des communications téléphoniques ou à tout courriel, une ordonnance judiciaire s'avère nécessaire. Les sociétés américaines, qui se voient notifier une telle ordonnance, ne peuvent s'y soustraire.

Cependant, ce qui est permis aux États-Unis ne l'est pas nécessairement dans l'Union européenne qui a mis en oeuvre des instruments juridiques destinés à éviter tout accès non autorisé, à l'instar de la Convention européenne des droits de l'homme et la Convention 108 du Conseil de l'Europe, ainsi que la Directive 95/46 sur la protection des données. En outre, il existe d'autres dispositions spécifiques sur le transfert de données vers les pays tiers (Safe Harbor, règles internes d'entreprises, accords d'assistance judiciaire mutuelle), mais, honnêtement, l'ensemble de ces outils juridiques se sont avérés inefficaces pour protéger la vie privée des citoyens européens.

Quel est le fond du problème ? Si l'on reprend les quatre modes de régulation du cyberespace définis par M. Lawrence Lessig - loi, technologie, normes sociales, marché -, la technologie européenne n'a pas été suffisamment protégée, faute d'avoir développé ses propres systèmes de chiffrage de données. Les citoyens européens n'ont pas conscience que ce qui paraît sur Internet peut toujours faire l'objet d'une surveillance et d'une écoute par des organisations tierces. Nous n'avons pas non plus créé des mécanismes de marché qui auraient pu assurer la sauvegarde de la vie privée. Nous n'avons ni cloud ni Facebook en Europe ; mais le souhaite-t-on vraiment ? De toute manière, la totalité de leurs utilisateurs se tourne vers le système américain. L'Europe n'a pas non plus créé les protocoles d'accès aux données de masse.

Que peut faire l'Europe en la matière ? À proprement parler, pas grand-chose pour le moment. Il faudrait tout d'abord aborder ce sujet au niveau politique avec nos homologues américains sur une base bilatérale mais à la condition d'avoir, au préalable, trouvé un consensus entre partenaires européens. Mais les institutions européennes ont d'ores et déjà perdu les conflits sur la vie privée, s'agissant notamment du système SWIFT de routage en ligne de paiement bancaire ou du système PNR concernant les passagers du transport aérien.

Il faudrait d'ailleurs changer la donne, en adoptant le nouveau cadre réglementaire sur la vie privée attestant ainsi l'intérêt que revêt la protection de la vie privée pour l'Union européenne.

L'Europe doit ainsi surmonter sa dépendance envers les acteurs Internet américains. Il ne s'agit pas de revenir à une forme surannée de protectionnisme, mais plutôt de lancer une stratégie industrielle européenne qui assure l'indépendance numérique qui s'annonce aussi importante dans les années à venir que l'indépendance énergétique.

S'agissant des aspects illégaux, le gouvernement des États-Unis, comme d'autres gouvernements, a effectué toutes sortes d'écoutes illégales des réseaux de communication. Gardons-nous d'une vision manichéenne : il n'y a dans cette histoire ni gentil, ni méchant. L'espionnage dépend des ressources humaines, financières et techniques : un pays s'y livre dès qu'il est mesure de le faire. D'après les ingénieurs, le stockage et l'exploitation des données, notamment de masse, sont d'un prix beaucoup plus modique que par le passé. Ainsi, les technologies Internet ne changent pas la nature de la situation, qui demeure, somme toute, assez proche de ce qui se passait pendant la Guerre froide, mais elles ont cependant fait exploser la quantité de sujets surveillés et de données collectées.

Quelles sont les réponses possibles au problème de la surveillance illégale ? Nous avons besoin de technologies qui ne soient pas infiltrées. En effet, ce qui a suscité l'affaire Snowden, ce n'était pas tant la surveillance opérée par les Autorités américaines que la demande faite à la société CISCO de créer des « back doors », c'est-à-dire des voies d'accès dérobées dans les routers. C'est la raison pour laquelle certains industriels utilisaient des codes légèrement détériorés. L'Europe a ainsi besoin d'indépendance numérique. Certes, le Parlement plaide pour les logiciels open source, mais un tel projet n'est pas une solution car, comme l'ont souligné les incidences de la faille de sécurité heartbleed qui affectait le logiciel open source OpenSSL, il importe avant tout d'avoir ses propres logiciels et d'en assurer la maîtrise.

L'Europe a besoin d'avoir sa propre industrie Internet avec ses crypteurs, ses routeurs, ses entreprises en ligne, et il incombe aux politiques d'empêcher que les Américains interceptent nos messages. Peut-on par ailleurs signer un accord transatlantique avec un partenaire comme les Etats-Unis qui continuent de nous écouter comme par le passé ?

S'agissant ainsi de la surveillance de masse, les derniers événements ont suscité une grande méfiance de ce côté de l'Atlantique non seulement à l'égard du Gouvernement américain mais aussi des entreprises privées productrices de logiciels et fournisseurs d'accès Internet. Le manque de réaction parmi les utilisateurs privés m'étonne tout de même, mais quelles sont les alternatives qui s'offrent à eux ? Finalement, les gens ne se préoccupent que peu de leur vie privée et le scandale Snowden aura finalement induit des conséquences néfastes sur l'ouverture d'Internet. Il faut bel et bien sauver Internet des agissements de nos amis américains en faisant en sorte que l'infraction à la règle devienne l'exception !

