La sénatrice Joelle Garriaud-Maylam vient de questionner le secrétaire d’État chargé du numérique. Celle-ci s’étonne que, près de huit mois après la promulgation de la loi Lemaire du 7 octobre 2016, le rapport que le gouvernement avait l’obligation de remettre au Parlement dans les trois mois à compter de la promulgation de la loi, pour mettre en place un Commissariat à la souveraineté numérique afin de concourir « à l’exercice, dans le cyberespace, de la souveraineté nationale et des droits et libertés individuels et collectifs que la République protège », n’ait pas été rendu. La sénatrice s’inquiète aussi d’« un renouvellement en catimini du contrat liant Microsoft au ministère de la Défense… qui… ne pourrait qu’aggraver les inquiétudes quant à l’absence de prise de conscience des enjeux ». Ce contrat est actuellement en phase de négociation entre les deux entités, mais la même sénatrice a déjà sollicité le gouvernement pour la suspension des négociations et l’organisation d’un vrai marché public.
Guillaume Poupard, numéro un car Directeur général de l’ANSSI (Agence Nationale de la Sécurité des Système d’Information), a été relativement clair sur l’avancement du rapport sur le Commissariat : « Pour être franc, je n’ai pas tous les détails, j’ai l’impression que cela ne bouge plus beaucoup ». Pourtant Monsieur Poupard a su par le passé être plus clair et péremptoire avec les politiques qui l’interpellaient. Ainsi, lorsque Delphine Batho avait fait passer à l’Assemblée Nationale un amendement à la loi Lemaire qui aurait obligé le gouvernement à créer un OS 100 % français, le Directeur Général de l’ANSSI s’était amusé à la savonner méticuleusement. « Si c’est redévelopper un OS à partir de rien pour mettre je ne sais pas trop quelle technologie, c’est un non-sens. Si c’est un OS maîtrisé par l’État pour y mettre plein de saletés, je m’y opposerai. Nous ne sommes pas en Corée du Nord mais heureusement dans un État de droit ». Et le patron de l’ANSSI d’insister : « L’OS souverain, je n’y crois pas. »
Il a par ailleurs rappelé que l’ANSSI a travaillé de longue date sur un OS sécurisé reposant sur une couche Linux, visant à avoir plusieurs niveaux de confiance pour des architectures sécurisées. « Si c’est ça faire un OS souverain, on l’a déjà ! »
Personne ne sait que depuis 2005, l’ANSSI développe un formidable outil sécurisé appelé CLIP OS. Douze ans de développement d’une distribution Linux sûrement formidable mais très peu d’ordinateurs équipés. La souveraineté numérique est une longue marche ! Depuis le MO5 de Thompson et le Minitel, en France, on réfléchit.
On n’a pas de pétrole mais on a des idées ! On a même une filière numérique regroupée dans le Conseil National de l’Industrie.
C’est à rythme régulier qu’un parlementaire ou un ministre ressort le drapeau tricolore pour s’émouvoir de notre dépendance numérique à du matériel et des programmes issus de l’étranger mais aussi de la faible protection des données informatiques de notre État et de nos entreprises.
Arnaud Montebourg, ministre du redressement productif, n’a eu de cesse de défendre une forme de préférence numérique nationale comme lorsqu’il s’est opposé au rachat du français Dailymotion par Yahoo. Lors de sa candidature à la primaire du Parti Socialiste, il déclara que « les abus d’optimisation fiscale réalisés par ces opérateurs transnationaux doivent être combattus par une politique européenne concertée. C’est en rétablissant notre souveraineté que la révolution numérique pourra être libératrice ».
Montebourg plaida d’ailleurs pour une relocalisation des data center plus près de nous : « La capture de l’or numérique part à l’étranger et y est exploitée : il faut relocaliser les data center en France ».
Sous son ministère, la secrétaire d’État Fleur Pellerin, unanimement reconnue comme compétente par les acteurs des TPE et PME françaises du numérique, avait pris une grande initiative de soutien financier et de communication au profit des jeunes pousses du numérique.
Elle avait annoncé qu’elle relançait le projet Idénum, d’identité numérique. Ce projet, initié en 2010, visait à proposer un système de certification des identités en ligne élaboré par des acteurs privés sur des bases techniques garanties par l’État via l’ANSSI. Sa motivation était clairement la lutte contre l’usurpation d’identités et les atteintes à la vie privée. Elle affirmait « craindre la « privatisation » de l’identité numérique », déjà en marche selon elle avec certains acteurs privés.
