Intervention de Jean-Marc Jézéquel

Beaucoup de choses ont déjà été dites. Pour rappel, les missions d'un laboratoire de recherche publique, telles que définies par la loi, consistent à produire des connaissances et à les transférer, au sens très large du terme, vers la société, les étudiants, les entreprises, etc. Les connaissances qui sont produites ne sont généralement ni protégeables, en particulier en informatique car on ne protège pas, au sens des brevets, ni des algorithmes, ni des théorèmes, et elles ne sont pas dangereuses en elles-mêmes. Bien sûr, l'utilisation de ces connaissances peut parfois poser problème, par destination, ce qui ouvre la porte à beaucoup de fantasmes, d'autant plus grands que la communauté du renseignement est éloignée du monde de la recherche, comme cela est bien mis en évidence dans les notes d'analyse sur la mise en œuvre de la PPST aux États-Unis et au Royaume-Uni. On peut penser par exemple au fantasme autour de la cryptographie qui aujourd'hui n'est plus du tout un sujet sensible, alors que beaucoup de gens continuent à le croire.

Force est de reconnaître une tension naturelle entre les missions de diffusion d'un laboratoire public et la PPST qui essaie de restreindre cette diffusion. En informatique, il y a un cas particulier lié au monde des codes sources ou logiciels libres (open source), qui est aujourd'hui constitutif de la recherche en informatique, et au-delà de l'industrie mondiale de l'informatique, laquelle est basée essentiellement sur de l' open source. Je ne vais pas avoir le temps de détailler mais c'est un sujet particulier. J'insiste sur le fait qu'un laboratoire de recherche publique est un seau percé avec de très gros trous : il y a les mouvements de personnel, qui sont constitutifs de la recherche, mais aussi les comités d'experts internationaux. Aujourd'hui, les grands laboratoires vivent de projets, et pour monter un projet, on va donner nos meilleures idées à des comités d'experts internationaux, non français, qui se les approprient plus ou moins, sans vraiment de contrôle. Il y a d'énormes trous à ce niveau-là, aux côtés des trous plus petits déjà mentionnés : vols de données, vols d'ordinateur, etc. Ces derniers sont des réalités, mais en termes de quantité d'informations qui fuitent, c'est infiniment plus faible que les deux « trous » que j'ai mentionnés. L'IRISA est un laboratoire de recherche de 850 personnes, partagé entre 8 tutelles, l'essentiel des gens qui font de la recherche informatique en Bretagne font partie de ce laboratoire. La ZRR y est seulement partielle, sur quelques équipes.

Quelques chiffres très précis vont vous donner une idée des flux dans ce laboratoire en 2016. Nous avons recruté 20 nouveaux fonctionnaires, signé 239 contrats de travail en CDD, dont 86 doctorants (pour 86 thèses), 857 conventions de stages, dont 81 au niveau du master 2 (le reste étant au niveau master 1 et licence 3), plus de 2 000 missions avec frais, dont la moitié à l'étranger. Environ 1 000 articles ont été publiés, environ 200 projets ont été déposés. Je reviens sur cette fuite massive des meilleures idées au moment où elles ne sont pas encore développées. Sur ces 200 projets, 35 ont été acceptés, avec des financements collaboratifs, et au total une centaine de partenaires différents. Il faut imaginer le flux d'interactions avec le reste du monde. Un laboratoire n'est pas une tour d'ivoire, contrairement à ce que s'imaginent beaucoup de gens. Le total des financements s'élève à 12 millions d'euros sur ces 35 contrats. Cet argent est vital pour travailler dans le laboratoire et payer les CDD. Aujourd'hui, la tendance du CNRS est d'insister pour que des laboratoires entiers passent en ZRR. Pour nous, ce serait absolument catastrophique. Faire gérer ces flux-là et les remonter systématiquement au niveau du haut fonctionnaire de défense, ce n'est pas envisageable. En tout cas c'est mon point de vue.

En conclusion, une ZRR à l'échelle d'un laboratoire, c'est à la fois trop et trop peu. C'est trop pour les raisons déjà mentionnées de coûts de la gestion technique et administrative, qui est proportionnelle à l'activité du laboratoire. Plus forte est l'activité du laboratoire, plus ça coûte cher. Le gain marginal de PPST est faible, parce qu'elle se concentre sur les petits trous et laisse les grands béants. Une ZRR, c'est aussi trop peu. Dans un laboratoire comme le mien, des choses sont réellement sensibles : une base de virus informatiques particulièrement virulents, quelques matériels qui ne sont pas à mettre entre toutes les mains, quelques données très sensibles ( données personnelles, médicales, etc.), qu'il faut protéger de manière très forte. Dans quelques-uns de nos contrats avec des industriels, ceux-ci demandent que leurs données soient protégées. Nous le faisons avec toute la rigueur nécessaire. Nous travaillons également beaucoup avec la direction générale de l'armement (DGA) du ministère de la défense sur un certain nombre de dossiers, et nous appliquons leurs procédures.

Force est de constater que ce que propose la ZRR est surtout de coller des étiquettes sur les portes. Face à ces problèmes-là, nous devons aller au-delà. Notre proposition est de concentrer la protection sur ces artefacts. Cette protection serait organisée en plusieurs niveaux concentriques, avec un premier cercle très fortement sécurisé, une sorte de ZRR ++, à l'entrée de laquelle il y aurait un vrai contrôle d'accès, une vraie séparation des réseaux, etc. Je ne vais pas rentrer dans les détails techniques. Ce premier cercle se concentrerait sur les artefacts et non pas sur les personnes, de sorte que ce ne soit pas les personnes qui soient en ZRR, mais leur outil de travail, sur sa partie sensible. Le deuxième cercle, sorte de ZRR - -, offrirait un certain nombre de protections de type juridique, tout à fait bienvenues dans certains cas, avec contrôle d'accès quand c'est nécessaire pour les laboratoires qui s'y prêtent, sous la responsabilité du DU. Mais pour y entrer, le DU ne demanderait pas forcément, compte tenu de nos flux, de remonter jusqu'au HFDS.