Géopolitique de la donnée - Benjamin Bayart

De April MediaWiki
Aller à la navigationAller à la recherche


Titre : Géopolitique de la donnée

Intervenante : Benjamin Bayart

Lieu : Jug Summer Camp - Poitou-Charentes Jug

Date : 14 septembre 2021

Durée : 48 min

Vidéo

Licence de la transcription : Verbatim

Illustration : À prévoir

NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.

Description

Benjamin Bayart est expert en télécommunications et ancien président de la FDN, French Data Network, le plus ancien fournisseur d’accès à internet indépendant et associatif, coprésident de La Quadrature du Net, militant de la neutralité du Net, et des logiciels libres.

Transcription

Présentatrice : Tout d'abord, je voudrais remercier nos sponsors, Serli, OVH Cloud et Elastic, qui nous permettent, comme chaque année, de maintenir cette conférence gratuite, d'offrir des temps de pause agréables et puis un déjeuner assis qui sera, je l'espère, très bon. N'hésitez pas à aller voir les stands qui sont en bas à côté du buffet ; vous pourrez échanger avec les personnes et puis, potentiellement, prendre quelques goodies.
Les mesures sanitaires. Comme vous le vous le savez, maintenant on a l'habitude, les masques sont obligatoires. On a mis du hydro-alcoolique dispersé un peu partout, donc n'hésitez pas à vous en servir. On essaye de conserver les distances de sécurité et de limiter les entrées/sorties autant que possible, surtout à l'entrée principale. Conservez bien vos bracelets pour montrer que vous avez bien passé les différentes étapes pour le pass et l'entrée de la conférence.
Pour l'organisation de la journée vous avez les programmes papier qui sont à l'entrée du bâtiment. Vous avez aussi le site du Jug Summer Camp où vous vous pouvez retrouver le programme.
Il y a des temps de pause le matin et l'après-midi. Ce matin, à la pause de ce matin, il y aura une animation qui sera faite par OVH sur son stand, donc n'hésitez pas à y aller et cet après-midi c'est Elastic qui fera une animation. Pareil. N’hésitez pas à aller les voir pour participer à ces animations.
Pour le déjeuner c'est la même salle qu'ici mais de l'autre côté, à l’étage, donc vous pouvez vous y rendre, c'est un buffet après chacun se sert et déjeune.
J'ajoute juste petite note pour les speakers de bien parler dans le micro parce qu’on a une captation audio/ vidéo. Même s’il n’y a pas énormément de personnes dans la salle et que, du coup, on peut parler et tout le monde entend, c'est quand même important de conserver le micro pour que la captation se fasse correctement.
Je vous remercie tous. Passez une excellente journée et je laisse la main à Benjamin pour la Keynote.
Merci. Bonne journée.

[Applaudissements]

Benjamin BaYart : Je ne sais pas si j'ai le droit d'enlever le masque pour parler. Je vais supposer que je suis à plus d'un mètre de tout le monde, ça fera une bande-son qui sera un peu moins affreuse, on m'entendra moins souffler comme un phoque, mon essoufflement dans le masque.
Souvent, quand je veux présenter ce genre d'exercice, je prépare un support le matin même et puis ce matin c'était un petit peu speed donc non. Je m'excuse auprès de ceux d'entre vous qui ont besoin d'une aide visuelle pour suivre mon propos. L'aide visuelle est là [NdT : Benjamin indique la feuille sur laquelle se trouvent ses notes, son pass sanitaire], elle n’est pas fabuleuse, comme quoi le pass sanitaire ça sert à tout !
Une difficulté. J'ai choisi comme thème « La géopolitique de la data » parce que je pense que c'est un sujet relativement actuel et pas forcément très enfantin à lire et puis je me suis demandé « est-ce que je fais ça de manière pédagogique, je parle des éléments fondamentaux qui permettent de comprendre puis je développe le propos jusqu'à ce qu'on ait une vision complète ? », ou « est-ce que je fais le contraire ? Je parle de la vision complète qu’on ne comprend pas tous et puis je vais creuser jusqu'à essayer d'extraire les éléments qui me paraissent les plus importants ? » J'ai décidé de prendre la deuxième approche qui est donc un peu moins pédagogique parce qu'elle me permet de conclure sur les points qui sont, je crois, les plus importants.