C’est sous son secrétariat d’État que les achats dématérialisés de l’État ont dû suivre une procédure de sécurité reposant sur la signature électronique des offres par les candidats. Cette signature s’inscrit dans le cadre défini par le référentiel général de sécurité (RGS) : à compter du 19 mai 2013, date de pleine application du RGS, les entreprises ont dû signer leurs offres à l’aide d’un certificat électronique issu d’un prestataire de confiance au sens du RGS.
Fleur Pellerin a poussé au déploiement de référentiel général de sécurité (RGS) dans un cadre réglementaire (qui datait de 2005) afin de permettre d’instaurer la confiance dans les échanges entre l’administration et les citoyens.
En dehors des incantations habituelles, Fleur Pellerin a réussi à mettre en place un système pouvant être considéré comme une ébauche de souveraineté numérique. En effet, l’utilisation des certificats RGS intègre les principes et règles liés à :
– la description des étapes de la mise en conformité ;
– la cryptologie et à la protection des échanges électroniques ;
– la gestion des accusés d’enregistrement et des accusés de réception ;
– la qualification des produits de sécurité et des prestataires de services de confiance ;– la validation des certificats par l’État.
Le certificat RGS prouve l’identité de son porteur et sécurise donc les échanges. Le courriel ou le formulaire transmis sont ainsi signés de manière irréfutable. La souveraineté numérique passe incontestablement par la fin de l’anonymat (relatif) du net.
Les grandes puissances numériques ne s’y sont pas trompées.
La filière française soutenue par les dispositifs publics de soutien aux entreprises innovantes a donné naissance à plusieurs entreprises jeunes pousses qui forcément avaient été reconnues comme tiers de confiance par l’État au moment du déploiement de la norme RGS.
Parmi celles-ci, figurait une pépite, une grosse pépite, OpenTrust qui avait pour actionnaire d’autres pépites comme Gemalto et Morpho aux côtés de la Caisse des Dépôts, Euro-Information et Thierry Dassault Holding. Né en 2004 sous le nom de Keynectis, OpenTrust était un spécialiste de la sécurité numérique. Forte de 120 salariés, cette entreprise d’Issy-les-Moulineaux (Hauts-de-Seine) réalisait 30 % de ses 20 millions d’euros de chiffre d’affaires à l’international.
OpenTrust concevait des certificats électroniques permettant de réaliser des transmissions de données sécurisées utilisées essentiellement par des groupes industriels, des gouvernements, des banques et des assurances.
C’est au moment où l’État a favorisé l’utilisation d’une partie de ces certificats électroniques qu’OpenTrust a été vendu en 2015 à… l’américain Docusign !
Et Keith Krach le PDG de Docusign de se réjouir d’avoir accueilli les clients, partenaires et salariés d’OpenTrust au sein du Global Trust Network de DocuSign ». Parmi les clients d’OpenTrust figuraient essentiellement des clients grands comptes : BNP Paribas, CNP Assurances, Crédit Agricole, EDF, Engie, Keolis, La Banque Postale, La Française des Jeux… Les partenaires se comptent aussi par dizaines : Arismore, Caisse des Dépôts Arkhineo, Gemalto, Imprimerie Nationale Continu & Services, InfoCert, LegalLife, Netheos, PeopleDoc (ex-Novapost), Oracle, Primobox, SafeNet, Safran-Morpho, Thales.
Assurément le Directeur Général de l’ANSSI avait raison, la France n’est pas la Corée du Nord ! On fait passer un des instruments de notre défense électronique sous pavillon américain comme une lettre à la Poste !
Et puisque la France confirme son statut de protectorat de l’Empire américain, DocuSign a rejoint en 2017 l’ATN+ (Association Transition Numérique Plus), pour accompagner les TPE/PME françaises dans leur transformation numérique.
L’Association Transition Numérique Plus est affiliée au programme gouvernemental « Transition Numérique », lancé en 2012 et regroupe aujourd’hui une centaine d’éditeurs et d’acteurs du numérique, industriels de l’IT et partenaires institutionnels. L’association accompagne depuis quatre ans les TPE/PME françaises dans leur transition numérique.
