Audition, ouverte à la presse, de Me Nathalie Chiche, avocate au Barreau de Paris, déléguée à la protection des données, rapporteure de l'étude du Conseil économique, social et environnemental : « Internet : pour une gouvernance ouverte et équitable ».
La séance est ouverte à onze heures cinq.
Présidence de M. Jean-Luc Warsmann, président de la mission d'information
Cet échange s'inscrit dans nos réflexions sur la blockchain. Nous avons auditionné la fédération française des professionnels de la blockchain la semaine dernière, et nous venons d'entendre l'association française de développement des actifs numériques. Dans un souci d'approche pratique par des cas d'usage, nous souhaitons pouvoir échanger avec vous sur l'avenir de cette technologie, sur les nombreuses possibilités qu'elle offre et qu'elle va continuer à offrir dans les prochaines années.
J'aimerais vous interroger à titre liminaire sur trois sujets. Le premier, qui est une question rituelle de nos auditions, concerne votre approche de la notion de souveraineté numérique. Cette question procède de la grande diversité des définitions qui existent de cette notion. Comment la définissez-vous et comment la blockchain peut-elle être un levier de souveraineté pour la France et pour l'Europe ? Je souhaiterais que vous nous présentiez le cas d'usage possible que vous aviez évoqué dans une tribune des Échos du 19 août 2018, qui concerne l'inscription du registre national de la commission nationale de l'informatique et des libertés (CNIL) dans une blockchain.
En ce qui concerne le développement, en France, d'un écosystème blockchain performant, comment jugez-vous l'action des pouvoirs publics, alors qu'une stratégie nationale blockchain a été lancée à l'initiative du gouvernement et des acteurs dans ce domaine? Nous auditionnerons jeudi la task force blockchain du ministère de l'Économie, des Finances et de la Relance, qui en est l'une des structures d'appui.
Enfin, je souhaiterais que nous puissions évoquer la dimension européenne de la blockchain. Comment la France se situe-t-elle par rapport à ses voisins européens dans ce domaine ? Que pensez-vous de l'action de l'Union européenne sur ce sujet ? Cela nous permettra d'évoquer au passage l'enjeu de la force probante de la blockchain, qui est une question juridique importante, pour laquelle le législateur doit être fortement mobilisé.
Force est de constater que la crise sanitaire que nous traversons a accentué la dépendance de nos modes de vie vis-à-vis de ces géants du numérique – pour travailler, pour communiquer, pour se divertir. Le concept de souveraineté numérique est plus que jamais au centre du discours politique et de l'opinion publique – d'où, je suppose, cette mission d'information. J'ai été rapporteure d'une étude du CESE (Conseil économique, social et environnemental) sur la gouvernance d'Internet en 2014, juste après l'affaire Edward Snowden, qui nous a alertés en 2013 d'une surveillance massive de nos données par la NSA (l'Agence nationale de sécurité américaine). En utilisant le programme PRISM, la NSA avait un accès direct aux données hébergées par ces mêmes géants de l'Internet, comme Google, Microsoft, Apple, Facebook ou YouTube, dont nous sommes si dépendants. Un autre scandale a suivi, en 2018 : celui de l'affaire Cambridge Analytica, via l'application Facebook.
Ces affaires nous démontrent que les géants du numérique peuvent servir d'instruments à des puissances étrangères pour porter atteinte à la souveraineté de la France et de l'Europe. À terme, ces affaires ont profondément altéré la confiance des utilisateurs que nous sommes envers notre État, qui est l'ultime garant de nos libertés et de nos droits. Personnellement, je pense que la technologie blockchain pourrait s'inscrire dans cette démarche de souveraineté, puisqu'elle peut venir en renfort de la société civile, là où les gouvernements n'ont pas eu concrètement les moyens d'assurer le respect de leurs normes dans le cyberespace. Elle est révolutionnaire, car elle instaure d'emblée une confiance dans le réseau et permet surtout de réaliser ce qu'Internet n'a jamais permis de faire, c'est-à-dire de se passer d'intermédiaires, comme les GAFAM.
Nous entendons beaucoup parler de la technologie blockchain. Elle est la promesse technologique du moment. Elle est attendue, annoncée comme une réorganisation complète du paysage de l'Internet. En 2018, j'avais été auditionnée par une mission d'information sur les usages des blockchain s et des registres de certification. Je m'étais exprimée sur la nécessité d'avoir des applications concrètes de la blockchain pour espérer une adhésion massive des entreprises et des utilisateurs. In fine, le rapport a fortement lié le développement des technologies blockchain au recours à des crypto-actifs, dont elles sont souvent le support. De même, nous assistons en ce moment à un engouement du marché de l'art pour le crypto-art, qui est basé sur la même technologie que les cryptomonnaies.