En fait, on entend plein de mots ces temps-ci dans l’actualité autour du numérique ou pas très loin du numérique. Vient de se clôturer le FIC à Lille, il s'est clôturé hier je crois, on a parlé cybersécurité, l'armée s'intéresse beaucoup à ce qui se passe dans le numérique, la gendarmerie aussi dans tous les pays du monde. On entend beaucoup parler de notions de cloud souverain, de souveraineté sur la donnée, donc on entend quand même pas mal de bêtises sur tous ces sujets-là.
De quoi on parle-t-on quand on parle de ces sujets-là ? Quand on dit il y a la cyberguerre entre les cyber-Russes et les cyber-Américains, les cyber-Chinois ne font rien que cyber-squatter tout un tas de choses, en fait on parle de puissance, on parle d’un rapport de domination, on parle de quel pays est capable, s’il a envie, de tordre le bras de tel autre sur quel sujet. On peut être tenté d’y voir des choses très compliquées il ne faut pas. Moi je trouve qu'il y a un exemple qui est extrêmement lisible, qui est l'alimentation électrique de l'île de Jersey dans l'actualité relativement récente. Je sais pas si ça vous parle. Vous avez suivi que la Grande-Bretagne est sortie de l'Union européenne, vous avez dû en entendre parler, ça a fait un petit peu de presse ces derniers temps. Dans le cadre de cette sortie, les Britanniques ont signé des accords avec les Européens, le respect de ces accords n’est pas systématique. Un des grands volets ce sont les accords de pêche : qui a le droit de pêcher, où, entre la France et l’Angleterre et puis les Anglais ont décidé qu'ils n’étaient pas trop d'accord avec ce qu'ils avaient signé, les Français étaient d'avis qu’ils allaient continuer à pêcher dans les eaux anglaises. Donc on a reconnu des choses qu'on n'avait pas vues depuis une trentaine d'années, mais moi je me souviens de quand j'étais petit, parce puisque je suis un peu vieux maintenant, la barbe commence à blanchir. On a revu des bisbilles entre pêcheurs britanniques et pêcheurs français au point qu’on se dise que ce ne serait pas plus bête que deux ou trois bateaux de la marine nationale d’un pays ou de l’autre regardent un peu comment tout ça se passe, jusqu'à ce que ça devienne assez crispé et que les Anglais disent « on va vraiment envoyer des bateaux de guerre et puis, s’il faut, on va virer les Français de là. » Du coup la France a dit : « Si vous continuez vos conneries, on coupe l'électricité à Jersey. L'île de Jersey, territoire britannique, est alimentée électriquement depuis la France, donc si vous faites chier on coupe. »
Voilà, c'est ça la puissance ! La notion de géopolitique c'est ça, c'est si vous faites chier, on coupe !
Donc on parle bien d’un rapport de domination où, en fait, se mettre sous la dépendance de quelqu’un sur le plan économique, que ce soit pour l'alimentation électrique ou pour l'hébergement des données dans un datacenter. Pendant longtemps ça a l’air d’être un choix technique, c’est-à-dire qu'est-ce qui était techniquement le plus raisonnable de tirer un câble entre Jersey et la Grande-Bretagne où entre Jersey et la France ? Est-ce que EDF vendait l'électricité plus ou moins cher que tel autre fournisseur ? Quelles étaient les durées l'engagement des contrats ? C'est toute la réflexion de DSI que vous voyez tous dans toutes vos entreprises tous les jours et puis il y a un moment où la question c'est la puissance. C'est quand ce sera la merde et qu’un État dira « on arrête ! », qui aura les moyens contre qui ? De qui est-on devenu dépendant et où se situe le rapport de domination ?
En fait, quand cette question-là se posera, savoir si tu payais le kW⋅h 32,7 centimes ou 33,8, ce n'est plus le sujet, c'est devenu autre chose !
