Cloud souverain - Géopolitique de la data - Benjamin Bayart à USI
Titre : Cloud souverain - Géopolitique de la data
Intervenant : Benjamin Bayart
Lieu : Palais Brongniart - Paris . USI 2022
Date : 27 juin 2022
Durée : 40 min 26
Licence de la transcription : Verbatim
Illustration : À prévoir
NB : transcription réalisée par nos soins, fidèle aux propos des intervenant·e·s mais rendant le discours fluide.
Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas nécessairement celles de l'April, qui ne sera en aucun cas tenue responsable de leurs propos.
Description
Entre décisions judiciaires et programme de politique économique, on voit resurgir l’idée déjà galvaudée de souveraineté numérique.
Mélange complexe de libertés fondamentales, de macro-économie, de géopolitique et de guerre économique entre grandes puissances (USA, Chine, Europe).
Voyons ensemble comment ordonner tout ça, et y voir une formidable opportunité de développement en Europe.
Transcription
Bonjour à tous.
Je vais vous parler de cloud souverain. Qu’est-ce que c’est encore que cette bêtise ?
Je vois qu’il y a plusieurs personnes de plus de 17 ans dans la salle, vous vous souvenez peut-être que cloud souverain on en a déjà mangé, la dernière fois c’était en 2012. Qu’est-ce que c’est ? Pourquoi on en reparle ? Pourquoi ça revient 10 ans après ? J’ai repris une vieille coupure de presse de 2015 et 2015 c’était le moment où on considérait que le machin était mort. Qu’est-ce que c’est ? Ils nous font la saison 2, c’est le même et on recommence ?
En fait, le truc c’est que ce n’est pas la même série. Ils ont repris le même vocabulaire alors on se plante. Pour ceux qui ont un peu en tête, par exemple vous regardez Sherlock Holmes ça existe sous la forme elementary ou sous la forme Sherlock, ce n’est pas la même série à part quelques références, il y a un nom en commun, mais…
Du coup ce n’est pas du tout le même sujet et c’est ça qu’on va essayer de regarder ensemble pour comprendre de quoi ça parle et comment ça arrive, parce que c’est un sujet qui n’est pas si neuf qu’il en a l’air, qui vient de loin. Vous allez voir.
Pour vous expliquer tout ça je vais être obligé de passer par un chemin un peu bizarre où je vais vraiment parler de stratégie cloud juste avant de conclure. Avant on va parler de droit, on va parler de protection des données, on va parler de géopolitique et puis on va essayer de trouver des bouts de définition de ce que veut dire souverain.
Pourquoi je vais vous parler droit des personnes ? Je suis désolé je vais être obligé de faire un peu de philosophie du droit, c’est ce qui est le moins intuitif pour les ingénieurs : il y a une différence fondamentale dans le droit entre le droit européen et le droit qu’on trouve couramment en Amérique du Nord.
Quelle est la différence entre du droit de la personne et du droit des affaires ?
Si je prends des exemples très simples, l’interdiction de vendre à perte dans le droit du commerce, c’est du droit des affaires ; l’interdiction de tuer les gens, c’est du droit des personnes. OK. En fait, la protection des données personnelles, en Europe, est à ranger du côté du droit des personnes, ce qui explique plein de trucs un petit peu bizarres quand on essaye de comprendre ce que raconte le RGPD. Je ne sais pas si vous l’avez en tête, mais le RGPD s’impose à toutes les entreprises dans le monde, où qu’elles soient, quand elles traitent de données personnelles de personnes qui résident en Europe. Pourquoi le droit européen s’applique-t-il à une entreprise américaine ou une entreprise du Ruanda quand elle traite des données personnes ? Parce que c’est un droit de la personne, ce n’est pas un droit du business qui s’appliquerait en fonction de la zone d’exercice de l’entreprise, mais c’est un droit qui est attaché à la personne dont on est en train de traiter les données, même si cette personne n’est pas la cliente de l’entreprise, donc on est sur du droit des personnes.
En droit américain, le droit des données personnelles est beaucoup plus vu comme un droit de la propriété. Aux États-Unis, si je fais quelque chose avec vos données personnelles, c’est considéré comme si j’utilisais votre voiture sans vous avoir demandé la permission. Je suis en train de subir potentiellement un dommage et, si je veux démontrer le dommage, il faut que je démontre un dommage financier. Alors qu’en droit européen, quand on utilise vos données personnelles sans votre accord, c’est comme si on utilisait votre corps sans votre accord, c’est comme si on vous tapait ou c’est comme si on abusait de vous. Il n’y a pas besoin de démontrer le dommage, le simple fait que ça ait lieu est un dommage. Donc on est sur des notions juridiques qui sont très différentes.
