Merci de cet exposé très intéressant.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

La réunion est close à 12 h 50.

La réunion est ouverte à 14 h 05.

- Présidence de M. Franck Montaugé, président -

Notre commission d'enquête poursuit ses travaux avec l'audition commune de MM. Nicolas Mazzucchi, chargé de recherche à la Fondation pour la recherche stratégique, Julien Nocetti, chercheur à l'Institut français des relations internationales (IFRI) et Christian Harbulot, directeur de l'École de guerre économique, spécialiste d'intelligence économique.

Cette audition sera diffusée en direct sur le site Internet du Sénat. Elle fera également l'objet d'un compte rendu publié.

Enfin, je rappelle, pour la forme, qu'un faux témoignage devant notre commission d'enquête serait passible des peines prévues aux articles 434-13, 434-14 et 434-15 du code pénal. J'invite chacun d'entre vous à prêter serment de dire toute la vérité, rien que la vérité, levez la main droite et dites : « Je le jure. ».

Conformément à la procédure applicable aux commissions d'enquête, MM. Nicolas Mazucchi, Julien Nocetti et Christian Harbulot prêtent serment.

Une partie non négligeable de nos vies se joue désormais dans l'espace numérique. Si cela représente pour nos sociétés et nos économies de réelles opportunités, les défis sont considérables, et se déploient dans le domaine des relations internationales et géostratégiques. Comment la souveraineté numérique a-t-elle émergé peu à peu sur la scène internationale ? Comment influe-t-elle sur les relations internationales ? Induit-elle des stratégies nationales ou multilatérales ? Sont-elles concurrentes ?

Nous avons compris que trois modèles émergent : le modèle américain ultra-libéral, porté et portant ses acteurs privés. Ce modèle est souverain, dominant les secteurs clés, imposant ses normes et ses choix stratégiques qui affectent toute la société.

S'y oppose le modèle chinois, autoritaire, segmentant l'espace numérique pour en avoir un parfait contrôle sur son sol, interdisant aux entreprises étrangères de transférer leurs données électroniques vers leurs sièges nationaux, utilisant les données personnelles de ses citoyens pour asseoir la domination du parti communiste chinois. Ce modèle est-il réellement souverain ? Enfin, un modèle européen, tentant de proposer une alternative à cet antagonisme, et de protéger les droits fondamentaux qui sont son socle.

C'est une forme d'affrontement géostratégique et économique intense que se livrent les protagonistes. M. Harbulot parle même de guerre économique.

Le cyberespace est le seul espace stratégique artificiel créé de la main de l'homme. Il se compose d'une couche matérielle qui correspond à l'ensemble des appareils, serveurs, routeurs, ordinateurs qui permettent l'interconnexion des machines ; d'une couche logique ou logicielle qui couvre les éléments de communication entre les machines elles-mêmes, autrement dit les protocoles, ou bien entre les humains et les machines, c'est-à-dire les logiciels. Ces deux premières couches forment l'organisation technique du cyberespace et définissent la manière dont les réseaux fonctionnent. La troisième couche, dite sémantique, correspond à l'ensemble des informations qui transitent au travers des deux premières.

Cette segmentation en trois couches justifie une différence d'approches nationales selon la culture du cyberespace que l'on choisit de privilégier. Les pays de l'espace euro-Atlantique, se sont concentrés depuis la fin des années 80 sur l'architecture technique du cyberespace, définie par les deux premières couches. Ils ont négligé l'importance de la couche sémantique qui a fait un retour fracassant, avec l'invasion de la Crimée par la Russie, puis les élections américaines. D'autres pays ont développé une vision différente, comme les Russes qui ont parié sur la couche sémantique au point de parler d' « espace informationnel » pour désigner le cyberespace.

À cette approche par couches correspond une approche par attaques, avec trois types de cyber conflits, le sabotage, l'espionnage et la subversion. La vision américaine est structurée par les infrastructures, avec 90 % des communications dans le cyberespace circulant de manière sous-marine via des câbles, et un recours aux serveurs racines pour faire fonctionner Internet. C'est une vision libérale, avec des segments fixes détenus par le Department of Defense sur les serveurs racines, comme le serveur qui appartient au laboratoire de recherche de l'armée américaine, ou le serveur propriété de la NASA. L'État américain exerce ainsi un contrôle matériel très fort, l'action privée s'exerçant surtout sur les couches logicielle et sémantique.

Cette vision euro-Atlantique correspond à celle des pays du Nord, comme en témoigne l'architecture des câbles sous-marins, élaborée dans les années 90, qui privilégie un axe passant par l'Amérique du Nord et l'Europe pour aller jusqu'au Japon. Les autres pays ne sont pas exclus du système de communication, mais doivent le plus souvent avoir recours aux câbles qui desservent ces trois ensembles géographiques. La vision française et plus largement européenne s'est construite autour de cet arc euro-Atlantique étendu jusqu'au Japon, dont elle a hérité. L'émergence de la Chine est venue remettre en cause cette prégnance des pays du Nord, tout en se heurtant aux réalités techniques.

