Quel est cet article 10 Bis A qui met le bazar dans le projet de loi pour sécuriser l’espace numérique (SREN) ?

C’est un problème de souveraineté de l’Europe pour les uns. Un article qui ne prend pas compte des réalités économiques et techniques du cloud pour les autres. Depuis des semaines, le petit amendement de la sénatrice Catherine Morin-Desailly (Union Centriste) agace. Son article 10 BIS A du projet de la loi pour sécuriser le numérique (SREN), voté à l’unanimité par le Sénat en juillet dernier, vise à imposer, pour toutes les « données sensibles », le recours à des fournisseurs de cloud non soumis aux lois extraterritoriales – comprenez : des « clouders » européens et non américains. Il s’agirait de faciliter la création d’un grand marché européen du cloud – l’informatique en nuage en français – qui échapperait aux Gafam. Exit donc les Amazon, Microsoft et Google pour les données de l’État et de l’administration, allant du secret défense aux données de santé.

Sauf que cet « exit » n’est resté théorique que quelques semaines. Le 21 septembre dernier, l’article a finalement été supprimé lors de son examen en Commission spéciale – une étape dans le processus législatif qui précède l’examen du projet de loi par tous les députés, dans l’Hémicycle. Sorti par la petite porte, l’article est ensuite passé par la fenêtre : des parlementaires de tout bord ont déposé de nombreux amendements, jeudi 5 octobre, demandant sa réintroduction.

Face A : les clouds européens (dont français) pas au niveau des offres d’Amazon, de Microsoft et de Google

S’en est suivie une semaine où chaque camp a affuté ses armes, brandissant tour à tour le drapeau de la souveraineté ou des lacunes alléguées des clouders européens. D’un côté, le Gouvernement a expliqué qu’il comprenait bien l’objectif de cet article, à savoir, booster la filière du cloud européen, qui peine à exister et à émerger face aux géants américains que sont Amazon Web Services, Microsoft Azure et Google Cloud. À trois, ces sociétés rafleraient 71 % du marché français. Mais un tel texte nuirait aux négociations européennes en cours sur le sujet. Et la « filière française n’est peut-être pas prête à accueillir tant de données, il faut lui laisser le temps de se structurer », a avancé Anne Le Hénanff, députée Horizons et rapporteure du texte, mercredi 11 octobre dans l’Hémicycle.

Les start-up d’e-santé sont, elles-mêmes, montées au créneau, dans les colonnes des Échos. Leur message : vous nous demandez de passer à un fournisseur de cloud européen. Mais leur offre n’est pas au niveau de celle des Gafam américains ; une éventuelle migration va prendre un temps fou et coûter cher. Bon nombre d’entre elles utilisent des clouds américains, à l’image de Doctolib dont les données sont hébergées chez Amazon Web Services (AWS).

Face B : il faut booster le cloud européen et échapper aux lois extraterritoriales américaines

De l’autre côté, la sénatrice Morin-Desailly et les clouders français ont continué à marteler leur message : oui, il existe bien des offres françaises et européennes de cloud suffisamment développées et sécurisées. Et si certaines briques n’existent pas encore, il faut leur donner l’occasion de les créer. La commande publique peut être un levier essentiel pour atteindre ce but, à l’image des lois américaines qui ont rempli les carnets de commande des entreprises américaines, ont-ils plaidé.

Mais « booster le cloud européen » n’est pas le seul objectif de cet article. Le texte vise aussi à échapper aux lois extraterritoriales – comme la loi américaine d’espionnage FISA, qui sera renouvelée à la fin de l’année. Elle oblige toute entreprise américaine, même lorsqu’elle exerce une activité hors du sol américain – donc en Europe – à communiquer des données aux services secrets américains, sans avoir à avertir les principaux intéressés. Un point particulièrement problématique puisqu’il s’agit de données sensibles qui touchent le régalien et la vie privée des individus (comme la santé).

Le Gouvernement fait finalement volte face

C’est alors qu’un autre élément est venu mettre de l’huile sur le feu, dans un débat qui était déjà tendu. Tandis que des députés du RN avaient aussi déposé des amendements en vue de rétablir l’article 10 Bis A, remplaçant le recours aux clouds européens par le recours aux clouds français, l’amalgame entre défenseurs de l’article et extrême droite a commencé à émerger sur les réseaux sociaux, et notamment sur LinkedIn.