Force est de constater que ces applications ayant recours à la cryptomonnaie sont réservées à des initiés et sont hautement spéculatives, comme le marché de l'art. Pour ma part, je suis convaincue que l'essor de la blockchain sera lié à des applications concrètes et à des besoins quotidiens. Je pense à l'utilisation de la blockchain en lien avec le secteur alimentaire. Face à la multiplication des scandales sanitaires, comme par exemple celui de Lactalis, l'entreprise Carrefour avait compris que le consommateur désirait toujours plus de transparence et d'assurance sur les produits qu'il achète, et a voulu nouer des relations de confiance avec le consommateur, comme entre le producteur et le distributeur. Pour moi, la blockchain alimentaire, à l'inverse des cryptomonnaies, est une réponse aux besoins de ce client. En scannant le QR code présent par exemple sur l'étiquette d'un poulet, le consommateur peut accéder via son smartphone à des informations transparentes pour connaître le nom de l'éleveur, l'alimentation reçue, l'absence de traitement antibiotique et le lieu d'abattage.
Il faut savoir que la technologie est parfaitement générique et peut s'appliquer à de nombreux services de notre vie quotidienne. C'est cela qui est le plus intéressant : une mise en relation entre taxi et usager est possible sans passer par Uber, par exemple, et une mise en relation est possible entre une librairie et des lecteurs sans passer par Amazon. Nous le voyons, le développement de la technologie blockchain représente pour la France et pour l'Europe un facteur déterminant de compétitivité, pour espérer rattraper notre retard dans l'économie numérique.
Il se trouve que j'ai assisté à la présentation de la stratégie nationale blockchain par M. Bruno Le Maire. Cet événement, qui s'appelait « Paris Blockchain Conférence », se demandait si la blockchain allait bouleverser l'ordre économique mondial. J'avais écouté longuement le discours de M. Bruno Le Maire, dans lequel il dévoilait les ambitions de la France : permettre le développement d'un modèle de blockchain sûr et surtout compatible avec l'exercice de notre souveraineté. Il partait du constat que la France et l'Europe avaient des difficultés à assumer leur fonction régalienne face à de puissants acteurs, souvent américains ou chinois, qui sont dotés d'une avance technologique indiscutable. Pour le ministre, la blockchain serait un modèle concurrentiel, parce que ce modèle s'érige par principe contre les monopoles. M. Bruno Le Maire avait parlé de la situation monopolistique de ces géants du numérique, qui étaient devenus, d'un point de vue financier, technologique, économique et même politique, un sujet absolument majeur.
J'ai lu votre tribune dans Next INpact, M. le rapporteur, où vous citez Mme Linda Khan, commissaire de la FTC (Federal Trade Commission). Comme elle, nous pensons qu'il est temps de faire évoluer le droit de la concurrence, qui ignore bien trop souvent que la lutte contre les positions dominantes ne peut se réduire à une question économique. Cette lutte doit prendre aussi en compte le sociétal et le politique. Dans sa thèse d'université, Mme Linda Khan a pu démontrer comment des prix bas, apparemment profitables au consommateur et que proposent les GAFA, pouvaient éliminer la concurrence et l'innovation sans que les lois anti-trust ne s'appliquent à l'entreprise concernée.
À mon avis, la technologie blockchain peut rebattre ces cartes, parce que les utilisateurs ont la faculté d'animer, de créer leur propre réseau de commerces, de services, sans l'intermédiation d'aucune plateforme privée étrangère. M. Bruno Le Maire, lui, pensait que la technologie blockchain pouvait rattraper notre retard technologique, qui place actuellement la France et l'Europe en situation de dépendance. Il est difficile d'envisager la souveraineté numérique sans l'idée d'une souveraineté technologique. Pour ce faire, la France a misé principalement – je le regrette – sur la technologie blockchain dans le domaine monétaire et financier avec la loi relative à la croissance et à la transformation des entreprises (loi PACTE) – cela pour créer un cadre de régulation unique au monde, pour garantir la sécurité des émissions de jetons et de transactions sur les crypto-actifs. L'objectif de ce gouvernement était de créer un cadre de régulation fixé dans la loi PACTE, qui devienne un cadre de référence, et qu'il soit mis en place au plan européen et même à l'international. Pour ma part, je pense que cet objectif n'a pas été atteint, puisque personne ne copie ce modèle de référence.