L'information et les données sont au coeur de la souveraineté du cyberespace, de sorte que la détention des infrastructures offre une capacité stratégique extrêmement forte. La dématérialisation du cloud computing s'opère à l'avantage des pays qui sont le plus ancrés dans le cyberespace : pas moins de 40 % des capacités mondiales se trouvent ainsi sur le territoire américain, la porosité extra-territoriale se limitant aux data centers que les grandes entreprises américaines comme Microsoft ou Apple déportent dans certains pays européens. La Chine qui arrive en seconde position connaît une croissance d'activité extrêmement forte, de sorte qu'elle tend à remettre en cause la toute-puissance américaine dans le champ du cloud computing. Les Chinois ont su mesurer l'importance de stocker des données sur leur territoire.

La capacité pour un État à détenir les données sur son sol, à être souverain en termes de données est au coeur du développement de l'IA.

Entre 2013 et 2018, le nombre de tweets à la minute a quasiment doublé. La création de données, quasi exponentielle, est au coeur de la souveraineté et de la puissance actuelle mais surtout future des États. La grande vogue de l'intelligence artificielle limitée ne peut se comprendre que si l'on prend en compte d'une part, la baisse du coût des capacités de calcul grâce à la performance des processeurs, qui suit peu ou prou la loi de Moore, et d'autre part, la disponibilité en masse de données variées qui a permis de sortir de ce qu'on a appelé les hivers de l'Intelligence artificielle. La puissance d'un État, qu'elle soit actuelle ou en germe, dépend étroitement de sa capacité à édicter une forme de géopolitique des données. L'entreprise est complexe, car les grands textes internationaux qui régissent le cyberespace sont rares, si l'on excepte le règlement international des télécommunications qui date de 1988.

La question financière pèse aussi. Le développement de l'intelligence artificielle attire beaucoup d'investissements, à cause des enjeux stratégiques qu'il porte. Les entreprises américaines et chinoises, dont la proximité avec leur État est encore plus importante que celles des entreprises américaines, sont les plus en pointe dans ce champ, grâce à la capacité qu'elles ont d'injecter des sommes colossales dans la recherche et le développement, mais aussi parce qu'elles ont les moyens d'aller racheter des pépites technologiques sur leur propre sol et à l'étranger. L'intégration transnationale par l'argent peut servir à asseoir la souveraineté d'un État, qu'il s'agisse de rapatrier une entreprise sur son territoire ou de la vider de sa substance, en recrutant ses chercheurs ou en s'appropriant ses brevets. Par rapport à l'évolution du nombre de dépôts de brevets en Chine, la capacité en la matière des pays de l'Union européenne reste extrêmement limitée.

La Chine est venue au cyberespace dans la seconde moitié des années 90, à ses propres conditions. Elle a d'emblée adopté la segmentation du cyberespace en trois couches et a décidé de devenir souveraine sur ces trois couches, tout au moins dans son propre espace national. La Grande Muraille dorée opère un contrôle des données sur la première couche, sous la forme d'un gigantesque pare-feu permettant à l'État chinois de contrôler, avec une efficacité importante, tout ce qui entre et sort de l'espace informationnel chinois.

Au niveau de la deuxième couche, la population chinoise peut bénéficier des services d'opérateurs nationaux qui offrent en version locale et facilement contrôlable, avec une législation obligeant à stocker les données sur le territoire national, l'équivalent de ce que proposent les opérateurs internationaux. On retrouve ainsi répliqués les grands GAFAM (Google, Apple, Facebook, Amazon, Microsoft), avec, par exemple, Baidu pour Google, Alibaba pour Amazon, ou Sina Weibo comme Twitter local.

Pour ce qui est de la couche sémantique, une armée d'opérateurs sont payés pour effectuer des contrôles destinés à empêcher l'émergence de critiques sur le système politique et social chinois. L'État chinois affiche ainsi sa volonté de garder la mainmise sur toute l'architecture de son cyberespace, permettant à la Chine de s'insérer dans le cyberespace à ses propres conditions.

La France occupe la première place au niveau européen dans le classement des plus grandes entreprises mondiales des technologies de l'information et de la communication. Ce classement reste néanmoins tout relatif, car la capacité européenne à édicter la norme au travers d'un développement très fort de ces technologies reste extrêmement faible. La puissance normative des grandes entreprises américaines, et la croissance forte des grandes entreprises chinoises, les BATX (Baidu, Alibaba, Tencent, Xiaodu), risquent d'affaiblir encore nos capacités.

