En l’espace de quelques années, l’Internet est devenu l’épine dorsale de nos sociétés ainsi qu’un levier majeur de transformation économique, sociale et culturelle. Les révélations d’Edward Snowden et les attaques menées sur les réseaux ont mis en lumière les nouveaux défis auxquels sont confrontés les États, les acteurs économiques et les citoyens eux-mêmes, pour préserver leur souveraineté numérique.
Plus récemment, les débats autour de la loi sur le renseignement ont mis en évidence la nécessaire maîtrise que devront acquérir les responsables politiques pour faire face aux enjeux issus des technologies. En effet, les architectes du réseau pourraient bientôt faire évoluer les formes mêmes de nos sociétés et à terme modifier le modèle démocratique européen.
Au moment où les instruments de la souveraineté sont devenus indiscernables des outils technologiques, développer auprès des citoyens une culture des choix technologiques deviendra une exigence démocratique. Une culture d’autant plus nécessaire qu’elle sera seule à même d’éviter que les mécanismes qui régissent nos sociétés ne deviennent à leur tour des « boîtes noires » pour les citoyens.
L’affaire Snowden à l’origine d’une crise de confiance
En France, le débat sur le projet de la loi sur le renseignement intervient après deux ans durant lesquels ont été distillées les révélations sur les mesures de surveillance de masse mises en place par la National Security Agency (NSA). Ces révélations d’une ampleur inédite ont été à l’origine d’une remise en cause des « piliers fondamentaux » de la confiance sur Internet.
Or la confiance constitue la clé de voûte du fonctionnement économique de l’Internet mais elle constitue aussi l’épine dorsale du fonctionnement des démocraties. En effet, parallèlement aux questions liées aux libertés publiques, avec la surveillance de masse, l’affaire Snowden a été à l’origine d’une remise en cause de la confiance dans les technologies de sécurité du réseau et en particulier dans la confidentialité des échanges.
Ainsi, la création de failles ou de portes dérobées dans les algorithmes cryptographiques a créé de nouveaux risques pour l’ensemble des usagers de l’Internet. En effet, une fois qu’elles ont été conçues, ces failles sont « agnostiques » et sont aussi accessibles aux agences de sécurité… qu’aux cybercriminels. Comme le note Edward Snowden, les programmes de la NSA ont fragilisé les dispositifs de sécurité de l’Internet et ont rendu encore plus vulnérables nos entreprises, nos infrastructures critiques… et donc nos données.
Comme le résume la revue de la Harvard Kennedy School : « Une mauvaise crypto est mauvaise pour vous et très bonne pour les « méchants »… ». Les conséquences économiques liées à cette crise de confiance sur Internet sont devenues telles que l’agence fédérale américaine chargée d’élaborer les standards de chiffrement (NIST ou National Institute of Standards and Technology), souhaite désormais s’émanciper de la NSA.
Dans le même temps, les industriels des technologies, qui ont déjà perdu d’importants contrats internationaux, en particulier en Chine, se sont adressés au gouvernement américain pour qu’il « mette fin de façon claire, nette et définitive à la surveillance de masse ».
La découverte de failles introduites dans les matériels informatiques eux-mêmes pose des difficultés nouvelles. En effet, à la différence des « backdoors » [portes dérobées informatiques] présents dans les dispositifs logiciels, ces failles « hardware » nécessitent, pour être détectées, un niveau d’expertise beaucoup plus élevé et la mise en œuvre de technologies plus coûteuses.
Effets de bord politiques et économiques
La surveillance de masse a aussi pour conséquence l’établissement de nouvelles formes d’autocensures. Ainsi, comme l’ont démontré la Chine et plus récemment les États-Unis, la défiance envers les intermédiaires technologiques (comme les fournisseurs d’accès ou les fabricants de matériels informatiques) génère une autocensure diffuse et généralisée.
Les conséquences de cette autocensure correspondent à un appauvrissement du débat dans les sociétés démocratiques auxquels viennent s’ajouter des effets économiques encore imprévisibles sur le développement et la diffusion des innovations. Ce que le créateur du Web, Tim Berners-Lee nomme « Les insidieux effets de refroidissement de la surveillance sur Internet… ».
En plus de leurs effets de bord politiques et économiques, les mesures de surveillance de masse ne semblent pas avoir prouvé leur efficacité dans la lutte contre le terrorisme. Si l’opinion publique française a semblé être en retrait en termes de réactions aux révélations Snowden, la montée en puissance des interrogations sur ces questions pourrait intervenir avec le débat sur la discussion sur le projet de loi sur le Renseignement et ce d’autant plus que des programmes de recueil en masse des métadonnées ont été découverts en France en amont du débat parlementaire.