Par rapport à nos voisins européens, où en sommes-nous du cadre juridique ? Sommes-nous très en retard ? Nos voisins ont-ils pris des initiatives qu'il nous faut prendre ? Que faut-il que nous fassions, en tant que législateurs, pour améliorer ou pour donner un cadre juridique à la blockchain, y compris sur la partie relative à la force probante ?
Comme je vous l'ai dit, j'ai participé à la dernière mission d'information sur les usages de la blockchain. La proposition 14 recommandait déjà d'envisager une adaptation du régime applicable en matière de preuve électronique et de signature électronique par une révision du Règlement européen dit eIDAS (Electronic Identification and trust Services). Ces questions de preuve électronique et de signature électronique constituent des enjeux majeurs pour l'attrait de la technologie blockchain. Actuellement, il existe une vraie insécurité juridique en matière d'utilisation de la blockchain. Il est donc urgent de s'assurer que la preuve de type blockchain dispose d'une portée juridique reflétant la fiabilité revendiquée par cette technologie.
Pour le ministère de la Justice, en l'état du droit positif, aucune législation spéciale n'est prévue. Il appartiendra aux juridictions, conformément aux règles de droit commun de la preuve, d'apprécier la force probante d'une preuve par blockchain. Cela crée une insécurité juridique parce que ce sera toujours à l'appréciation d'un juge. La France a progressivement légiféré en matière de blockchain pour répondre à la nécessité d'encadrer cet écosystème. Pour autant, il faut savoir que les textes de loi n'utilisent pas le terme « blockchain », mais celui de « dispositif d'enregistrement électronique partagé », même si cette notion reprend exactement les traits essentiels de la blockchain. Malgré ces avancées législatives majeures pour intégrer celle-ci dans l'ordonnancement juridique français, rien n'est prévu à ce jour au titre de la preuve par blockchain.
Comme vous l'avez dit, d'autres pays s'y sont intéressés : la Chine, qui a reconnu la valeur d'une preuve ancrée sur la blockchain en 2019 ; l'Italie, qui, pour des raisons sûrement liées à la mafia, a validé l'horodatage par blockchain comme moyen de preuve admissible devant les tribunaux. À ma connaissance, en France, aucune décision n'a été rendue par une juridiction sur la valeur probante d'une preuve établie par la blockchain.
Il faut savoir que le droit de la preuve n'est pas précisément codifié. La preuve est abordée par différents codes. Il existe des règles de preuves au sein du livre III du code civil. Le code civil renvoie au code de procédure civile. Le code du commerce prévoit aussi des règles de preuve spécifiques aux commerçants. La preuve en matière pénale est régie par le code de procédure pénale. Il n'y a pas d'autre choix que d'appliquer le droit commun de la preuve et de l'appliquer au cas spécifique de la blockchain.
La force probante est liée à la notion de preuve. Rien ne peut s'opposer au fait de conférer à la blockchain une forme de présomption de valeur probante, dans la mesure où la preuve des faits peut être apportée par tous moyens. Il est aussi possible d'associer la blockchain au mode de preuve que constitue l'écrit électronique, par capillarité. L'admissibilité de ce mode de preuve sera en tout état de cause soumise à l'appréciation des juridictions, qui devront vérifier si les conditions de validité de l'écrit, sous le format électronique, sont remplies. Un écrit électronique a la même force probante que l'écrit sur support papier, sous réserve de deux conditions, pour que la preuve du contrat conclu sur la blockchain soit rapportée : il faut qu'il y ait identification de l'auteur et il faut qu'il y ait la garantie du maintien de l'intégrité de l'acte. Sur la blockchain, on peut considérer que cette seconde condition est acquise. La première condition renvoie aux exigences de la signature électronique.
En 2017, un décret a mis en conformité les conditions de validité de l'écrit électronique avec le Règlement européen eIDAS. Aux termes de ce décret, la fiabilité d'un procédé de signature électronique est présumée jusqu'à preuve du contraire, lorsque ce procédé est mis en œuvre par une signature électronique qualifiée. Il existe plusieurs niveaux de signature électronique dans le Règlement eIDAS, et la signature qualifiée figure évidemment au niveau le plus élevé. Pour que la fiabilité de la signature électronique sur blockchain soit présumée, il faudrait :
– non seulement que cette signature puisse être considérée comme une signature avancée, ce qui correspond au deuxième niveau de signature électronique dans le Règlement eIDAS. Cela veut dire qu'elle doit être liée aux signataires de manière non équivoque, qu'elle doit permettre d'identifier les signataires, qu'elle a été créée par des moyens sous le contrôle du signataire, et qu'elle garantit que l'acte auquel elle s'attache ne pourra être modifié ;
– mais aussi qu'elle constitue une signature qualifiée. Le problème de la signature qualifiée est qu'elle suppose l'intervention d'un prestataire de confiance agréé.