Quant au modèle russe, il se concentre sur la capacité d'avoir des opérateurs informationnels qui émettent en langue russe, au-delà des frontières russes, dans un espace post-soviétique relativement étendu. Ce modèle fait force de sa faiblesse en se concentrant sur la couche internationale au détriment des deux couches techniques.

La souveraineté numérique reste complémentaire d'autres types de souveraineté dans les stratégies étatiques. Le développement de l'Internet des objets par exemple ne peut se faire sans prendre en compte l'empreinte énergétique extrêmement forte des transitions numériques dans le monde. La Chine l'a parfaitement compris, qui travaille à mettre en place un système extrêmement complexe où une route de la soie électrique est accolée à une route de la soie numérique, les deux fonctionnant de la même manière. Pékin anticipe ainsi l'évolution des réseaux électriques mondiaux appelés à devenir la base des réseaux numériques mondiaux fonctionnant grâce à la 5G fournie par Huawei. La Chine investit aussi énormément dans les batteries qui seront le coeur de la transition énergétique et de la transition numérique.

Depuis les derniers travaux du Sénat sur la souveraineté numérique, en 2014, les paramètres ont évolué. Il y a cinq ans, le contexte était marqué par l'affaire Snowden et la fin de l'innocence en matière numérique. Nous découvrions alors que la souveraineté numérique n'était pas l'apanage des régimes autoritaires. Cinq ans plus tard, nous connaissons tous l'ambiguïté de la technologie, qu'il s'agisse de la prolifération des cyber menaces, de l'accroissement des vulnérabilités liées au numérique, ou de l'extension de cette matière dans les technologies de rupture comme l'IA et la 5G. Dans tous ces domaines, des logiques de souveraineté sont à l'oeuvre, qui peuvent favoriser des tensions entre les États à cause d'enjeux économiques forts. La complexité technologique d'Internet va de pair avec l'exacerbation des luttes de pouvoir à l'échelle globale.

L'actualité immédiate est riche d'enseignements. À analyser les tensions entre la Chine et les États-Unis autour de Huawei, la technologie semble être un prétexte assez commode pour justifier le repli des États sur eux-mêmes. En 2010, Hillary Clinton, alors secrétaire d'État, promettait d'abattre le rideau de fer numérique, en référence au vaste système de censure en ligne chinois qui était déployé. En 2019, il n'est plus question de censure, mais d'un décret présidentiel et de guerre technologique. En décidant de bannir le géant chinois Huawei du sol américain et en intimant aux plus puissantes des plateformes américaines de cesser toute relation d'affaires avec la firme chinoise, le président Trump a conféré aux États-Unis des pouvoirs exorbitants sur toutes les chaînes de valeur technologique de la planète.

C'est un changement crucial de stratégie. L'affaire Huawei montre de manière frappante le repli américain sur le plan technologique. Elle tranche avec la doctrine historique des États-Unis en matière numérique et révèle la crainte de Washington de perdre sa supériorité technologique face à Pékin.

Depuis deux décennies, Washington avait fait du contrôle des données l'axe prioritaire de sa stratégie économique et de sa stratégie de sécurité. Les Américains s'appuyaient pour cela sur les géants de la tech, les fameux GAFAM, et sur les pouvoirs très importants confiés à la National security agency (NSA) en matière de surveillance. Ces deux éléments se conjuguaient dans une longue tradition d'open policy qui visait à l'ouverture du marché et au maintien d'une prééminence américaine à la fois militaire et économique, les deux dimensions étant inséparables. Cette politique qui était celle de Barack Obama entre 2008 et 2016 est plus ou moins remise en cause par Donald Trump.

L'affaire Huawei est typique de la stratégie qui consiste à affaiblir son adversaire en tissant avec lui des liens d'interdépendance. C'est un cas typique de militarisation de l'interdépencance. Cette interdépendance technologique et numérique entre la Chine et les États-Unis avait été largement sous-estimée, avec les conséquences que l'on constate désormais. L'industrie des semi-conducteurs, par exemple, pour le moins confidentielle et très technique, mais aussi très mondialisée, est devenue l'otage des tensions sino-américaines, avec le risque de déstabiliser la quasi-totalité des chaînes de valeur à l'échelle mondiale. Cela pose une lumière crue sur l'absence totale de souveraineté européenne en matière de semi-conducteurs.

Il y a quelques années, les services de renseignement américains s'étaient alarmés des velléités de Huawei de construire des câbles sous-marins, craignant que les Américains ne perdent leur prééminence en matière de renseignement d'origine électromagnétique. Les points d'atterrage et d'interconnexion des câbles sont un enjeu stratégique, qui permettent aux États de conduire des opérations d'espionnage, de piratage et d'intimidation. Certains pays, tels que la Russie, ne se privent pas d'exploiter la dimension physique d'Internet sous un angle stratégique. C'est un enjeu de souveraineté majeur pour l'Union européenne.