Il importe de fixer les règles du droit à la vie privée en assurant un consensus parmi les Etats membres de l'Union européenne et leur acceptation par les Etats-Unis. Lorsque le Gouvernement met sur écoute ses propres citoyens ou d'autres ressortissants, il faudrait que cette surveillance soit agréée par une cour de justice. Actuellement, les Américains peuvent agir dans un monde privé de repères clairs et mettre sur écoute des personnes afin de préserver leur sécurité nationale. Qui peut décider ce qu'est une interférence légitime au droit à la vie privée ?

J'en viens à présent à l'Internet européen. L'idée d'Internet semble ainsi évincer celle du contrôle étatique car comme le déclarait en 1992 David D. Clark, le créateur du Protocole IP, « nous refusons les rois, les présidents et les votes. Nous croyons au consensus approximatif et au code qui marche. » Cependant, une telle intuition ne s'est jamais vérifiée dans les faits. Certes, Internet est régi par un petit comité d'experts dont l'influence dépasse celle des Etats. Si les Protocoles IP ont été conçus pour rendre Internet ouvert, le contenu des sites peut être maîtrisé. Les gouvernements peuvent ainsi assurer une gouvernance de l'Internet en fonction de leurs propres intérêts, en restreignant l'accès à certaines plateformes, comme c'est le cas en Chine, en Iran ou encore en Turquie. La France pourrait également faire de même, mais une telle démarche présente des coûts en matière de liberté économique et de respect de la vie privée. Les jeux de hasard en ligne fournissent un autre exemple d'interdiction se fondant sur l'interdiction de l'accès aux plateformes qui frappe l'internaute : une telle décision, qui va au-delà de la restriction du droit de propriété intellectuelle, demeure de nature politique.

L'Internet, par sa nature, rend difficile l'application de la loi, mais n'échappe pas pour autant au pouvoir souverain. L'évolution de l'anonymat sur Internet, depuis 1992, est révélatrice : dès 2000, la traçabilité des visites et l'identification de l'internaute sont deux données vérifiables et, désormais, l'anonymat a réellement disparu pour la plupart des utilisateurs et dans la plupart des cas. Et cette évolution s'est opérée alors que l'architecture et les protocoles d'accès demeuraient stables pendant toute cette période !

Une fois ce constat dressé, il convient de s'interroger sur le type d'Internet qu'il faudrait voir en Europe. Les règles de fonctionnement de cet Internet, à vocation globale, devraient ainsi assurer son ouverture à tous en conformité avec les valeurs européennes. Il faut ainsi définir un cahier des charges à l'instar de la vision de Tim Berners Lee : Internet doit être universel, c'est-à-dire accessible à tous, et fondé sur des normes ouvertes impliquant l'examen par des pairs et l'absence de redevances. La gratuité a été l'une des raisons de l'essor liminaire de la toile. Désormais, il importe de séparer le contenu des règles qui régissent le réseau qui doit demeurer neutre, sans discrimination quant à son contenu. Il faut enfin préserver la confidentialité des communications.

L'Union européenne a récemment rédigé ses recommandations destinées à la délégation qu'elle doit envoyer à la conférence qui aura lieu à Sao Paulo le mois prochain : Internet doit ainsi demeurer ouvert, libre, sécurisé, fiable, non fragmenté et digne de confiance. Ces six piliers définissent la vision européenne en la matière, mais toute la question demeure quant à leur mise en oeuvre.

Comment créer une infrastructure européenne ? Une telle démarche reviendrait à détruire le réseau Internet dans sa configuration actuelle. L'objectif n'est pas de créer des murs étanches qui nous protégeraient d'Internet, mais plutôt de protéger nos propres données. La création d'une structure européenne commune d'information, qui permettrait également de préserver la confidentialité des données, repose sur la confiance mutuelle entre partenaires européens.

Cependant, la place des entreprises européennes dans Internet demeure une source de préoccupation réelle. Seules huit entreprises se classent parmi les cent premières de ce secteur et l'Union européenne est loin derrière les États-Unis, le Japon et la Chine ! Il n'y a donc pas d'acteur industriel d'origine européenne en mesure de porter sur Internet nos valeurs.

