Géopolitique de la donnée : un rapport de force mondial en déséquilibre

mc2i - Christophe de Boisset

Une exclusivité decideur-it.fr

Par Christophe de BOISSET, Consultant mc2i

Données et politique sont deux éléments que l’on retrouve souvent liés dans l’histoire, la donnée étant au service du décideur, pour mieux comprendre le monde et prendre des décisions. Mais l’évolution technologique a retourné ce paradigme. Les données ont désormais un impact majeur, non plus seulement comme instrument d’aide à la décision, mais aussi comme outil d’action. Au-delà de la redéfinition des rapports de puissances entre les entreprises (GAFAM vs BATX), le contrôle des données dessine également les rapports de puissance entre les états. Aujourd’hui, cette question est devenue centrale, y compris en géopolitique. Et, de fait, les stratégies politiques imposent des décisions aux entreprises en matière de gestion des données.

La donnée, centre de pouvoir pour les états

L’information a toujours été centrale pour les états, particulièrement pour les services de renseignements. Mais depuis l’affaire Snowden, le grand public a pris conscience de l’existence de systèmes d’interception massive de données, non plus uniquement militaires. Et les États-Unis ne sont pas les seuls à agir en ce domaine : le renseignement « technique » a toujours fait partie des capacités développées par les agences européennes, chinoises ou russes. La DGSI a d’ailleurs récemment annoncé un objectif de recrutement de 1 200 personnes d’ici 2022, afin de renforcer leurs compétences dans les métiers de la data.

Les capacités d’un état en matière de traitement de la donnée ont beaucoup progressé. La principale difficulté rencontrée par les gouvernements avec le développement des usages d’Internet était le caractère très décentralisé de la production de l’information. Alors que jusque dans les années 2000, l’information était produite par des agences gouvernementales (INSEE et autres), elle est aujourd’hui principalement le fait d’acteurs privés. La solution simpliste a été la mise en place des systèmes d’écoute généralisés tels qu’Echelon aux États-Unis, qui ont participé à brouiller la frontière entre les espaces physiques et numériques. La mise en place de ces systèmes a été un premier pas, mais les états agissent également en intervenant sur les politiques d’entreprise, de manière plus ou moins discrète.

Le contrôle de la donnée privée par l’état

Les états les plus autoritaires se sont en effet rapidement aperçus que le contrôle de la donnée pouvait être une arme redoutable, utilisée à la fois sur le plan économique pour renforcer la position des entreprises et sur le plan politique pour stabiliser le pays.

L’Iran, avec les événements de novembre dernier, en est un bon exemple : en coupant Internet dans le pays, le gouvernement a été capable d’isoler les activistes anti-gouvernementaux en peu de temps et d’étouffer ainsi les révoltes. D’après l’ONG NetBlock, l’activité Internet du pays était alors de l’ordre de 5%. Si cette action est impossible en Europe, elle a été rendue possible par la structure particulière du réseau internet iranien. L’intérieur du pays est bien desservi par un réseau relativement maillé, mais l’ensemble des communications extérieures passe par 3 points uniques, trois opérateurs, contrôlés par le gouvernement. La structure du réseau chinois est sensiblement la même. La Russie, depuis des tests réalisés en décembre 2019, déclare être sur le point de pouvoir se déconnecter d’Internet.

Mais de tels contrôles sur les données ne sont pas l’apanage des pays totalitaires. Le Cloud Act américain permet aux autorités nationales de disposer d’un arsenal juridique adéquat pour obliger les entreprises sises aux États-Unis de fournir les données stockées sur leurs serveurs, y compris ceux situés à l’étranger. Le gouvernement français avait d’ailleurs fait part de son impuissance « dans un contexte marqué par la prédominance d’opérateurs non européens et par le caractère contraignant de la législation [américaine] à portée extraterritoriale ».

Au-delà des exemples ci-dessus, il apparaît clairement que la maîtrise du cyber-espace et donc des données qui s’y trouvent, est devenu un enjeu géopolitique majeur pour les gouvernements. Les premières lois que sont le Cloud Act ou le plus timide RGPD européen sont les premières pierres d’un édifice plus large que constituerait un Internet national, au regard de ce que cherche à construire les Russes avec Runet. Tout ceci est bien loin des ambitions initiales d’APRPAN et d’une solution d’échange décentralisée.

Les choix stratégiques d’entreprises guidés par des décisions politiques 

Les armes des pays en la matière ne sont pas uniquement des directives nationales. Les données étant générées par les entreprises privées, il apparaît beaucoup plus simple de contrôler ces entreprises plutôt que faire passer ces données sous le contrôle gouvernemental.

La porosité gouvernement/entreprises est, par exemple, très visible en Chine. Les données des citoyens y sont particulièrement « protégées » (interdiction de les faire sortir du territoire ou de les fournir à une société non-chinoise), et mis à disposition des grandes entreprises nationales. Par exemple, la reconnaissance faciale d’AliPay a été développée grâce à des données en provenance du système de sécurité gouvernemental. La structure gouvernementale responsable de la planification en Chine a inauguré un laboratoire d’IA en partenariat avec Baidu. Impossible d’imaginer que le gouvernement chinois fournisse un tel avantage compétitif à ses entreprises nationales sans un « retour sur investissement ». D’ailleurs, les BATX coopèrent dans la création du système de « crédit social » qui a tant fait parler de lui (en le comparant notamment à la célèbre série Black Mirror), basé sur le scoring des citoyens.

Du côté américain, on peut également s’interroger sur la localisation des data center de Google. Les deux data centers de la plaque asiatique se trouvent à Singapour et Taiwan. Aucun en Russie et aucun en Europe de l’Est.

Quelles actions pour nos pouvoirs politiques ? 

Force est de constater qu’en matière de gestion de la donnée, l’Europe, et à plus forte raison la France, accuse un retard certain. Si les pistes d’actions sont nombreuses, il n’est pas évident de changer le rapport de force très décalé côté États-Unis et Chine.

Le premier pas consistera à réduire la prédominance des sociétés américaines, notamment en matière de logiciel et de moteur de recherche (Google est un des principaux générateurs de données). Des initiatives ont été lancées notamment en France avec Qwant qui peine malgré tout à convaincre.

Il est également nécessaire de travailler à l’échelle européenne et non pas uniquement française pour faire face aux géants américains. Si le marché européen est vraiment de taille à lutter contre les mastodontes américains, c’est beaucoup moins le cas du marché français, bien trop petit. Mais cette position pose une réelle question de souveraineté de la donnée. Dans une conférence donnée à l’IHEDN, Guillaume Poupard, directeur de l’ANSI, avait d’ailleurs rappelé qu’on ne devrait pas choisir entre la cyber sécurité au niveau européen et celle au niveau national. Les deux sont nécessaires.

À ce titre, la RGPD a été un premier pas dans une harmonisation de la règlementation, et a réellement entraîné un comportement nouveau pour les entreprises y compris non-européennes. Sans pouvoir juger si elle a été ou non un succès, il est clair que la gestion des données dans les entreprises a été profondément transformée et règlementée. Ce n’est qu’un premier pas, mais il paraît probable qu’une réglementation européenne, sur la gestion des données à caractère stratégique, finira par voir le jour. Au moins au niveau européen.