Nos politiciens nous mettent de la data là-dedans et nous mettent du numérique et du digital selon comment ils ont envie de le formuler. Eux parlent puissance parce que c'est ce qui leur parle. Mais quand on creuse un peu, on va retrouver derrière d'autres notions, par exemple cette notion de macroéconomie que j'aime beaucoup. Je vous parle de choses extrêmement avancées, de choses extrêmement modernes en économie, qu'on a découvertes à la fin du 19e siècle, que les économistes, pour le moment, n'ont toujours pas bien intégrées. Les économistes en restent à peu près à Adam Smith et Jean-Baptiste Say donc plutôt début du dix-19e siècle.
Cette notion de macroéconomie est un truc très simple, c'est vachement simple !
Quand vous importez quelque chose vous faites monter le chômage, quand vous exportez quelque chose vous faites baisser le chômage. Point. Quel que soit ce que vous importez, quel que soit ce que vous exportez.
Quand vous importez pour un euro vous faites monter le chômage, quand vous exportez pour un euro vous faites baisser le chômage.
Le corollaire de ça c'est que n'importe quel produit de très mauvaise qualité que vous payez beaucoup trop cher, mais qui est produit en France, fait baisser le chômage. Alors que n'importe quel produit d'excellente qualité, que vous payez beaucoup moins cher, qui fonctionne beaucoup mieux, mais que vous faites venir d'ailleurs, vous faites monter le chômage.
On explique ça dans les manuels d'économie sérieux depuis la fin du 19e siècle. Vous trouverez ça dans Karl Marx Le Capital, chapitre 1. Tout le monde croit que Le Capital c'est la définition du communisme, ce n'est pas le cas ! Ce n’est pas le Manifeste du parti communiste, ce n'est pas le même livre même si c'est le même auteur. Le Capital est un bouquin d'économie et le chapitre 1 du Capital est extrêmement instructif en matière d'économie, c'est le premier bouquin sérieux en matière d'économie dans l’histoire contemporaine. Et ça se comprend très bien. Je vais reprendre le type d'exemples que cite Marx, d'époque : vous achetez des vêtements au marché que vous avez importé, la seule plus-value qui est sur votre territoire c'est la plus-value du marchand. Tout le reste c'est ailleurs.
Si au lieu d’importer des vêtements vous importez du tissu et que le tailleur fabrique le costume et ensuite le costume est vendu au marché, la plus-value du tailleur est sur votre territoire et la plus-value du marchand est sur votre territoire.
Si au lieu d'importer le tissu vous importez du fil, eh bien vous aurez la plus-value du tisserand, la plus-value du tailleur et la plus-value du marchand sur votre territoire.
Si au lieu d'importer du fil, vous importez de la laine ou du coton et que vous filez cette laine et ce coton chez vous, alors vous aurez sur votre territoire la plus-value de la filature, la plus-value du tisserand, la plus-value du tailleur, la plus-value du marchand.
Si en plus vous élevez les moutons et vous faites pousser le coton sur votre territoire au lieu d'importer, là vous avez toute la chaîne de plus-value qui est chez vous, donc toute cette chaîne de plus-value non seulement procure du travail mais procure des revenus, crée de la richesse, paye des impôts.
Ça c'est de la macroéconomie élémentaire que normalement tout le monde connaît et que tout le monde feint d’oublier. C’est-à-dire qu’un smartphone de très mauvaise qualité mais fabriqué en France fait baisser le chômage. Importer un smartphone de très bonne qualité, pas cher, fabriqué ailleurs, fait monter le chômage. C’est simple !
Donc quand nous, dans le numérique, on finit par représenter une part non négligeable de l’économie – il y a 30 ou 40 ans tout le monde était persuadé que l'informatique c’était négligeable, c'était dans l'épaisseur du trait, c’était dans les fournitures bureautiques de la boîte, à côté des machines à écrire et des blocs de post-it –, maintenant ce n'est plus le cas. La part de tout ce qui est digital dans nos vies est suffisamment grande pour que ça représente un gros volume de l’économie. Donc savoir si on importe tous nos services informatiques ou si on les produit nous-mêmes c'est une question de macroéconomie qui n’est pas qui est pas négligeable.