J'ai lu attentivement les conclusions du rapport de France Stratégie sur les enjeux de la blockchain, qui a été rédigé sous l'autorité de Mme Joëlle Toledano, aux termes duquel la signature blockchain constitue vraisemblablement une signature avancée telle que je l'ai décrite tout à l'heure au sens du Règlement eIDAS. Cela donne déjà une force probante élevée, sans toutefois lui faire bénéficier de la présomption de fiabilité. Celle-ci sera à l'appréciation du juge. Ce niveau de garantie est donc insuffisant pour faire de la signature blockchain l'équivalent de la signature manuscrite.
Le problème se pose aussi pour l'horodatage de la blockchain. Ce n'est pas instantané, il y a toujours un petit décalage. Le Règlement eIDAS prévoit aussi une présomption d'exactitude de la date et de l'heure qu'il indique, et de l'intégrité des données auxquelles se rapportent cette date et cette heure. Là aussi, pour l'horodatage de la blockchain, il faudra l'intervention d'un tiers certificateur pour avoir un horodatage qualifié, et pour bénéficier encore de la présomption de fiabilité. À défaut de respecter les exigences de la signature qualifiée et de l'horodatage qualifié – qui n'est pas à la portée de toutes les bourses, je le précise – et de faire intervenir un tiers de confiance qualifié, on peut considérer que la signature sur blockchain et l'horodatage sur blockchain ne bénéficient pas de la présomption de fiabilité, et que, sans cette fiabilité d'identification de la personne et de l'exactitude de l'horodatage, le juge sera libre d'apprécier ces éléments de preuve comme il le souhaite, ce qui crée une insécurité juridique dans l'utilisation de la blockchain.
Afin que cesse cette incertitude juridique, il apparaît souhaitable de modifier les textes existants, afin que la signature et l'horodatage, qui interviennent dans une blockchain, bénéficient d'emblée de la présomption de fiabilité. En effet, la blockchain dispose par nature d'éléments qui garantissent un haut niveau de fiabilité, à savoir l'identification du déposant, la vérification de l'intégrité du document, l'horodatage du document, le lien entre le signataire et le document dont le droit de la preuve doit tenir compte.
Pour confirmer la proposition 14 du rapport qui avait été réalisé sur les usages de la blockchain, je pense qu'il faut engager une réflexion, qui devrait aboutir à une révision du Règlement eIDAS. Il faudrait aussi reconnaître la fiabilité de la signature électronique et de l'horodatage sur la blockchain sans l'intervention d'un tiers certificateur. Il faudrait conférer une force non pas élevée, mais renforcée, à la signature avancée sur la blockchain. Peut-être faudrait-il également se faire aider par l'ANSSI (Autorité nationale en matière de sécurité et de défense des systèmes d'information) pour savoir comment renforcer le niveau de sécurité des modalités techniques d'application, dont le juge pourrait tenir compte.
Aujourd'hui, comment expliquez-vous – vous, praticienne du droit – à un juge que le recours à la blockchain a valeur de preuve ? Êtes-vous uniquement dans la démonstration mathématique ? Comment faites-vous pour que le juge puisse retenir des éléments portés sur une blockchain comme des éléments de preuve ?
Pour qu'il y ait une présomption de fiabilité, il faut absolument qu'il y ait une signature qualifiée – il faut que l'on puisse utiliser une signature qualifiée et un horodatage qualifié, sans quoi la fiabilité sera à l'appréciation du juge.
Cela veut-il dire que vous faites constater une inscription dans la blockchain par une profession réglementée de type huissier ?
Pas de type huissier. Il existe des tiers de confiance agréés pour qualifier une signature électronique. Ce ne sont pas des huissiers, ce sont des tiers de confiance certifiés – et le coût est assez élevé.
Continuer à recourir à ce type de professions est-il la solution, ou est-ce en donnant une présomption de force probante, qu'on pourra se passer de ce type d'intermédiaires, relativement onéreux ?
Comme je l'ai dit, la blockchain a une force probante élevée. Je suis d'accord avec les conclusions du rapport de France Stratégie. Je ne pense pas que l'on puisse le remettre en doute. Le problème se situe au niveau de la présomption de fiabilité. Les éléments inscrits dans cette blockchain bénéficient-ils d'une présomption de fiabilité ? Pour cette fiabilité, il est nécessaire d'avoir recours à la signature électronique qualifiée et à l'horodatage électronique qualifié, sans quoi la fiabilité sera à l'appréciation du juge.