Et c’est peut-être ce qui a poussé le Gouvernement à céder du terrain, avance la sénatrice Morin-Desailly, interviewée par 01net.com ce jeudi 12 octobre :

« Ils ont pris conscience que d’avoir éliminé, ni plus ni moins, l’article 10 BIS-A était une erreur politique, parce que les groupes extrêmes allaient le revendiquer pour des motifs de souverainisme ».

Résultat, mercredi 11 octobre dans la soirée : coup de théâtre dans l’Hémicycle. Alors que les députés avançaient lentement mais sûrement dans leur examen du projet de loi, Anne Le Hénanff, députée Horizons et rapporteure, a déposé une nouvelle version du texte, à peine quelques minutes avant son examen – « j’ai travaillé avec les groupes jusqu’à la dernière minute », nous explique-t-elle. Les rapporteurs des projets de loi peuvent déposer des amendements jusqu’au tout dernier moment, ce qui laisse peu de temps à l’opposition pour en prendre connaissance avant le vote. Pris de court, les députés qui étaient présents se sont précipités pour le lire et déposer des amendements.

Un « premier pas » vers la souveraineté numérique ?

« Le texte a été entièrement réécrit », commente Anne Le Hénanff, le lendemain. Il pose aussi le recours à des clouders européens pour les données sensibles des entités publiques, mais avec davantage de conditions. L’État, ses collectivités et ses opérateurs (qui seraient listés dans la loi de finances) veillent à ce que, leurs « données sensibles » soient hébergées sur des clouds européens, mais seulement si « leur violation est susceptible d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé ou la vie des personnes ou à la protection de la propriété intellectuelle ».  Et surtout, la nouvelle version propose une dérogation pour tous les projets déjà en cours, dérogation qui devra être demandée selon des modalités précisées dans un futur décret du Conseil d’Etat.

Il s’agit donc d’un « premier pas », commente Anne Le Hénanff.

« La souveraineté numérique ne se décrète pas. C’est pas parce qu’on dit “on est souverain”, qu’on le vote, que le lendemain on l’est. Il y a des étapes, des paliers à atteindre », poursuit-elle.

Pourquoi être passé de la suppression totale à une nouvelle proposition du texte ?  « Parce que la démocratie l’a finalement emporté » a répondu Jean-Noël Barrot, le ministre délégué en charge du Numérique, lors de sa prise de parole dans l’Hémicycle mercredi 11 octobre.

À la place de l’article 10 BIS A (version du Sénat), « qui a eu le mérite de nous interpeller », Anne Le Hénanff explique avoir préféré « proposer quelque chose qui soit atteignable ». Au lieu de contraindre toute entité à respecter certains éléments du « SecNumCloud », un label délivré par l’Anssi qui correspond « au niveau de sécurité le plus élevé » – ce que chercherait à faire la version du Sénat de l’article 10 Bis A, selon la députée – il s’agirait d’abaisser d’un cran les exigences. Les entités publiques devraient recourir à des clouds qui respectent un référenciel moins strict, la doctrine « Cloud au centre ».

« On sait que les ministères, ils n’y vont pas en courant vers ce “Cloud au centre”, donc on va un petit peu les contraindre, en le mettant dans la loi. C’est-à-dire qu’à ce moment-là, la première étape, je dirais, majeure, législative de la souveraineté numérique, ce sera l’application du “Cloud au centre” », ajoute-t-elle.

Une « régression », un « faux-nez à la souveraineté » ?

Dans le camp adverse, c’est la soupe à la grimace. La nouvelle version est « moins ambitieuse ». Il s’agit ni plus ni moins que d’une « régression », déplore Catherine Morin-Desailly. Ni l’amendement du député MoDem Philippe Latombe, qui prévoyait que le système de dérogation soit limité dans le temps à 12 mois, pour ne pas que l’exception devienne la règle, ni le fait d’inclure le Health Data Hub (ou HDF, cette plateforme de nos données de santé, pilotée par Microsoft) dans les « opérateurs » concernés par le recours aux clouders européens, n’ont été retenus.