Les tensions entre Pékin et Washington autour de Huawei illustrent en accéléré toutes les logiques de fragmentation dans l'univers numérique que l'on constate depuis une dizaine d'années. Nous assistons à la fin de l'ère de la global tech, caractérisée aujourd'hui par un vif rejet du multilatéralisme et par la croyance en l'effacement des frontières, et en l'avènement d'acteurs économiques internationaux qui s'affranchissent des États au profit d'une logique de blocs. Tout ceci est remplacé par un protectionnisme exacerbé.

L'affrontement numérique entre les États-Unis et la Chine a pour objet le leadership technologique, avec l'Europe pour théâtre principal, et au-delà l'Afrique et l'Asie du Sud-Est. C'est sur le vieux continent que Huawei tire l'essentiel de sa croissance, notamment en 2018. L'Europe constitue le principal marché de la firme après la Chine depuis 2013. Cela symbolise la nouvelle orientation économique chinoise. Les dirigeants chinois privilégient une démarche qualitative plutôt que quantitative. Plutôt que d'être l'atelier du monde, la Chine veut montrer qu'elle est le bureau d'ingénierie de la planète, rivalisant ainsi avec les États-Unis.

Les Américains cherchent à contrer ces ambitions chinoises qui les inquiètent en conservant l'Europe dans leur giron numérique. L'ambition de Trump est d'aboutir à un découplage entre le client et la Chine. Du côté européen, l'oukase de Donald Trump risque de créer un précédent, puisque l'Europe réalise que l'avenir de ses propres fleurons industriels tient à l'humeur du président américain. Celui-ci joue sur une ligne de crête, en adoptant une stratégie extrêmement risquée. Il donne paradoxalement aux Européens l'opportunité d'affronter leur propre vulnérabilité. Le politique devrait s'en saisir.

L'Europe avance sur de multiples fronts numériques. Le règlement général sur la protection des données (RGPD) adopté en mai dernier ouvre une troisième voie, comme vous le rappeliez Monsieur le Président, entre les modèles californien et chinois. Cependant, Bruxelles continue d'agir de manière défensive en s'instituant comme le gardien des valeurs. Dans le même temps, nos concurrents collectent des milliards de données sans se soucier des paramètres qui nous sont chers en Europe. La question se pose, face à cette réalité de savoir si l'Europe peut fonder sa politique sur la seule morale.

L'affirmation européenne en matière de maîtrise des données ne doit pas occulter les contre-réactions inévitables : juste avant l'adoption du RGPD, les Américains ont voté le Cloud Act qui permet aux autorités américaines d'exiger des opérateurs numériques qu'ils livrent les opérations personnelles de leurs utilisateurs sans les en informer, ni devoir passer par les tribunaux, même lorsque ces données ne sont pas stockées sur le territoire américain.

Quant à la Chine, son projet des nouvelles routes de la soie a pour ambition de maîtriser la totalité des infrastructures numériques du territoire chinois jusqu'à l'Europe, en passant par l'Afrique, à la fois en matière de cloud, de data centers, de câbles sous-marins et de réseaux 5G. Rappelons que Huawei a construit plus de 70 % du réseau 4G en Afrique.

Enfin, on ne peut pas dissocier le numérique du financement de l'innovation et de la formation du capital humain. C'est en évitant la fuite des cerveaux et en formant massivement ses propres experts que l'Europe pourra surmonter ses vulnérabilités.

La notion de guerre économique explique la manière dont les pays s'affrontent depuis la nuit des temps pour accroître leur puissance grâce à l'économie. L'économie n'est pas seulement liée à la créativité humaine et aux échanges, mais aussi aux affrontements qui ne sont pas que concurrentiels. Pour comprendre la notion d'intelligence économique, je vais vous proposer d'explorer certains mots clés. Le premier est celui de suprématie.

Le monde immatériel, ou cyberespace, est un monde à conquérir, au même titre que le monde matériel l'a été, avec des siècles d'affrontements pour la suprématie. Pourquoi le monde immatériel échapperait-il à ces luttes ?

La recherche de la suprématie découle d'un premier principe : quand les États-Unis créent l'architecture du cyberespace, ce n'est pas seulement pour prolonger leur communication dans un contexte de guerre froide, mais c'est aussi pour occuper les meilleures positions dans ce monde en devenir qui ne cesse de prendre forme. Aussi inavouable soit-il, préserver sa suprématie est un enjeu stratégique évident, et la dépendance technologique en est la conséquence et l'arme.