Sauf si l'on fait évoluer le Règlement eIDAS en disant que la blockchain dispose par nature d'éléments qui garantissent un haut niveau de fiabilité, et que l'on peut reconnaître la fiabilité de la signature électronique et de l'horodatage sur la blockchain.
Je ne sais pas. Les Italiens ont des raisons qui ne sont pas les nôtres.
Comme je l'ai dit en préambule, cela se situe surtout sur l'horodatage. Ils ont reconnu la fiabilité de l'horodatage de la blockchain. Je ne suis pas sûre qu'ils aient reconnu l'identification.
Je précise que je ne suis pas un avocat spécialiste de la blockchain, mais je m'y intéresse. Vous le savez, j'ai signé des tribunes sur le sujet de la blockchain, mais surtout sur la gouvernance de l'Internet et de la blockchain. Je n'ai pas d'information sur les autres pays européens, ni sur la Chine, qui reconnaît, elle, la présomption de fiabilité.
Dans l'audition précédente, il a été dit qu'il fallait développer des infrastructures au niveau européen, parce que nous étions un peu en retard, notamment par rapport aux Américains. Dans d'autres auditions, il nous a été expliqué que l'Europe ne pouvait trouver une voie entre la Chine et les États-Unis qu'en mettant en avant ses valeurs – le bon exemple étant le RGPD (Règlement général sur la protection des données). Peut-on cumuler les deux, et se dire qu'il faut que l'Europe développe des infrastructures avec des valeurs de gouvernance spécifiques et européennes ? Est-ce ainsi que l'on pourrait avoir un écosystème blockchain européen souverain ?
C'est justement le propos de mon projet de cas d'usage de la blockchain, d'inscrire le registre RGPD dans une blockchain.
L'idée était de trouver un socle commun, comme celui du RGPD, et de proposer de l'utiliser comme cas d'usage de la blockchain. L'avantage est qu'il est d'emblée applicable à tous les organismes établis en Europe, et même au-delà, puisque le RGPD est d'application extraterritoriale. Il s'applique aux organismes établis sur le territoire de l'Union européenne, que le traitement ait lieu ou non dans l'Union, mais il s'applique aussi aux organismes qui traitent des données à caractère personnel des personnes qui sont situées sur le territoire de l'Union, même si l'organisme n'est pas établi sur ce territoire, dès lors que ses activités sont liées à une offre de biens ou de services ou au suivi du comportement de ces personnes au sein de l'Union. Le spectre est très large. Il couvre énormément d'organismes publics et privés.
Cette idée m'est venue car je me suis dit qu'à l'instar du dirigeant d'une entreprise quelconque, qui a l'obligation d'établir un bilan comptable pour avoir une vision globale de la situation de son entreprise, et qui doit déposer ses comptes auprès du greffe du tribunal de commerce dont il dépend, depuis la mise en application du RGPD, tout dirigeant d'un organisme public ou privé a l'obligation de tenir un registre de ses activités de traitement. C'est l'article 30 qui le mentionne. Il a aussi l'obligation de mettre ce registre à la disposition de l'autorité de contrôle. J'ai fait une analogie entre le bilan comptable et le registre des activités de traitement, car ce sont des obligations légales. Dans ma pratique, je constate que le registre des activités de traitement n'est pas souvent tenu.
Ce registre se présente sous forme écrite, mais également sous forme électronique. Il est important de le préciser par rapport à ce que j'ai dit tout à l'heure quant à la preuve. Dans ma pratique, j'observe qu'il n'y a pour l'instant aucune sanction de la CNIL pour la non-tenue du registre. Je rappelle que ce registre est par excellence un outil de conformité au RGPD. Avant l'application du RGPD, c'était la CNIL qui tenait le registre national des traitements qui étaient déclarés et mis en œuvre par les organismes publics et privés. Tout un chacun pouvait demander la liste de tous les traitements ayant été déclarés à la CNIL par un organisme, ainsi qu'une copie du registre, si l'organisme avait désigné un CIL (correspondant informatique et libertés). Depuis l'application du RGPD, personne n'a accès au registre national, dont je rappelle qu'il a été gelé pour une dizaine d'années. Seule la CNIL peut y avoir accès, sur demande.
À mon avis, l'application de la blockchain au registre des activités de traitement permettrait d'avoir l'ensemble des registres des activités de traitement et aussi à tout le monde d'avoir accès aux registres, comme avant l'application du RGPD. La tenue et l'ancrage du registre RGPD sur blockchain permettraient surtout aux organismes publics et privés de démontrer que la tenue du registre est faite en toute transparence. Elles permettraient une certification et un horodatage du registre, en ligne avec les pratiques de la CNIL avant l'application du RGPD. Nous avons parfois besoin de nous assurer qu'un sous-traitant est en conformité avec le RGPD. Le fait d'avoir copie du registre pourrait rassurer un responsable de traitement.
