Restée longtemps confinée à un débat entre les opérateurs techniques, la question de la gouvernance de l'Internet a, au cours des dernières années, pris rang en première ligne sur l'agenda international. Mais derrière ces termes, nous ne mettons pas tous la même chose. Il convient de distinguer clairement entre deux notions, la gouvernance de l'Internet, qui touche aux infrastructures, et la gouvernance sur l'Internet, qui touche à la protection de la vie privée et à la liberté d'expression. Quel est le paysage actuel ? Alors que la gouvernance des infrastructures, constituée en un écosystème de gestion, fonctionne plutôt bien, la gouvernance sur l'Internet, désormais enjeu principal, est devenue source de tensions entre les institutions internationales et lieu de confrontation des législations nationales, qui forment un patchwork. L'expression même se comprend différemment selon la langue dans laquelle elle se donne. En français, prévaut l'idée que l'on influe de l'extérieur sur quelque chose, quand l'expression anglaise, Internet governance, emporte la manière spécifique dont l'Internet se gouverne. Lorsque l'on parle, en français, de gouvernance de l'Internet, on néglige cette distinction et le fait que l'Internet relève de modes de gouvernance différents, appelant des mode de coopération inédits. De ce point de vue, si l'Union européenne représente un acteur important, il est aussi d'autres acteurs, d'autres vecteurs, comme le Conseil de l'Europe ou l'OCDE - pour ne parler que des organisations intergouvernementales les plus importantes. Si donc la France entend peser dans le débat, elle ne doit pas user du seul canal européen.
L'intitulé de votre mission commune invoque une « nouvelle stratégie » : c'est poser la question de la vision. Que veut-on pour l'avenir, sachant que ces dernières années, les résultats n'ont peut-être pas été à la hauteur des espoirs ? Cela fait maintenant quinze ans que je réfléchis à cette question, combien complexe, de la stratégie, et je n'ai pas la prétention de définir ici, en quelques minutes, ce qu'elle pourrait être. Ce que je puis faire, en revanche c'est, à partir d'un sujet transversal, tenter de montrer comment réfléchir à une stratégie. L'architecture de l'Internet est faite de couches, elle est distribuée et elle fonctionne par la coopération d'un grand nombre d'acteurs. Les modes de gouvernance de l'Internet doivent être organisés de la même manière. Dire que la stratégie doit être distribuée, c'est dire qu'elle ne saurait être unique : il pourra y avoir des stratégies différentes selon les sujets. Celui auquel je m'attacherai, le traitement des données, souvent abordé sous l'angle de la protection de la vie privée, touche aussi au big data, à l'économie des données, à l'économie du partage. Il est au coeur de l'actualité, parce que les événements liés à la surveillance des Etats ont jeté sur lui un coup de projecteur ; parce qu'un projet de règlement européen sur la protection des données personnelles est en préparation ; parce qu'enfin la création de valeur attachée à la collecte et au traitement des données est devenue centrale. Et cela exige un saut conceptuel. Si révolution numérique il y a, elle est sous-tendue par la question de la collation des données, dont la croissance est exponentielle, et de l'open data : comment exploiter les données pour en tirer des bénéfices sociaux ou économiques ?
Je l'ai dit, ce sujet est aujourd'hui largement traité sous l'angle de la protection des données privées. Le coup de projecteur de l'actualité s'est focalisé sur le comportement des Etats - voir l'affaire Snowden, qui pose la question de l'application extraterritoriale de la souveraineté d'un pays par un effet de levier sur les opérateurs basés sur son territoire. Mais ce n'est pas parce qu'un conducteur fait un excès de vitesse qu'il faut incriminer l'autoroute.
A la suite de l'affaire Snowden, qui a provoqué un réel sentiment d'humiliation en Europe, on a vu émerger la notion de souveraineté numérique, que le rapport de Mme Morin-Desailly a abondamment traitée. Cette notion, cependant, est à double tranchant. S'il est parfaitement légitime qu'un Etat exerce sa souveraineté et si, sans souveraineté des Etats, il n'est pas de gouvernance possible, reste que certaines interprétations de la notion de souveraineté numérique pourraient avoir des conséquences négatives. L'affaire Snowden nous a appris que l'exercice de la souveraineté nationale sur un opérateur basé sur le territoire d'un Etat n'est pas sans effets sur les acteurs des territoires voisins. Voilà qui n'est guère conforme à la théorie classique des relations internationales, dans laquelle la souveraineté implique une séparation claire des responsabilités et des autorités en fonction des territoires, avec pour corollaire le principe de non-ingérence. Il est clair que dorénavant, une décision nationale a des impacts transfrontaliers, de même que ce qui se passe en amont d'un fleuve a des effets en aval, hors toute considération de frontière.