En résumé, les TPE et PME françaises vont être accompagnées par Big Brother qui ne leur veut que du bien. Tant pis si Docusign travaille dans le cadre d’un partenariat stratégique avec Microsoft.
Mais la France ne s’arrête pas sur si bon chemin. Les Chambres de Commerce et de l’Industrie (CCI),établissements publics de l’État, dotées d’un statut et d’une gouvernance spécifiques, constituent des partenaires incontournables pour le développement des petites et moyennes entreprises, de l’industrie, du commerce, de l’artisanat et des services. Désireuses d’aider les entreprises à s’équiper de systèmes d’authentification et de signature électronique, les CCI ont créé l’association commerciale Chambersign qui diffuse les solutions RGS de… Docusign ! Au grand dam des autres fabricants et diffuseurs français de certificats électroniques RGS qui se voient ainsi privés de l’accès aux entreprises françaises. Un David du RGS de la région lilloise vient d’ailleurs de faire condamner en appel le Goliath CCI pour cette distorsion de concurrence pour le moins non patriote !
Il est juridiquement établi que, depuis le 4 janvier 2017, l’activité des CCI en matière de certificat électronique, via ChamberSign, est illégale.
Mais rien n’y fait. CHAMBERSIGN France se présente toujours comme l’autorité de certification de mise en œuvre par les Chambres de Commerce et d’Industrie françaises.
Emmanuel Macron, encore ministre de l’Économie avait déclaré en février 2015 lors de sa visite du campus OVH à Roubaix : « Il n’y a pas de souveraineté numérique sans définition de normes que nous voulons défendre. De fait, la norme, c’est la loi du plus fort, et elle est aujourd’hui américaine. Cela n’est pas acceptable. Nous avons à définir une réponse française en termes de standards et de confiance numérique afin de les défendre à l’échelle européenne. Il n’y a pas d’arrogance à penser que nous pouvons gagner cette bataille face aux Américains, bien au contraire, et OVH en est la preuve. C’est ce travail qui est au cœur de la Nouvelle France Industrielle que je promeus. »
Que va t-il faire devenu président ? Il a su serrer la poigne de fer de Donald Trump, saura t-il faire appliquer la loi aux CCI et faire en sorte que les entreprises de la French Tech soient enfin favorisées comme il le souhaitait avant son élection puisqu’il déclarait que « jusqu’à présent, nous demandions aux acheteurs publics – il y en a 1300 en France – de regarder le coût et seulement le coût. Cela ne permettait pas toujours de privilégier la qualité, et rarement ce qui avait le plus de sens en termes de dynamique locale, ou d’innovation. Le problème est maintenant réglé puisque nous avons introduit dans l’achat public les critères d’innovation et de développement social et environnemental… afin que l’ensemble des solutions numériques de notre pays puissent être prises en compte dans les critères de l’achat public » ?
Militer pour la souveraineté économique semble une posture incontournable de tout candidat ambitieux. Mais les réalités semblent confirmer que la posture devient imposture, lorsque l’exécutif laisse filer la e-technologie à l’étranger. Le combat courageux des parlementaires comme la sénatrice Garriaud-Maylam se heurte aux méandres des agences et autres comités Théodule perméables aux groupes de pressions qui, sous couvert de la complexité technique, étouffent les velléités politiques de construction d’instruments d’indépendance.
Pendant ce temps-là, le Docteur Laurent Alexandre concluait une table ronde au Sénat le 19 janvier dernier en disant : « on ne peut être qu’inquiets quand on voit que 50 % des français dans un sondage récent confieraient volontiers leurs données de santé au GAFA (Google, Apple, Facebook et Amazon) et chez les jeunes gens 68 % ». On se dit qu’il va falloir de la pédagogie pour organiser :
1) Notre sursaut face aux GAFA et BATX (Baidu, Alibaba, Tencent et Xiaomi…entreprises chinoises),
2) Notre souveraineté.
Il est aujourd’hui plus urgent de réfléchir à ces enjeux de souveraineté, enjeux économiques, enjeux scolaires et de formation, que de fantasmer sur une « Intelligence Artificielle Forte ».
Un sursaut citoyen est-il envisageable ?
On le souhaite.