Traduction : tous les projets d’hébergements qui ont été initiés avant l’entrée en vigueur de la loi pourraient échapper à cette obligation de recours au cloud européen – dont le HDF. D’ailleurs, le champ des données sensibles est « bien plus limité, puisqu’il ne recouvre que les secrets protégés par la loi et les données nécessaires à l’accomplissement des missions essentielles de l’État. Sont donc exclues nos données de santé à caractère personnel, donc les données de la Sécurité sociale », souligne Catherine Morin-Desailly.

La référence à « un décret permettant de préciser le respect de l’ensemble des exigences “SecNumCloud” » ? C’est un « faux-nez à la souveraineté », tacle la sénatrice. Car ce référentiel « SecNumCloud » ne protège pas des ingérences américaines. « A partir du moment où on aura recours à une entreprise américaine, la loi d’espionnage FISA s’appliquera, qu’on le veuille ou non », regrette-t-elle.

Le récent nouvel accord transatlantique (le Data Privacy Framework officialisé pendant l’été par la Commission européenne, malgré les avis contraires des CNILS européennes et du Parlement européen), a été présenté comme apportant plus de garanties aux Européens, lorsque leurs données sont traitées par des entreprises américaines comme Microsoft, Amazon ou Google. Mais ce n’est « absolument pas le cas », rétorque la Vice-Présidente de la commission des affaires européennes du Sénat. Il n’y a toujours pas de réel recours et de notification, lorsque les données des Européens sont consultées par les services secrets américains, avance-t-elle. Cet avis est partagé par d’autres hommes politiques comme le député MoDem Philippe Latombe qui a déposé un recours contre le texte. Max Schrems, le juriste autrichien à l’origine de l’invalidité des deux précédents traités, a déjà annoncé qu’il comptait demander son annulation devant la Cour européenne de l’UE.

À lire aussi : Transfert des données Europe/États-Unis : le député Philippe Latombe nous explique son coup de poker 

L’objectif de cet article (du Sénat) était, justement, « de se focaliser sur les données dites “sensibles” pour les protéger des intérêts extraterritoriaux (américains, ndlr), chose que la Commission et le Parlement européen n’ont pas réussi à faire », résume Adrien Parrot, président de l’association InterHop.

« Est-ce qu’on construit nos briques logicielles ou est-ce qu’on utilise celles des autres ? »

« Tout le monde se focalise sur la question de la sécurité des données. Mais on doit aussi se poser la question du contrôle des prix et de la dépendance économique », estime Tariq Krim, ancien vice-président du Conseil national du Numérique. L’entrepreneur du Web, qui travaille sur un think tank traitant de questions de géopolitique numérique, déplore « une absence de stratégie claire du numérique », qui consiste pour l’instant à « bâtir sans construire de fondations », en ayant recours à des clouds proposés par des sociétés américaines. Pour son grand projet du Health Data Hub, cette plateforme de données qui vise à centraliser l’ensemble de nos données de santé, le Gouvernement a par exemple fait le choix de Microsoft, et non celui d’une société européenne.

« Le débat qu’on n’a pas encore tranché, c’est : “Est-ce qu’on construit nos briques logicielles ou est-ce qu’on utilise celles des autres” (en ayant recours aux offres d’Amazon, de Microsoft et de Google, ndlr) » ?

Or, dans le second cas, « nous n’avons aucun contrôle sur le prix du Cloud, il est défini par les producteurs de technologies. Pour des raisons géopolitiques, prix de l’énergie, disponibilité des puces, il peut doubler voire tripler, et à ma connaissance il n’y a pas de plan B. C’est un peu comme le gaz de Poutine. L’économie française et le fonctionnement de l’État sont tellement imbriqués dans l’économie numérique que ces questions ne peuvent pas être sous estimées », alerte-t-il.

Reste à savoir ce que deviendra cet article, lors de son passage par la Commission mixte paritaire – un groupe de députés et de sénateurs qui doivent se mettre d’accord sur une seule et même version. Entre-temps, les lignes et positions sur le cloud européen pourraient encore bouger.

Source link