Typiquement, quand on essaye de définir la propriété, est-ce que c’est du droit de la personne ou est-ce que c’est du droit des affaires ?, eh bien ça dépend de ce qu’on met derrière le mot propriété.
En général, quand je veux expliquer ça sur les données personnelles, je développe trois notions, c’est facile, c’est la demi-heure d’introduction du cours que je donne d’habitude sur le RGPD, comme je n’ai que 40 minutes de conférence vous n’aurez pas la version complète. Je développe trois notions l’une qui est que l’ordinateur est fatal. C’est une notion qui est un petit peu compliquée parce que quand on dit fatal les gens entendent mortel Non ! Ce n’est pas mortel c’est fatal, ça veut dire qu’on ne peut pas négocier, ce que décide l’ordinateur est irrémédiable, on ne peut rien faire contre l’ordinateur, il y a prévu qu’il n’y avait que trois cas et vous n’entrez pas dans ces trois cas, vous n’existez pas. C’est la notion d’ordinateur est fatal.
Il y a une deuxième notion qui est que tout fichier est le début d’une maltraitance potentielle. Pour ceux d’entre vous qui parlent un peu le vocabulaire psy usuel, c’est ce qu’on appelle une réification. Quand vous mettez quelqu’un dans un fichier, vous allez traiter le fichier, en fait vous êtes en train de traiter la personne, donc vous êtes en train de traiter une personne comme un objet, ce que vous ne feriez pas dans la vie normale. Les exemples courants, j’organise un baptême, une bar-mitzvah, un mariage où je vais inviter plein de gens, je vais faire un plan de table pour que le tonton raciste ne se retrouve pas à côté de la cousine trans parce que ça va foutre la merde. C’est le truc classique, vous faites votre plan de table, vous avez les noms des gens et puis vous décidez, vous les déplacez jusqu’à ce que vous ayez un truc un peu équilibré. Vous ne feriez pas ça dans la vraie vie. Si je voulais réorganiser la salle en vous rangeant du plus petit au plus grand je ne vous déplacerais pas sur votre chaise, ce n’est pas comme ça, je vous demanderais, il y aurait une interaction, ce serait une relation humaine, je ne vous déplacerais pas comme des choses.
C’est ça en fait. Tout fichier est une réification et comme réification c’est le début dune maltraitance. Si vous voulez vraiment maltraiter des gens, il faut vraiment les considérer comme des choses sinon vous n’y arriverez pas.
Ce n’est pas forcément le début d’une maltraitance, c’est le début d’une maltraitance potentielle, elle n’a pas encore eu lieu.
Et puis il y a un troisième élément à avoir en tête qui est que les données sont la personne. Je ne sais de vous et vous ne savez de moi que des données, que ce soit ce que vous avez lu sur ma fiche Wikipédia, ce que vous avez entendu pendant l’introduction de Léo, ce que vous voyez ce sont des données, ce sont des images. Pour les gens qui nous regardent en ligne ce sont encore plus des données, c’est tout du numérique cette affaire-là. Ce ne sont que des données, vous ne savez de moi que des données. En fait les données sont la personne.
Du coup, quand on combine les trois, quand on s’apprête à faire un traitement informatique, on s’apprête à traiter sans recours, en fait on s’apprête à maltraiter quelqu’un sans recours. Et c’est pour ça que c’est dangereux. Ce n’est pas interdit parce que ça n’est qu’une maltraitance potentielle, il y a plein de traitements de données qui sont tout à fait bien-traitants, qui sont dans l’intérêt de la personne, que la personne a choisis et tout va bien. Tous les traitements de données extrêmement personnelles qui ont lieu quand je m’inscris sur un site de rencontre, c’est moi qui m’y suis inscrit, je l’ai fait exprès pour tirer ma crampe comme tout le monde, il n’y a pas de problème, mais tout traitement de données personnelles, en particulier avec un ordinateur, est potentiellement une maltraitance sur une personne, sans recours, donc il faut être vigilant.
C’était le premier morceau que je voulais vous mettre dans la tête, les différences de philosophie du droit qui ne sont pas les mêmes puisqu’aux États-Unis les données vont être considérées comme une propriété au sens lucratif du terme alors qu’en Europe les données vont être considérées comme une propriété. Vous allez me dire que c’est difficile, c’est le même mot, mais ça ne veut pas dire la même chose, c’est une propriété comme la couleur de vos yeux. La couleur de vos yeux est une de vos propriétés. Les données personnelles sont une propriété de la personne comme la couleur de ses yeux ou comme son ombre, mais pas comme son blouson ou sa bagnole. OK. Ce n’est pas le même sens du mot propriété.