La présence technologique européenne est ainsi contrastée : s'il est vrai que la gestion des infrastructures est assurée par des opérateurs de télécommunication européens et que la fourniture et la maintenance du réseau sont en partie opérées par des compagnies européennes, comme Ericsson ou encore Alcatel-Lucent, qui ne disposent pas pour autant d'un leadership dans leur domaine, l'Europe ne compte que deux entreprises d'envergure spécialisées dans les applications Internet. Il s'agit de Spotify et de Rovio, à l'origine d'Angry-birds qui est l'un des jeux les plus courants sur la toile. Et voilà tout ! Nous n'avons pas ni réseaux sociaux, ni messageries instantanées, ni logiciels de bureaux....Certes, il y a Skype, qui a été initialement créé en Estonie par des ingénieurs danois et suédois avec des capitaux d'origine britannique et qui a été enregistré au Luxembourg ! Mais cette belle réussite européenne a dû passer sous giron nord-américain pour devenir un géant de l'Internet, suite à sa première vente à Ebay en 2007 puis à son acquisition par Microsoft en 2011. Il faut ainsi faire appel aux capitaux américains pour devenir un géant de l'Internet et c'est véritablement une lacune pour l'Europe de ne pas disposer d'un opérateur de taille critique !

Mais il n'y pas que les Etats-Unis qui jouent un tel rôle sur Internet puisque la Chine dispose, avec la société Tencet, d'un opérateur Internet disposant de la cinquième capitalisation boursière mondiale et qui demeure plus important que Facebook ! Par ailleurs, Baidu, qui est l'équivalent chinois de Google, est le cinquième site le plus visité au monde et Alibaba, société de E-commerce, est plus grand encore que la réunion d'Amazon et d'Ebay ! L'Europe n'est pas à la traine derrière les Etats-Unis seulement, mais bien plutôt derrière le monde entier !

Et ces sociétés peuvent atteindre des bénéfices allant de 50 à 70 % ! Au-delà de la rentabilité affichée de ces sociétés, il importe avant tout que celles-ci soient respectueuses des lois en vigueur en Europe. Ainsi, le scandale de la NSA résulte en partie de l'absence de respect des entreprises américaines à l'égard d'autres législations qu'américaines. L'Europe ne dispose pas des outils nécessaires à la promotion de nos valeurs sur Internet et en même temps le grand marché unique numérique qu'elle instaure profite aux entreprises non européennes ! D'ailleurs, les entreprises numériques doivent-elles être considérées à l'instar des entreprises de l'économie réelle et l'Europe a-t-elle besoin d'une politique spécifiquement consacrée au numérique ? Quelques tentatives en ce sens ont eu lieu, comme un rapprochement industriel entre la France et l'Allemagne lors de la création de la société Quaero, ou encore Galiléo. Ce furent initialement de belles idées dont la mise en oeuvre s'est malheureusement soldée par des échecs.

Dès lors, si l'Europe souhaite initier une réelle politique dans le secteur du numérique, elle doit assumer les échecs qui accompagnent cette évolution ! L'accent a été jusqu'ici porté sur la création d'un écosystème acceptable pour les acteurs européens, mais il faudrait désormais soutenir le développement des sociétés européennes existantes. Par exemple, nous avons des fournisseurs d'accès de très bons niveaux mais il nous faut soutenir la concurrence avec les grands pays, comme la Chine ! Faute d'une politique appropriée, l'Europe risque d'accroître son retard.

La politique européenne dans ce domaine doit être cohérente. Ainsi, dans le domaine des marchés publics, il faut privilégier les sociétés qui respectent et promeuvent les valeurs européennes, à charge pour les gouvernements nationaux de leur confier leurs marchés.

Au-delà de ce constat négatif, il convient de souligner les forces dont dispose l'Europe : de bons opérateurs de télécommunication, une présence consolidée, ainsi que des infrastructures qui ont bénéficié de la fin des monopoles depuis ces vingt dernières années. Cependant, l'importance de la réglementation européenne tend à désavantager les opérateurs d'origine européenne en concurrence avec les opérateurs extérieurs à l'Union. La neutralité du net ne concerne pas seulement le droit à l'expression, mais également les relations commerciales : qui profite en définitive de l'Internet ? En outre, la question du secteur manufacturier, qui est important en Europe, se pose désormais en termes de relations de Machine à Machine (Machine to Machine - MM). Ainsi, ce sont les données recueillies qui sont la source de profits ultérieurs: même BMW tend à se considérer comme une société de l'Internet, son PDG ayant déclaré que les entreprises automobiles étaient devenues des entreprises de données !

Je souhaite enfin aborder la question des fournisseurs de l'Internet. Le cloud a été, peut-être de manière exagérée, décrit comme une révolution numérique en ce qu'il transforme la puissance de calcul et qu'il constitue une base vers laquelle les fournisseurs envoient leurs données. Mais la plupart des fournisseurs de cloud se trouvent en dehors de l'Union européenne. Le Parlement européen s'est emparé de cette question : un cadre réglementaire pour les fournisseurs de cloud serait opportun et devrait imposer leur localisation dans l'Union européenne, le respect d'obligations claires en matière de protection de la vie privée et l'aménagement d'un accès légalement garanti aux gouvernements aux données et informations privées. Ce n'est qu'une fois assurée la conformité de ce dispositif à une réglementation visant les industriels que son ouverture à des particuliers est recevable.

A l'issue de mon propos, je vous soumets un certain nombre de références accessibles sur Internet et concernant l'ensemble des points que je viens de vous exposer. Je vous remercie de votre attention.