Je rappelle que les greffiers des tribunaux de commerce utilisent la blockchain pour faciliter les changements et les évolutions des sociétés entre greffes, sans avoir recours aux notifications par mail, par lettre recommandée, etc. L'utilisation de la blockchain au registre RGPD pourrait créer un cadre de régulation unique au monde. Comme nous l'avons vu, le spectre est très large. De nombreux organismes publics et privés sont soumis au RGPD et doivent tenir un registre. Appliquer la technologie blockchain au registre RGPD pourrait être un nouveau cadre de régulation, unique au monde, pour garantir la sécurité, la datation et l'intégrité de ce registre utilisé par tous les organismes français, européens, et même internationaux, dès lors que leurs activités sont liées à une offre de biens ou de services, ou au suivi du comportement de ces personnes.
Pourquoi est-ce important ? Parce que ce cadre de régulation permettrait d'avoir accès même au registre des GAFA, en toute transparence, les GAFA devant répondre aux exigences listées à l'article 30. On saurait le nom du responsable de traitement, ou le cas échéant d'un représentant, on connaîtrait toutes les finalités du traitement, les catégories de personnes concernées, les catégories des données à caractère personnel. On connaîtrait les destinataires ayant accès aux données. Nous saurions s'il y a des transferts de données à caractère personnel, et nous connaîtrions les durées de conservation des différentes catégories de données. Nous aurions également une description générale des mesures techniques et organisationnelles de ces acteurs privés.
Cette régulation pourrait même être un modèle de référence, car, d'emblée, elle peut être mise en place au niveau européen, puisque le RGPD s'applique, et même à l'international. Elle pourrait même – pourquoi ne pas en rêver – devenir un standard européen de la blockchain.
Dans votre tribune de 2018, vous l'envisagez au niveau français. Cela veut-il dire qu'il faudrait d'emblée le faire au niveau européen ?
Pour agir face à ces acteurs privés dont nous sommes si dépendants, il faut agir a minima au niveau européen. J'ai évolué depuis 2018 et je pense qu'il faut placer cette blockchain au niveau européen.
Depuis 2018, avez-vous identifié d'autres cas d'usage, de cette importance, pour lesquels la blockchain pourrait être une solution, ce qui permettrait de « remettre de la souveraineté » dans le numérique en Europe ?
Oui, bien sûr. Vous m'avez présentée comme la rapporteure d'une étude sur la gouvernance d'Internet. J'avais écrit dans le journal Le Monde une tribune sur la technologie blockchain qui redistribue la gouvernance d'Internet. Nous avions constaté que les États-Unis, tellement convaincus d'avoir une responsabilité historique dans le fonctionnement et le développement d'Internet, voulaient une gouvernance de l'Internet, avec une association de droit privé californien, qui s'appelle l'ICANN, et qui est au centre du dispositif d'adressage (attribution des adresses IP) et de nommage (allocation des noms de domaines). Les adresses IP et les noms de domaines du monde entier sont centralisés dans un répertoire DNS, qui attribue à chaque adresse IP un nom de domaine. Depuis 2019, c'est l'ICANN qui gère ce répertoire DNS. C'est donc elle qui contrôle la ressource-clé de l'Internet, car si vous n'êtes pas répertorié sur Internet, vous n'existez pas.
Comme nous l'avons écrit dans cette tribune, M. Mehdi Benchoufi et moi-même, nous pensons que la technologie blockchain pourrait offrir une alternative à la gestion étatisée des noms de domaines ou DNS, sous la férule des États-Unis, et qu'elle viendrait en renfort de la société civile, là où les gouvernements n'ont pas les moyens d'assurer le respect de leurs normes dans le cyberespace. Il faut savoir que c'est une association de droit privé américain qui gère ces ressources critiques.
Comment pourrait-on faire ? Comme nous l'avons dit précédemment, la gestion des DNS par l'ICANN est structurellement liée à la gestion d'une ressource rare, qui est le nom de domaine, et donc à la nécessité d'en certifier l'authenticité et l'unicité. Il y a un seul nom de domaine pour l'Assemblée nationale : assemblée-nationale.fr. Or, la technologie blockchain a proposé en 2010 l'apparition d'un DNS centralisé et sécurisé, le .bit DNS, dont l'objectif est de veiller à ce qu'aucun gouvernement ni aucune personne ne puisse censurer ou attaquer ce service. C'est le même coin qui a été conçu pour créer un service de noms de domaines qui est basé sur la blockchain. Ce coin, qui est basé sur la technologie blockchain, permet une gestion robuste, sécurisée et parfaitement décentralisée des url, et concrétise la possibilité de soustraire la gouvernance de l'Internet, par les États-Unis, à une autorité centrale. Nous avons donc des alternatives à la gestion de l'ICANN par le même coin. Il convient d'adopter cette solution pour redistribuer la gouvernance de l'Internet, qui est à ce jour verrouillé par les États-Unis.