13’ 13

Et puis, il y a du droit de l’Union européenne qui est venu s'en mêler. Je suppose que vous êtes tous, comme moi, des grands fans des arrêts de la Cour de justice de l'Union européenne et que vous lisez ça le soir pour vous endormir. Il y a quelques arrêts, ces cinq/six dernières années, de la Cour de justice de l'Union européenne qui sont très intéressants, il y en a quelques-uns sur le numérique. En particulier, pour ceux qui n'auraient pas suivi, il y a la récente validation du Privacy Shield et un petit peu avant l'invalidation du Safe Harbor Act.
Je présume que tout le monde, dans la salle, voit ce que c'est que le Safe Harbor Act. Nickel, on l'a tous. Non ! Il y en a deux trois qui… Oui, parce que les cours de droit que tu as eus en fac d'informatique datent un peu. OK. On va on va rafraîchir.
Quand l'Union européenne s'est intéressée au droit des données personnelles et a dit qu’on n’avait pas le droit de faire n'importe quoi avec, que les données des gens étaient protégés – ce n'est pas le RGPD, ce sont les directives e-privacy autour de 1992/1994 –, on s'est trouvé face à un problème qui était l’essor de la bulle internet et où on voyait bien que tout ça allait circuler dans le monde. Il y avait un problème : OK, c’est protégé en Europe mais qu’est-ce qui se passe ailleurs ? Donc on a dit « il y a des pays qui ont un droit suffisamment protecteur et puis il y a des pays où ce n'est pas le cas. » Je ne sais pas, l’Ouzbékistan, par exemple, n’a pas de loi sur les données personnelles donc ce n'est pas assez bien. Aux États-Unis il y a des lois sur les données personnelles donc ça doit être assez bien.
Donc le Safe Harbor Act c'est cette décision de l'Union européenne qui dit « les États-Unis et l’Europe ont une protection des données personnelles qui, sans être vraiment exactement identiques sont suffisamment proches, donc ça représente un havre sauf, un port sauf, puisque ce qui est à La Rochelle doit avoir un sens comme terme, Safe Harbor en bon anglais, donc on peut assez librement transmettre des données entre la France, entre l’Europe et les États-Unis parce que les deux droits sont raisonnablement protecteurs de la même manière.
Et puis il se trouve qu’un petit peu après il y a des avions qui sont encastrés dans des tours à New-York, vous avez dû en entendre parler, on fête les 20 ans ces jours-ci, et les États-Unis ont pris des lois extrêmement sévères anti-terroristes. Du coup quelques années plus tard, une quinzaine, une vingtaine d'années plus tard, vers 2016, quand la Cour de justice de l’Union européenne a été amenée à s'intéresser à ce Safe Harbor Act, elle est arrivée à la conclusion que non, le droit américain n’est pas assez protecteur parce que dans le CLOUD Act, dans le PATRIOT Act, dans tout un tas de morceaux législatifs américains, le gouvernement, en particulier la NSA et beaucoup d'agences gouvernementales américaines, peuvent aller mettre leurs doigts dans les données personnelles des gens avec un niveau de contrôle qui n’est pas conforme au droit européen, qui n’est pas suffisant. Vous n’avez pas de droit de recours, vous avez tout un tas de libertés fondamentales qui sont garanties aux citoyens européens sur leurs données personnelles qui ne sont pas présentes.
Ça, ça avait suscité à la Commission européenne une panique dont vous vous souvenez peut-être. Le mot d'ordre était Data Must Flow. On s'inquiétait que Facebook s'arrête du jour au lendemain, qu'on soit obligé d'éteindre Google en Europe, ça faisait un peu paniquer tout le monde. Donc l'Union européenne avait décidé de signer un deuxième accord international qui a été négocié en quelques semaines, la décision doit être de novembre et les premiers drafts de l’accord international de février. Je sais pas si vous voyez, pour négocier un texte international, trois mois c'est comme un projet qu'on pourrait livrer en huit jours ! Ça n’existe pas !
Ça c'est le Privacy Shield qui a été invalidé, lui aussi, par la Cour de justice de l'Union européenne il y a à peine un an, avec exactement le même argumentaire qui dit que le CLOUD Act, le PATRIOT Act et tout ça, sont des textes de portée internationale, les États-Unis s'autorisent un certain nombre d'accès dans les données personnelles sans contrôle. Ce n'est pas conforme au droit européen.
Du coup on arrive à ce qu’émerge à nouveau ce vieux mot qui avait été lancé par Nicolas Sarkozy et son orchestre il y a une dizaine d'années de cloud souverain. Dans sa tête, cloud souverain c'était du cloud où la police avec ses godillots et ses matraques pouvait intervenir, plutôt que de se retrouver exclue parce que ça se passe en Californie ou en Russie, et là on a changé. Du coup, on nous parle de cloud souverain, ce n'est plus la même chose ; c'est le même mot mais ce n'est plus le même concept.
Je fais une petite digression sur cloud souverain. Faites attention, il y a toujours trois concepts cachés derrière et il faut faire attention : duquel des trois on est en train de parler.
Il y a celui que je viens d'évoquer qui est OK, est-ce que le droit applicable c'est le droit européen ou est-ce que c'est le droit américain ? Si c'est le droit américain, on est sur une zone où c'est le droit américain qui s'applique. Si c'est le droit européen on est sur une zone où le droit européen s'applique. Il faut faire attention parce que les deux droits ne sont pas étanches, ils bavent, ils dépassent des frontières ou ils dépassent des zones évidentes.
Typiquement, le droit américain s'impose à toutes les entreprises américaines et depuis, une jurisprudence très récente de la Cour suprême américaine, il s'impose à toute entreprise qui fait du business en dollars où qu'elle soit dans le monde. Donc Amazon Paris est soumise au droit américain. La question de savoir si OVH est soumise au droit américain n'est pas claire, parce que ça n’est pas une entreprise américaine, mais elle fait un petit peu de business en dollars aux États-Unis. Donc est-ce que c'est juste la filiale américaine qui est soumise au droit américain ou est-ce que le droit américain peu déteindre jusqu'à la maison-mère en Europe ?, ce n’est pas clair, ça bave.
De la même manière le droit européen, par exemple le RGPD, s’applique pour toute personne en Europe. Ce n'est pas que les citoyens européens. Le RGPD protège les données personnelles du touriste américain qui vient acheter une petite tour Eiffel en plastique. Donc l’acteur américain, entièrement Américain, entièrement basé aux États-unis qui traite les données personnelles du touriste américain qui est sous la tour Eiffel est soumis au RGPD, pendant le temps que ce touriste américain est en Europe. Vous voyez, ça bave. La frontière entre les deux est extrêmement floue.
Ça c'est est la première notion : <em<cloud souverain au sens de quel est le droit qui s'applique.