S'est-on déjà posé la question de la suprématie en France ? Le général de Gaulle, de retour aux affaires en 1958, avait compris que l'informatique allait devenir un enjeu majeur dans le développement de l'économie française. Il avait même, à en croire les écrits d'Alain Peyrefitte, développé une vision de la souveraineté numérique qui dépassait même le cadre de la souveraineté, puisqu'il souhaitait que les entreprises françaises conquièrent des marchés. Malheureusement les plans du président de la République n'ont pas reçu le soutien du monde de l'entreprise, resté focalisé sur les notions de marché propres à l'époque. Il s'agit là d'un dysfonctionnement classique dans le système français, où s'opposent d'un côté une vision politique, et de l'autre un écosystème pas forcément en phase avec cette vision.

Ce dysfonctionnement a laissé des traces, puisque lorsqu'ont émergé l'Internet et la puissance technologique américaine, ainsi que le marché qui en découlait, la plupart des chefs d'entreprise français ont accepté très vite la notion de dépendance, en se disant qu'il était déjà trop tard. Cela a eu et a des implications dans le domaine de l'intelligence économique.

L'intelligence économique examine en quoi l'information peut être utile en termes de développement et de compétition. On constate qu'en France, dès lors qu'une très grosse entreprise de technologie expose à la Porte de Versailles, pas moins de 2 000 entreprises se déplacent ; un syndicat d'entreprises françaises qui tente de faire de l'innovation n'arriverait pas à en réunir 100. La différence est significative. Elle montre la difficulté qu'ont les entreprises françaises à s'emparer du concept de souveraineté, à lui accorder le poids qu'il mérite et à prendre en compte les dynamiques de puissance.

J'ai participé, il y a quelques années, à un colloque de responsables des systèmes d'information. Au lendemain de l'affaire Snowden, des comités exécutifs ont fait machine arrière sur des décisions d'externalisation qui avaient été prises en fonction de critères de marché et de rentabilité. Il suffisait qu'une affaire éclate, mettant en cause les décisions prises montrant que les problématiques de puissance avaient été occultées pour mettre en péril la notoriété du chef d'entreprise. Le problème n'est pas évident. Il n'y a pas sur une question aussi importante d'harmonie de pensée qui prévaut en France entre le monde politique et celui de l'entreprise.

La première urgence face à ce phénomène consisterait à mettre le monde des entreprises devant ses responsabilités. Lors d'une rencontre organisée par le Medef sur la souveraineté numérique, j'ai été très étonné d'entendre les chefs d'entreprise déclarer qu'ils attendaient la feuille de route du politique. On n'aurait jamais entendu telle réaction aux États-Unis. Les entreprises françaises souffrent d'un refus d'entrer dans le paysage des rapports de force entre puissances. D'où le désarroi actuel. Ainsi, le système de cloud français a échoué parce que les groupes français ne se sont pas mis d'accord pour travailler selon une logique d'intérêt national, voire européen.

Mettre le monde de l'entreprise français devant ses responsabilités, c'est le conduire à réfléchir sur le devenir de notre pays dans le monde du cyberespace et son action. Conquérir ce fameux monde immatériel c'est conquérir des parts de marché. Nous ne pouvons pas nous contenter de petits segments. Nous avons une très forte valeur ajoutée en génie logiciel. C'est un problème vital que de savoir l'exploiter à la hauteur de nos ambitions.

La deuxième urgence se situe au niveau européen, car l'Europe est dépendante du monde américain. La stratégie doit-elle consister à ouvrir la porte aux Chinois pour jouer sur les tensions sino-américaines, au risque de créer une double dépendance ? Lorsqu'il était à la tête de la petite structure d'intelligence économique au Secrétariat général à la Défense (SGDN), Alain Juillet disait que nous gagnerions déjà à récupérer les petites marges de manoeuvre qui nous restent. On ne peut rester sur un constat aussi modeste, dès lors qu'il y a tout un monde à conquérir. Le dialogue est encore possible dans le cadre européen. À Milan, il y a deux mois, des chefs d'entreprise constataient les nombreuses contradictions qui les opposaient en matière d'intelligence économique. En revanche, ils étaient d'accord sur la nécessité d'instaurer un dialogue entre eux sur la question de l'économie numérique, pour éviter d'instaurer une dépendance qu'elle soit double aux conséquences néfastes en termes industriels et en termes de tassement économique.

Il y a des marges de manoeuvre dans le dialogue au niveau européen sur ce sujet stratégique. Les Allemands eux-mêmes en ont pris conscience face à l'agressivité de M. Trump.

J'en reviens à l'essence du monde économique. La troisième urgence est la prise en considération de l'enjeu majeur de l'organisation du commerce des données. Quand nous mettrons-nous en ordre de bataille pour conquérir des marchés de données ? J'ai fourni dans un document écrit un exemple très précis de ce que j'appelle un encerclement cognitif classique venant de la puissance qui a la suprématie, c'est-à-dire les États-Unis d'Amérique. Ils prennent nos données et en font du business. Leur présence dans notre propre système de sécurisation des technologies bancaires est trop forte. Ils nous disent : « Prenez nos technologies pour lutter contre les économies criminelles et le terrorisme ! » mais ainsi, nous perdons nos données.