L'écosystème de la blockchain en France et en Europe évolue-t-il de façon rapide et exponentielle, ou l'acculturation est-elle limitée pour les citoyens et les pouvoirs publics ? Comment jugez-vous l'écosystème ? Est-il loin de la maturité ? Y a-t-il encore beaucoup d'efforts à faire pour expliquer ce qu'est cette technologie et à quoi elle peut servir ?
Comme je l'ai souligné tout à l'heure, il faut des cas d'usage de la blockchain pour que cette technologie puisse percer, surtout auprès des utilisateurs. La France a privilégié la technologie blockchain dans le domaine monétaire et financier. Nous l'avons vu dans le domaine de l'art, cela ne parle pas à tout un chacun. L'idée serait de trouver des cas d'usage dans notre vie quotidienne, comme je le disais tout à l'heure à propos de la chaîne alimentaire. Ce qui freine la technologie blockchain, c'est surtout cette insécurité juridique, et la question des moyens de preuve – d'où la nécessité de revoir le Règlement eIDAS.
Dans ces auditions, nous allons techniquement très loin dans le détail. Nous parlons de gouvernance, nous essayons de réfléchir à un système de gouvernance, mais finalement, ces systèmes numériques sont-ils gouvernables ? Peut-on réguler un espace qui n'a pas de frontières sans une gouvernance globale qui serait partagée par l'ensemble des usagers et des utilisateurs ? Est-ce une utopie ? Peut-on avoir une gouvernance sur un territoire donné qui serait l'Europe, mais qui n'aurait pas forcément les mêmes objectifs que les autres régions du monde ?
Les réseaux numériques terrestres sont complètement dominés par des acteurs privés – américains ou chinois. Je ne vois pas comment nous pourrions reprendre la main sur ces réseaux numériques terrestres. Ce qui est encore plus grave, c'est l'actuelle guerre de souveraineté et de puissance entre les États, avec la privatisation de l'espace, la ruée satellitaire en orbite basse. Nous en avons beaucoup parlé avec le vol de notre astronaute français. Il se livre une guerre dans l'espace entre, d'un côté, des acteurs privés comme Amazon et Elon Musk, qui ont lancé respectivement 30 000 et 42 000 satellites, et de l'autre les Chinois. La guerre de positions a démarré à 400 mètres au-dessus de nos têtes. Avec la règle du « premier arrivé, premier servi », si la France et l'Europe ne se réveillent pas, nous allons être encore assujettis à ces acteurs privés américains et chinois, sans compter le défi environnemental que cela pose. Je suis un peu pessimiste. Si l'on n'utilise pas des outils, comme je l'ai proposé avec un registre RGPD qui pourrait être un standard, ou un DNS… Il est compliqué d'essayer de reprendre la main sur l'ICANN ; ce n'est pas que nous n'avons pas essayé. Il faut déjà regarder au-dessus de nos têtes pour avoir « un coup d'avance » en ce qui concerne notre souveraineté.
Peut-on avoir « un coup d'avance » dans la régulation avec un système politique qui n'est pas forcément acculturé de manière globale à ces enjeux-là ? Nous nous en rendons compte tous les jours. Il faut regarder la vérité en face. Nous ne sentons pas que ces grands défis sont une préoccupation majeure. Ces sujets n'apparaissent pas comme des priorités dans la régulation, au moins nationale. On sent que l'Europe peut accuser une forme de retard, même si des efforts ont été réalisés. L'arrivée de M. Thierry Breton, par exemple, a pu accélérer certaines choses. Le temps politique est « à la traîne » – temps législatif, judiciaire – si on le compare au temps des affaires, au temps du numérique. Est-ce rattrapable ? Nous faisons parfois de la prospective avec certains étudiants et certains acteurs. Le système politique ne devrait-il pas être accompagné d'une Intelligence artificielle pour rattraper le retard ? De nombreuses questions se posent sur ces sujets.
Comment voyez-vous les initiatives européennes – Digital Markets Act (DMA), Digital Governance Act (DGA), Digital Services Act (DSA) – ce triptyque tel qu'il est proposé aujourd'hui ?