Une autre conséquence de cette crise aura été de démontrer l’importance stratégique des structures chargées d’élaborer les normes et technologies de l’Internet. Ce constat doit désormais pousser les acteurs européens à coordonner leurs actions dans ce domaine. Ainsi, comme le rappelait Sigmar Gabriel, le ministre fédéral allemand de l’économie et de l’énergie, les acteurs européens des technologies doivent être en mesure d’élaborer les normes sur lesquelles reposeront demain les activités des entreprises européennes et ce d’autant plus que ces technologies auront progressivement un impact sur l’ensemble des secteurs économiques.
Des métadonnées plus révélatrices que les données
L’un des points qui a soulevé le plus de controverses lors de la préparation du projet de loi sur le renseignement est lié à l’usage par les agences de sécurité des dispositifs de « boîtes noires » permettant de collecter les métadonnées. Ces métadonnées ou « données sur les données » correspondent aux informations liées à l’activité des usagers de l’Internet. Au départ associées aux informations relatives aux données des communications téléphoniques, elles ont trop longtemps été perçues comme un sous-produit « technique » d’une importance moindre que celles des contenus transmis.
La particularité de ces métadonnées est que, du fait de leur structure, elles sont plus facilement intégrables dans des algorithmes informatiques que les messages écrits ou les conversations enregistrées. En raison de la montée en puissance des capacités de traitement des données en masse (big data), ces métadonnées sont devenues plus révélatrices du comportement des usagers que le contenu de leurs courriers électroniques.
Ces métadonnées sont désormais au cœur des modèles économiques des acteurs de l’Internet et bientôt de l’Internet des objets. Ainsi, à partir des métadonnées comme la géolocalisation, l’adresse, l’heure et la durée de connexion, et bientôt la consommation énergétique, l’activité physique ou encore les habitudes de conduite d’un véhicule, il devient possible d’établir des profils psychologiques d’utilisateurs, mais aussi de déduire leurs convictions philosophiques, religieuses ou encore leur origine ethnique…
De nouvelles générations d’algorithmes peuvent ainsi être créées pour analyser ces données et aider à prévoir le comportement des usagers. Ainsi, pour l’expert en cybersécurité Bruce Schneier, la surveillance des métadonnées a beaucoup plus d’intérêt dans le cadre de la surveillance de masse des populations que lors d’enquêtes ciblées où le contenu des messages doit être analysé. Or dans le cadre d’enquêtes criminelles, ces messages sont le plus souvent analysés in fine par des opérateurs humains.
Risque de capture du pouvoir
La localisation géographique des données personnelles ainsi que leurs modalités de traitement par les entreprises, restent le plus souvent inconnues des usagers. Or cette opacité devient à la fois un facteur d’incertitude et elle représente un risque d’intrusion par des acteurs étatiques dans des pays où les législations sont différentes de celle des usagers.
De plus, les mutations technologiques liées à la montée en puissance des objets connectés et le développement des algorithmes de traitement des données en masse dans la quasi-totalité des activités quotidiennes, pourraient accentuer la perception d’une « société boîte noire » auprès des citoyens. Les politiques publiques en matière de technologies doivent permettre aux citoyens d’acquérir la maîtrise des technologies de protection de la vie privée tout en permettant que les préoccupations légitimes des services de sécurité puissent coexister avec les libertés publiques sur Internet.
Pour établir une meilleure transparence pour les usagers ainsi qu’une meilleure protection de leurs données, il convient de développer une culture technologique qui aille au-delà de la maîtrise des usages mais qui prenne en compte les évolutions politiques et technologiques de nos sociétés. Le risque de capture du pouvoir par une techno-élite industrielle et politique, seule à même d’établir les règles des sociétés numériques, doit aussi conduire les responsables politiques à favoriser une plus large maîtrise des enjeux de ces technologies par l’ensemble des citoyens.
Il s’agit d’aider les citoyens, les entreprises ainsi que l’ensemble des acteurs publics à comprendre et maîtriser les mécanismes qui régissent l’écosystème des technologies de l’Internet. Cependant, à la différence des règles qui régissent les écosystèmes environnementaux, les éléments qui constituent l’architecture des écosystèmes technologiques sont susceptibles d’évoluer à mesure que les acteurs industriels ou les États en ressentent le besoin ou l’intérêt.
Dans les pays démocratiques, la souveraineté du peuple doit ainsi s’exercer sur l’ensemble des technologies qui auront un impact sur les évolutions culturelles, sociales, économiques et politiques de nos sociétés.
Bernard Benhamou, Secrétaire général de l’Institut de la souveraineté numérique.