Le RGPD ne suffit pas. On ne peut pas en rester à un simple problème moral. Nous devons élever la barre au niveau stratégique. Le commerce des données est une piste très intéressante pour créer des activités et des emplois.

Merci.

Le sujet de la nationalité des entreprises est délicat. Les entreprises françaises n'ont pas d'autre nationalité que celle de leurs clients et de leurs actionnaires, qui sont de moins en moins français ou que s'ils le sont ont les mêmes attentes que les non français. De plus, le marché national est significatif mais pas décisif.

Dans le secteur des télécommunications, il y a quarante ans aux États-Unis, comme dans les années 1950 dans le secteur pétrolier, des politiques visant à casser des monopoles ont été menées. AT&T a été cassé et divisé en une dizaine de sociétés distinctes, comme Standard Oil auparavant. Cette perspective est-elle envisageable ? Ou à l'inverse, le marché étant mondial, les États-Unis ont conscience qu'une entreprise n'est importante que si elle est mondiale, et si elle est première, comme le dit l'expression, le gagnant qui prend tout ?

L'aspect matériel des réseaux constitue-t-il un point de faiblesse ou bien cela pourrait-il être finalement la porte d'entrée vers une régulation stratégique mondiale ?

J'ai été très intéressée par la carte des infrastructures dans le monde présentée par M. Mazzucchi. Pourriez-vous en dire plus sur les organismes de régulation d'Internet, qui sont américains : Internet engineering task force (IETF), Internet corporation for assigned names and numbers (Icann) et World wide web consortium (W3C) ? Que pensez-vous du retrait d'Orange de W3C ? N'est-ce pas un renoncement en matière de souveraineté ?

M. Nocetti explique que les choses ont évolué depuis 2014. Mais déjà à cette date, en constatant que l'Europe était déficitaire dans ce nouveau système. Les services over the top (OTT) sont aux États-Unis, les équipements en Chine... L'Europe faillit par son déficit de volonté d'une politique industrielle, même si le RGPD a été une immense avancée. L'absence de volonté est peut-être liée aux conditions structurelles de l'Union européenne. En effet, les règles de la concurrence sont tout à fait à notre désavantage. Il y a aussi une absence de schéma de croissance ou d'investissement massif dans certains secteurs clés tels que l'énergie, l'environnement, la santé. L'offensive ne passerait-elle pas par un changement de ces règles ? A contrario, ne faut-il pas démanteler les GAFAM qui défient l'Europe mais aussi les États-Unis et en fait plus généralement les États-nation ce qui pose des questions en termes de souveraineté.

Les États-Unis, l'Australie et la Nouvelle-Zélande ont interdit l'intervention de Huawei pour le déploiement de la 5G. Le Royaume-Uni, au contraire, a contractualisé avec cette entreprise. Que penser de cette situation ?

On entend des avis divergents sur la propriété des données personnelles. Certains sont favorables à leur monétisation et d'autres disent que ce serait subir une dépendance supplémentaire. Quelle est votre analyse en la matière ? Enfin, la France peut-elle encore prendre une place industrielle dans cette compétition, comme l'a fait la Chine ?

Standard Oil a été démantelé par le Sherman Act de 1890, ce qui n'a pas empêché les compagnies pétrolières américaines de s'entendre en 1928 dans l'accord d'Achnacarry pour se partager à nouveau le monde. Quand il y a une nécessité de s'entendre, il y a toujours des capacités. Les entreprises américaines des télécommunications et du numérique sont tout à fait capable de s'entendre entre elles. Je rappelle qu'AT&T est peu présente hors du territoire américain contrairement à Orange qui a une stratégie d'expansion internationale.

Nous constatons aujourd'hui des dissensions entre les GAFAM et l'État américain, qui les a beaucoup soutenus, notamment Google, car ils étaient un élément de puissance. Il y a une opposition très nette entre les chercheurs de Google et la Defense advanced research projects agency (Darpa). Ils sont en concurrence pour attirer les meilleurs ingénieurs et Google refuse de continuer à collaborer avec la Darpa et le Department of defense américain. L'actuelle remise en cause du modèle américain de coopération entre le public et le privé n'apparaît pas dans le modèle chinois où il y a concordance parfaite des intérêts publics et privés.

La géopolitique du cyberespace est double. D'une part, la localisation d'un serveur décide du droit dont il ressort. Ainsi, la Russie contraint les données russes à être sur le territoire russe et exclut des entreprises - Linkedin n'a pas droit de cité. Les éléments matériels sont les seuls à partir desquels faire appliquer le droit. D'autre part, les éléments immatériels relèvent de la norme. La puissance américaine est fondée sur ces deux aspects. La grande force des États-Unis est d'avoir la main sur l'ensemble des organismes, qui sont de gestion privée. Icann est une société de droit californien : l'entité qui gère l'architecture d'Internet, soit une partie du cyberespace, est privée. C'est ce qui empêche aujourd'hui une véritable régulation internationale par les acteurs étatiques.