Or, sur cet état de fait, la réflexion n'a pas été conduite. Seule peut être mentionnée une recommandation émise par le Conseil de l'Europe fin 2011, qui établit le principe de responsabilité d'un Etat pour les dommages transfrontaliers potentiellement causés à un autre. Ce principe pourrait trouver à s'appliquer dans le monde numérique, où les effets extraterritoriaux justifient que le principe de souveraineté de s'applique pas de la même façon qu'ailleurs. Sans parler des plates-formes, territoires numériques transfrontières, espaces partagés, qui sont le coeur du bénéfice de l'Internet. Dès lors que nous gérons des espaces communs, nous ne sommes plus dans une logique de séparation des souverainetés, mais bien de cosouveraineté, de coresponsabilité. Méfions-nous donc de notre propension à renouer avec le cadre familier de la frontière ; pousser trop loin la logique de souveraineté, notamment en militant pour des clouds nationaux, pourrait nous faire perdre une bonne part des bénéfices que le partage des infrastructures et le cloud peuvent apporter. Certes, les abus constatés ne sont pas admissibles, mais préconiser, pour y remédier, la relocalisation des données et le cloud national reste une vue de court terme, qui pourrait provoquer une fragmentation, source de dommages irréparables à long terme.
Au regard de quoi - et c'est une réflexion que le groupe de travail du Conseil d'Etat sur l'Internet et les droits fondamentaux auquel je participe a engagée - on peut se demander si notre cadre légal relatif à la protection des données, apparu dès 1978, et très novateur à l'époque, ainsi que la directive de 1995, sont toujours adaptés. Pour moi, ils ne le sont plus. Face à la diversité nouvelle des données collectées, on ne saurait se contenter d'un régime de protection uniforme. Le type de protection ne peut être le même pour des données de carte bancaire, de santé, et pour un twitt ou un post anodin sur Facebook. Ce serait une erreur que de considérer qu'en droit, tout doit relever du même mécanisme.
Du même coup, on est fondé à s'interroger sur le terme même de collecte. Une chose est de solliciter des données bien spécifiées, autre chose est de collecter, sur une plateforme, des données adressées par des individus à d'autres individus. Le terme de traitement, lui-même, perd son univocité. Il existe désormais, avec le big data, une multiplicité de traitements, qui n'emportent pas les mêmes conséquences. Sans doute est-ce pousser un peu loin l'analogie, mais la pratique d'une plate-forme qui analyse le contenus des messages postés par les internautes pour envoyer des bandeaux publicitaires adaptés n'est pas si différente de celle qui consiste, pour une régie publicitaire, à sélectionner les supports qu'elle va retenir dans une campagne. Dans un cas comme dans l'autre, on est dans un régime de ciblage, pour autant que l'on s'en tienne à un traitement automatisé. Là où commence l'abus, c'est lorsque l'on en vient à procéder à des recherches personnelles, identifiées.
Le terme de traitement peut aussi s'appliquer lorsque l'on donne accès à une base de données pour une requête spécifiée, sans pour autant que la base soit transmise. C'est une problématique que l'on connait à l'ICANN, avec le Whois, la base de données qui enregistre les détenteurs de noms de domaine, et qui suppose que l'on ouvre des modalités d'accès différenciées, pour concilier les usages requis et la protection de la vie privée.
L'enjeu est important, parce que si, dans la réglementation française et européenne, le curseur penche trop vers la protection des données privées, on risque de mettre l'équilibre en péril et de brider ce potentiel de création de valeur inédit que représente le croisement des données. Il me paraît donc dangereux de penser que notre stratégie doive consister à empêcher la sortie des données. La gageure est bien plutôt d'éviter que les données qui sortent soient mal traitées. Une stratégie qui, à l'inverse, viserait à promouvoir en Europe un régime de cloud étendu, susceptible d'attirer d'autres pays, comme le Brésil ou l'Inde, serait le moyen de préserver le potentiel de valeur tout en évitant un mésusage des données. La collecte de données publiques ou sur objets connectés, pour leur exploitation en open data et via des mécanismes de croisement, va devenir source de valeur économique et sociale : c'est cela qu'il faut faciliter.
Il convient donc de traiter la question de la gouvernance de l'Internet sujet par sujet, en se méfiant de notre tendance naturelle à revenir vers les cadres traditionnels. Ainsi, l'expression de « souveraineté numérique » peut-elle induire l'idée qu'il faudrait réimposer une territorialisation sur un espace dont le bénéfice principal est d'être transfrontière. Chaque sujet a de multiples dimensions, y compris économique et sociale ; ainsi, le régime de la vie privée ne peut être dissocié de l'économie des données. Or, s'il existe des espaces de discussion pour la gouvernance des infrastructures, il n'est aucun cadre international, mettant en présence l'ensemble des acteurs, pour traiter ces questions. Ce devrait être une ambition majeure pour l'Europe que de contribuer à la discussion en cours, en mettant l'accent non sur la gouvernance de l'Internet mais bien sur les mécanismes de gouvernance de l'Internet. La peur et l'émotion sont mauvaises conseillères : « le pessimisme est d'humeur, l'optimisme est de volonté » disait Alain. Si l'on sait ce que l'on veut obtenir, on le peut. Ne renonçons pas, car l'Europe a, sur ces sujets, son mot à dire.