Intervention de Jean-Luc Sauron

Je serai franc : si seulement il n'y avait que le HDH à être hébergé par un cloud américain ! Demandez plutôt au gouvernement quels sont, en dehors de quelques opérateurs régaliens, les partenaires cloud de l'administration française.

Au lendemain de l'ordonnance de référé du Conseil d'État, très précisément la semaine suivante, l'Union des groupements d'achats publics (UGAP) claironnait un partenariat avec Microsoft Azure. Les quantités de données économiques, financières et d'organisations qui transitent par l'UGAP, centrale d'achat de l'administration, ne présentent-elles pas, à votre avis, un intérêt pour des tiers ?

Je n'ai pas compris, à la lecture des documents publiés par le gouvernement, en quoi notre cloud souverain assurerait notre souveraineté. Une demande de partenariat a été lancée dans l'idée de bénéficier des avancées technologiques des géants du numérique américains. Le problème du cloud souverain vient d'un défaut d'anticipation. Lors de son audition devant le Sénat en 2019, M. Thierry Breton, à l'époque, président-directeur général d'Atos, a déclaré que, pour l'heure, 80 % des données se trouvent dans le cloud. Le développement de l'Internet des objets, grâce auquel les objets connectés passeront, d'ici dix ans, de 23 milliards à 75 milliards, soit une moyenne de 10 par habitant, et plus encore dans les pays développés, entraînera une modification de la répartition des données. Le cloud n'en hébergera plus, alors, que 20 %. Qu'est-ce qui prendra de l'importance ? L' edge computing (informatique en périphérie), basé sur l'utilisation de la puissance de calcul là où se trouvent les données, c'est-à-dire, non plus dans le cloud, mais dans les objets connectés eux-mêmes. L'enjeu portera donc sur les algorithmes et, marginalement, la 5G (cinquième génération des standards pour la téléphonie mobile). Or les annonces de l'État concernent aujourd'hui le cloud souverain.

Je ne sais ce qu'il en est pour vous, mais j'ai, quant à moi, le sentiment très français que nous accusons systématiquement un retard. Il ne sert à rien de construire un cloud souverain, sorte de ligne Maginot numérique, alors que la bataille se jouera sur la maîtrise des algorithmes.

Comment les Américains et les Chinois ont-il construit leur avancée technologique ? À partir du bassin de données à leur disposition. Ces deux puissances vont développer grâce à ce bassin des algorithmes utilisés par l'Intelligence artificielle. Je suis bien sûr attaché aux droits fondamentaux et aux libertés individuelles et je défends le RGPD mais, faute d'un espace européen de la donnée, nous n'aboutirons à rien. Les différents pays de l'Union européenne n'utilisent même pas les mêmes applications de contrôle du Covid. Si nous voulons rattraper notre retard et devenir autonomes, technologiquement, nous devrons, une fois établi le bassin de données qui nous manque, produire des systèmes d'Intelligence artificielle.

Ce que nous avons connu à propos de la 5G, au développement de laquelle n'a participé qu'un malheureux opérateur européen, se reproduira à une échelle dix fois supérieure dans le domaine de l'Intelligence artificielle et des algorithmes. Nous en revenons au défaut d'anticipation. Que ferons-nous dans cinq ans ? Où en serons-nous dans dix ans ? Nous devons accélérer et nous fixer des objectifs.

La réponse opérationnelle à la circulation des données comporte deux volets. Tout d'abord, il faut résoudre le problème soulevé par l'arrêt Schrems II. En 2019, le Conseil de l'Union a été mandaté pour discuter avec les États-Unis des relations entre nos autorités publiques respectives. Par le Clarifying Lawful Overseas Use of Data Act (Cloud Act), le gouvernement américain s'est arrogé le droit de consulter les fichiers d'entreprises soumises à la législation américaine, y compris à l'étranger.

Le deuxième volet du Clourd Act, tout aussi important, bien qu'il en soit peu question, prévoit des négociations internationales avec des États tiers pour assurer, dans un cadre légal, des relations entre autorités publiques. En somme, le Cloud Act n'est qu'une façon de contourner les traités d'entraide judiciaire. Une fois que certains pays se seront mis d'accord avec les États-Unis, ceux-ci iront piocher dans les données traitées par les opérateurs pour obtenir celles que nécessitent certaines enquêtes policières ou judiciaires.

Comment est né le Cloud Act ? Il ne vient pas d'un projet américain de domination du monde. Il a vu le jour parce que, dans le cadre d'une enquête policière, il a été demandé à Microsoft de fouiller dans des fichiers en Irlande. L'entreprise a objecté au gouvernement américain qu'elle n'y était pas autorisée à moins de méconnaître la souveraineté irlandaise. Quelques mois plus tard, le vote du Cloud Act a donné à Microsoft le droit de fournir au gouvernement les données nécessaires à une enquête relative à la sécurité nationale.

La réponse à l'arrêt Schrems II réside en un accord entre l'Union européenne et les États-Unis, qui apporte des garanties essentielles, communes aux deux espaces, en matière d'échange de données. Comment faciliter sa mise en œuvre ? Une loi française de 1968 interdit la communication à des États de données économiques, financières ou administratives. Les sanctions en cas de contravention sont aujourd'hui inexistantes, alors que les géants américains du numérique ne sont pas toujours en adéquation avec le gouvernement américain. Ils pourraient très bien objecter à un juge américain qu'au cas où ils communiqueraient aux États-Unis des données au mépris de lois étrangères, ils subiraient telle ou telle sanction. Ce juge, estimant ces sanctions trop pénalisantes, admettrait alors le refus de l'entreprise de transmettre les données demandées. En 1987, la Cour suprême américaine a clairement déclaré qu'en l'absence de sanctions effectives en cas de contravention à la loi de blocage française de 1968, celle-ci n'avait pas à être prise en compte. Pour faciliter les négociations avec les États-Unis, nous pourrions durcir les sanctions à l'encontre des grands opérateurs numériques. Rappelons que, depuis 2018, une seule condamnation a été prononcée en Europe contre un opérateur, par la CNIL. L'autorité italienne de régulation de la concurrence vient de lancer une procédure contre Google. Nous disposons d'outils, mais le plus efficace reste la négociation d'un accord international avec les États-Unis afin de définir les garanties essentielles qui nous permettraient d'avancer sur le sujet.

Il faut garder à l'esprit que la possibilité pour n'importe quel ressortissant européen ou étranger de défendre ses droits devant le juge est propre à notre culture européenne. Il n'en va pas de même aux États-Unis, en matière de traitement des données, ou alors très difficilement. Jusqu'à la décision d'adéquation entre l'Union européenne et le Japon, ce n'était pas possible non plus au Japon. Désormais, un ressortissant européen sollicitant une protection contre l'utilisation de ses données au Japon peut enfin, par le biais d'un mécanisme, certes assez lourd, mais qui a le mérite d'exister, obtenir une décision d'une juridiction japonaise. L'accès au juge, typiquement européen, n'est pas reconnu sur l'ensemble de la planète.