En décembre 2012, lors de la réunion de l'Union internationale des télécoms (UIT) à Dubaï destinée à faire évoluer la régulation internationale de l'Internet, la question de laisser la gestion à Icann ou de la transférer à l'UIT, donc aux Nations unies, a été posée. Tous les pays du Nord, dont la France, ont refusé ce transfert auquel tous les pays du Sud étaient favorables. Nous avons raté le coche.

Il est intéressant aujourd'hui de relever la présence des acteurs chinois dans la normalisation de l'intelligence artificielle. Ils trustent les postes de présidents ou secrétaires généraux de groupes de recherche et de réflexion, au sein de l'Institute of Electrical and Electronics Engineers (IEEE), de l'International Society of Automation (ISA) et de l'International Organization for Standardization (ISO), car aujourd'hui dans le monde numérique, c'est la technologie qui dicte la norme et donc la puissance.

Ce serait une erreur de monétiser la propriété des données personnelles. Elles ne sont pas du pétrole. Une donnée, c'est une rencontre entre un acteur et une plateforme. Si l'on entrait dans une relation économique avec un acteur de gestion des données, nous perdrions le droit d'exercer un certain nombre de garde-fous. La donnée seule ne vaut rien. Elle ne vaut que parce qu'elle est agrégée à d'autres données, dans des volumes extrêmement importants. La monétisation ne ferait qu'entrer l'utilisateur dans une dépendance bien plus grande.

J'en viens à la 5G au Royaume-Uni, dont l'impact politique est extrêmement important. Il faut bien comprendre l'ensemble de la dépendance de l'économie britannique à la Chine, y compris dans le domaine énergétique. Ces deux économies sont très imbriquées. Cette présence chinoise très forte oblige le Royaume-Uni à tenir compte de la Chine. Cela fragmente le bloc euro-atlantique, y compris sur des questions de renseignement.

Quant au retrait d'Orange, la politique de la chaise vide est toujours une erreur.

Le problème n'est plus la nationalité des entreprises. Une entreprise américaine est une entreprise qui sert les intérêts américains. Idem pour la Chine, la Russie, la Turquie, l'Iran. En 2019, il est temps de comprendre pourquoi un petit État comme Israël, qui subit une hémorragie constante de ses start-ups, a pris la décision de mener une politique de puissance pour créer de la dépendance dans la dépendance, sur des logiques technologiques. Ne reproduisons pas les mêmes erreurs. Une politique de puissance n'est pas l'addition des nationalités inscrites sur les cartes d'identité des actionnaires.

Nous percevons souvent les États-Unis comme une scène numérique monolithique. C'est loin d'être le cas. Les relations entre M. Trump et les GAFAM sont mauvaises. On a vu des passes d'armes entre M. Trump et Google sur Twitter. Le président américain a ainsi rappelé à Google de ne pas collaborer avec des laboratoires d'intelligence artificielle chinois ; il considère aussi que Facebook est à la solde du parti démocrate. La candidate à l'investiture démocrate Elizabeth Warren plaide pour une plus grande régulation des GAFAM. Elle appuie son argumentaire sur le respect des règles anti-concurrentielles. Le milieu des think tanks universitaires américains joue aussi un rôle moteur dans le débat.

Je souhaite nuancer les propos de Nicolas Mazzucchi sur les alliances. Elles ont été à géométrie variables. L'Inde, acteur majeur du numérique, avait rejoint le camp occidental en 2012 lors de la réunion de l'UIT à Dubaï en 2012 et s'est opposé au document final de la conférence du NETmundial à Sao Paulo en 2014. Autre exemple, la Biélorussie ne s'est pas rallié à la Russie au cours de ces années.

Très peu de choses ont changé dans les grandes instances techniques. Icann est revenu au statu quo et à la gestion par la technique du nommage et de l'adressage. Ce n'est pas du tout le guichet unique de la gouvernance mondiale. Le centre de gravité numérique de la planète se déplace inexorablement vers des instances plus politiques et vers la Chine, qui cherche à dupliquer cette gouvernance internationale numérique en sa faveur. Chaque année se tient en Chine une réunion de grands acteurs nationaux et internationaux du Net autour du président chinois.

Il faut rappeler la très forte porosité du Royaume-Uni aux équipements de Huawei, qui ne date pas d'aujourd'hui. Nombre d'anciens du renseignement britannique collaborent avec cette entreprise. C'est extrêmement dommageable. L'exemple britannique n'est pas forcément à suivre.

Pour revenir à l'aspect normatif, nous mentionnions des instances telles qu'ISO : sachez que son représentant français travaille chez Microsoft. Il y a une porosité entre public et privé qui ne joue pas forcément en faveur du pays.