Si on regarde sur ces sept/huit dernières années, en droit européen il y a un certain nombre de décisions judiciaires d’un côté et de mouvements législatifs de l’autre qui créent des droits en matière de numérique et des droits assez forts en s’appuyant systématiquement sur des choses qui relèvent du droit de la personne ou qui relèvent de la protection des libertés fondamentales. On va voir apparaître là-dedans, par exemple, la neutralité du Net qui est comprise par tout le monde comme étant une régulation du business qui dit « les opérateurs ont le droit de, les opérateurs n’ont pas le droit de, les opérateurs ont l’obligation de ». On le prend comme une régulation du business, mais si vous allez regarder comment est structuré le texte, comment est légitimé le texte, il est légitimé en s’appuyant sur les libertés fondamentales. Il y a quelques éléments qui relèvent de la concurrence libre et non faussée, là on est dans le droit du business, et puis il y a quelques éléments qui relèvent du droit des gens d’accéder à l’information ou du droit des gens de diffuser l’information ou du droit des gens de participer au débat public. Là on va s’inscrire beaucoup plus dans le droit des personnes. Et ça, c’est typiquement européen.
Si on regarde, je ne vais pas vous les détailler tous, il y a quelques morceaux que je veux citer ; avril 2014, Digital Rights Ireland, c’est un arrêt de la Cour de justice de l’Union européenne qui dit qu’on n’a pas le droit, dans l’Union européenne, de surveiller la totalité de la population au cas où. Ça vous fait marrer, mais il se trouve que ce n’était pas évident puisqu’il y avait des directives qui prévoyaient qu’on surveille la totalité de la population parce que dans le lot il y en au moins trois qui sont des terroristes et deux qui sont des pédophiles, donc il faut qu’on surveille les 500 millions d’Européens. La Cour de justice de l’Union européenne a dit « non, ça ce n’est pas possible dans une société démocratique ». Notez que la France s’y oppose.
Si je reprends juste le même, donc Digital Rights Ireland avril 2014, confirmé par la même Cour de justice de l’Union européenne en décembre 2016 dans l’arrêt Tele2, que la France a encore refusé de transposer en droit français, du coup ça s’est traduit par l’arrêt Quadrature du Net contre France en octobre 2020 où la Cour de justice de l’Union européenne a redit qu’on ne pouvait pas et puis, le 5 juillet, je serai de nouveau à l’audience à la Cour de justice de l’Union européenne où on attaque la France précisément pour la même chose. Il y a comme un pattern qui se dessine. Il faut repérer que ces morceaux-là se répondent en permanence. Typiquement le vote du RGPD en avril 2016 consacre tout un tas de positions et de protections juridiques des données personnelles qui ne sont compréhensibles que si vous avez en tête qu’on est dans du droit des personnes.
Et il y a deux arrêts qui vont nous intéresser particulièrement, je vais les commenter vite fait. Il y a l’abrogation du Safe Harbor Act en octobre 2015. Vous avez tous en tête ce qu’est le Safe Harbor Act, ce n’est pas la même que je rappelle, si peut-être. Le Safe Harbor Act est un texte, un accord international signé entre l’Europe et les États-Unis d’Amérique à la fin des années 1990 qui dit qu’on est deux sociétés démocratiques différentes mais enfin pas tant, on a des niveaux de protection des données personnelles et de la vie privée qui sont vaguement similaires, du coup on peut librement faire circuler les data entre l’Europe et les États-Unis parce qu’on se ressemble.
Il se trouve que peu de temps après des pénibles ont planté des avions dans des tours, si vous vous souvenez, et juste après les États-Unis ont fait passer du droit en matière de surveillance qui est assez vener, comme disent les jeunes. Quand la Cour de justice de l’Union européenne s’est posé la question de savoir si le Safe Harbor était vrai, elle est arrivée à la conclusion que non, les États-Unis d’Amérique ne proposent pas le même niveau de protection des données personnelles que l’Union européenne, donc la Cour a cassé le Safe Harbor et a dit niet.
Du coup, ce beau jour d’octobre 2015, il est devenu subitement illégal de transférer des données personnelles entre les États-Unis d’Amérique et l’Europe.
12’45
Réaction de la Commission européenne, data must flow, panique à bord, on retricote immédiatement un nouvel accord international, le texte est prêt en février 2016. Vous voyez le truc, abrogé en octobre 2015, le texte est prêt en février 2016,un accord international qu’on a dealé et tricoté en quatre mois, ça n’existe pas. C’est comme un projet informatique qu’on a bouclé en 15 jours ! Ça n’existe pas !