Nous parlions tout à l'heure de la présentation de la stratégie blockchain au niveau national. La DGE (Direction générale des entreprises) était dans la boucle, je crois. L'ambition de la France était même de devenir un acteur majeur de la blockchain. Nous n'avons pas encore trouvé le cas d'usage qui permette de sensibiliser vraiment tous les utilisateurs à la blockchain. Il faut le trouver. Je vous ai proposé ce cas d'usage autour du RGPD, car il concerne tous les organismes publics et privés, en France, en Europe et à l'international, dès lors qu'il cible des personnes se trouvant sur le sol européen. Il faut trouver un cas d'usage qui serve d'électrochoc, et je ne pense pas que nous l'ayons trouvé pour l'instant.
Ne peut-il pas porter sur les sujets de l'identité numérique ? Tout le monde en parle, cela peut peut-être aider. Il y a peut-être un enjeu en ce qui concerne les données de santé au niveau européen.
À quoi pensez-vous ?
Non, pas à l'insécurité, surtout à la souveraineté. Vous l'avez souligné, M. le rapporteur, dans une tribune sur le Health Data Hub. Pour l'instant, nous ne sommes pas encore rassurés qu'un acteur privé américain puisse héberger nos données de santé en France. Il faudrait déjà y remédier. Je pense que cela va être le cas, mais cela prend du temps.
M. Éric Bothorel, qui fait partie de la mission, a rendu un rapport sur l' open data et les open sources. Selon vous, est-ce quelque chose qui permettrait, avec la blockchain, de mettre de la transparence et de la bonne gouvernance au sein de l'État ?
Oui, je le crois. Cette blockchain, qui serait dédiée au registre des activités de traitement, serait en open data. Elle permettrait d'avoir accès à toutes les informations. En tant que data protection officer, je me suis rendu compte que depuis l'application du RGPD, il y avait un recul de la transparence. Avant, nous avions accès à tous les traitements déclarés à la CNIL. Nous avions accès au registre, dès lors qu'un organisme avait désigné un CIL. Maintenant, depuis l'application du RGPD, nous n'avons plus accès à rien, sauf la CNIL sur demande. Il y a bien un recul de la transparence. Je pense que celle-ci est importante pour être informé et surtout pour restaurer la confiance des utilisateurs.
L'État doit-il se saisir de la blockchain pour cette transparence, qui est de plus en plus demandée par les citoyens ? L'utilisation de la blockchain doit-elle devenir un réflexe pour l'État ?
La blockchain permet de se passer d'intermédiaires, de ces acteurs privés. Oui, bien sûr, je recommande l'utilisation de la blockchain. L'État devrait systématiquement y avoir recours pour essayer de se dégager de ces acteurs privés qui ont la mainmise sur notre économie.
Aujourd'hui, beaucoup de villes et de territoires ont décidé de mettre en place des smart cities. Ils ont d'ailleurs des leviers de financement pour le faire. Cela représente des masses de données extraordinairement importantes. La blockchain y a-t-elle sa place ? Selon vous, le réflexe blockchain est-il suffisamment présent dans les smart cities, ou est-ce que l'on passe complètement à côté ?
Je n'en connais pas. Je ne suis pas une spécialiste de la blockchain, mais de la protection des données. Pourquoi pas ? Toutefois, cela passerait tout de même par le registre, qui permet d'écrire tous les traitements qui sont faits. Ces smart cities occasionneraient des traitements.
Oui, sur la question de l'attribution des places de crèche, le paiement de la cantine, etc., qui sont des données avec des traitements.
Selon moi, la blockchain possède deux vertus, de par sa technologie : elle restaure la confiance et permet la transparence.
Y a-t-il un point que nous n'avons pas évoqué et que vous voudriez mettre en avant lors de cette audition ?
Nous sommes à un an de l'élection présidentielle. Les enjeux du numérique étant très importants, il serait bien de se doter d'un ministère du numérique de plein droit et d'essayer de faire du numérique une priorité pour le gouvernement. Quel meilleur gage que d'avoir un ministère d'État du numérique ?
Y aurait-il une initiative législative urgente à prendre – pas uniquement en ce qui concerne la blockchain ?
Oui, il faudrait modifier le Règlement eIDAS, pour qu'il reconnaisse au moins la blockchain.
Allez-vous interviewer le ministère de la Justice ?
Cela fait partie des auditions envisagées concernant l'évolution législative et les initiatives à cet égard.
L'audition s'achève à midi cinq.
Membres présents ou excusés
Mission d'information sur le thème « Bâtir et promouvoir une souveraineté numérique nationale et européenne »
Réunion du mardi 27 avril à onze heures cinq
Présents. – MM. Philippe Latombe, Pierre-Alain Raphan, Jean-Luc Warsmann