Monsieur Harbulot, vous faites une distinction entre souveraineté et puissance. Si l'on peut comprendre que la souveraineté numérique telle qu'elle nous intéresse semble à ce jour hors de portée, comment envisagez-vous que la France et l'Europe puissent redevenir une puissance numérique ?

En France, le pétrole a, pendant plusieurs décennies, été un problème stratégique auquel les gouvernements n'ont pas su trouver de réponse. À l'époque du retour du général de Gaulle, la France était complètement dépendante des sept grandes compagnies pétrolières anglo-saxonnes. C'est alors qu'Elf-Aquitaine a été créé.

Il existe deux façons de reprendre les choses en main. La première est de rattraper le temps perdu en copiant ce que d'autres ont fait. Nous avons démontré dans le passé que c'était possible en ciblant bien les domaines où l'on pouvait exister réellement, par exemple en reprenant la technologie américaine sur le nucléaire. La seconde est de mener la stratégie du grain de sable, que l'Union européenne sait très bien faire, en grippant les mécanismes. Voyons comment, sur des éléments très précis de notre savoir-faire industriel et technologique, nous pouvons nous repositionner et soyons très présents à l'échelle européenne pour devenir ce grain de sable face à deux blocs très solides.

Je note un changement sémantique significatif : on parle bien moins de souveraineté numérique et bien plus d'autonomie stratégique. Encore faut-il assurer une présence française suffisamment importante pour que la vision française soit représentée.

Nous devons disposer de hedge funding. Nous avons un problème structurel car nous sommes capables de financer l'innovation au premier stade mais pas d'aider les entreprises à croître. C'est le hedge funding qui a permis aux grandes entreprises chinoises et américaines d'exister.

Nous avons, avec l'Agence nationale de la sécurité des systèmes d'information (Anssi), l'une des meilleures agences de certification au monde, dont il faut renforcer les capacités à refuser les produits qui ne nous conviennent pas.

Troisièmement, il faut instaurer une préférence européenne pour certaines applications critiques - à condition que les produits répondent à des exigences fortes de performance.

Que pensez-vous du fait qu'Orange renonce à participer à l'élaboration des standards et des protocoles ? L'Internet des objets est aussi un défi : les objets connectés vont se multiplier et incorporer toujours plus de données.

C'est un énorme sujet : c'est même le Far West du numérique. Il y a actuellement un foisonnement de technologies et de protocoles qui ne sont pas harmonisés les uns avec les autres. La sécurité de l'Internet des objets est un problème majeur, car la sécurité est la couche qui a été ajoutée en dernier sur ces objets, ce qui fait qu'ils sont, pour la plupart, très poreux et dangereux. Les éoliennes, notamment, sont extrêmement vulnérables. La confidentialité des données pose problème, car l'éthique by design n'a pas été configurée, et les protocoles de communication sont en concurrence les uns avec les autres. En fait, celui qui remporte le marché est le mieux disant sur le plus grand volume d'objets avec le prix le plus bas - c'est-à-dire, pour la 5 G, Huawei, qui propose un équilibre optimal entre distance de communication et volume de transfert de données, qui est le point de bascule pour l'adoption des différents protocoles.

La relocalisation physique des données sur le continent, en Europe, est-ce important ?

J'ai beaucoup travaillé sur ce que font les Russes en la matière. C'est un bon exemple de ce qu'il ne faut pas faire. Les Russes nationalisent le système de nommage et d'adressage - le DNS - tout en essayant de rediriger le routage vers leur territoire, en coupant les ponts avec l'étranger. Pour autant, la Russie n'est pas souveraine comme la Chine, qui a très tôt « souverainisé » son propre espace numérique. Elle dépend très largement de serveurs basés à l'étranger et d'infrastructures liées à d'autres pays. Elle cherche à mettre un terme à cette situation. Pour un pays qui s'étend sur onze fuseaux horaires, c'est peu réaliste. En Europe, l'échelle géographique est plus réduite, mais il y a des polémiques sur l'exploitation des données relocalisées. Les acteurs privés américains insistent sur le risque en termes de libertés publiques.

Cela peut les garantir.

Nous pouvons aussi nous tenir en alerte sur l'évolution des technologies de stockage : là aussi, rien n'est immuable, et il n'est pas impossible que de nouvelles technologies nous permettent de reprendre la main sur le sujet. L'essentiel est de développer une stratégie de puissance. Si nous avons deux chercheurs isolés, très bons, qui font des découvertes sur une nouvelle forme de stockage, et que nous les laissons partir aux États-Unis, il ne faudra pas venir pleurer ! Il faut une vision stratégique décidée au plus haut niveau de l'État, comme c'est le cas ailleurs.

Merci.

La réunion est close à 15 h 30.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.