Il y a une deuxième notion, qui est celle que j'expliquais avant, qui est de macroéconomie. En fait, on se fout un peu de la nationalité des gens. Il y a où a lieu la plus-value, quel est le bassin d'emploi qui profite de la croissance économique et où est-ce qu'on paye des impôts ? Vous voyez. Typiquement Amazon n'est pas tellement américain ou européen, c’est amazonien, eux ne payent pas d'impôts ! Vous voyez, c'est ce genre de notions.

Et puis il y a une troisième notion qui est souverain au sens régalien, qui est avec quelle police vous allez coopérer, pour quoi faire ? Est-ce que vous allez coopérer avec la police quand il y a des enquêtes criminelles ? Est-ce que vous allez coopérer avec la police quand il y a des enquêtes civiles ? Est-ce que vous allez coopérer avec la police quand il y a des enquêtes politiques ? Chez nous, il n’y a jamais d’enquêtes politiques, jamais personne ne fait d'enquête sur les opposants, on ne fiche pas les gens qui font chier en manifestant dans la rue. Mais, dans des pays non civilisés, ce sont des choses qui arrivent, donc là il y a une notion de souveraineté. C'est par exemple ce qui a empêché, il y a une dizaine d'années, Google de travailler en Chine parce qu’ils n’étaient pas tout à fait assez coopératifs avec le gouvernement chinois et pourtant ils étaient prêts à le faire. Ils avaient dit à la Chine « si vous voulez on fiche qui vous voulez, tranquille, on respecte les lois du pays. Vous savez qu’on est très légalistes, tout ça ». La Chine a répondu « non, en fait tu nous fais chier, on va faire notre moteur de recherche, toi tu vas bosser à Taïwan, casse-toi ! » Et plutôt que de rester avec 0,7 % de parts de marché et de perdre de l'argent là-bas, Google s'est drapé dans le drapeau américain en disant « liberté, principes fondamentaux, droits de l’homme, nous ne pouvons pas travailler en Chine, nous ne pouvons pas coopérer ! » Tiens, mon cul ! Ils étaient prêts à coopérer à tout. Le gouvernement chinois les a envoyés chier en raison de la macroéconomie et puis voilà !
Donc on a toujours trois notions. On a quel est le droit qui s'applique ? Où va la plus-value ? Et le souverain au sens régalien, c’est-à-dire est-ce que, par exemple si l'armée de l'air utilise des serveurs pour piloter ses radars, le jour où on sera en guerre contre quelqu’un, si ce quelqu’un a sur son territoire nos serveurs, eh bien il éteint, on n’a plus de radars, on n’a plus d’armée de l’air ! Fini ! Ça c'est du souverain. C'est le souverain au sens de l'île de Jersey. Ils ont choisi le contrat d'alimentation électrique le plus raisonnable. Si un jour ils se retrouvent en guerre ou en semi-guerre ou en tension diplomatique internationale avec la France, le fait qu'ils aient signé un contrat avec un acteur économique français peut leur poser des problèmes ; c'est bien aussi un des trois sens du souverain c'est celui j'appelle le régalien.

22’ 50

Ce qui m'intéresse là-dedans,