Données sensibles et souveraineté numérique : mission impossible ?

Une souveraineté numérique française est-elle possible en matière de traitement de données sensibles ?

La crise du Covid, les guerres et les tensions économiques qui s’en suivent ont remis au premier plan les questions de sécurité de la population française en termes de santé, d’alimentation, d’accès à l’énergie… Plus globalement, l’ensemble de ces événements a remis au premier plan l’importance pour la France de se doter d’une souveraineté dans les domaines considérés d’importance vitale.

Et quoi de plus vital que notre défense et notre sécurité ?

Les informations auxquelles nos différents organes et industries de défense et de sécurité ont accès, et qu’ils exploitent, doivent absolument être protégées. A ce titre et après des années de dépendance à des solutions numériques étrangères en tous genres, principalement américaines, la question de la construction d’une souveraineté numérique est centrale. Il faut dire que l’ambition est forte : créer un environnement numérique performant et de confiance, pour tous.

Souveraineté numérique et enjeux de sécurité des données sensibles

Lorsque l’on parle de sécurisation et de protection de nos informations sensibles, on pense d’abord à la cybersécurité. D’ailleurs, la guerre de l’information ne cesse de s’intensifier. Les groupes de hackers, qu’ils répondent à des intérêts privés ou bien qu’ils soient soutenus par des États concurrents voire hostiles, visent désormais les administrations publiques, les Organismes d’Importance Vitale, les hôpitaux, là où justement, ces données sensibles représentent une valeur d’échange particulièrement intéressante. Le chantier est de taille.

La cybersécurité vise à construire autour de nos données sensibles un coffre-fort, des barrières, pour les protéger des agressions extérieures. C’est absolument fondamental.

Pourtant, il nous faut aller un cran plus loin et construire une « sécurité en profondeur », qui renforcera la protection de l’information de l’intérieur et de l’extérieur. Pour sécuriser les données sensibles, en plus des actions ciblées de cybersécurité, il faut sécuriser ces données à l’intérieur de bout-en-bout (collecte, traitement, hébergement…) et se poser cette question : cette donnée est-elle accessible par un quelconque moyen à un tiers que je n’ai pas moi-même choisi d’informer ? Une partie de la réponse consiste à se poser également la question : la solution que j’utilise pour traiter ma donnée sensible est-elle sujette au Cloud Act ?

Pour illustrer cela, je reprendrai volontiers une image souvent utilisée. Négliger la souveraineté numérique de ses données au profit d’une forte cybersécurité, c’est comme installer une alarme sur une maison dont la porte est ouverte : c’est insuffisant.

Confier ses données à un acteur souverain est donc la première façon de les protéger, car il répond ainsi aux lois locales de protections des données. En d’autres mots, elles resteront en France.

Entre ambitions et possibilités, la souveraineté numérique n’est pas forcément accessible

Notre dépendance à des outils américains est-elle satisfaisante, tant d’un point de vue individuel, que collectif ? Dans le domaine de la défense et de la sécurité, ce qui est sûr, c’est que c’est un problème.

La guerre n’est plus seulement humaine et armée, elle est devenue aussi numérique.

Pour les industries de défense, qui sont par nature des industries de l’information, se pencher sur la provenance des solutions employées et les lois qui les régissent semble incontournable.

En théorie, l’ambition de souveraineté numérique est importante : qui ne voudrait pas sécuriser ses données, en particulier sensibles ? Ou encore, qui voudrait ne pas savoir qui a accès à ses données ?

En pratique, c’est bien plus complexe. Si l’écosystème des solutions numériques souveraines et françaises s’est particulièrement dynamisé depuis 2015, force est de constater que les solutions américaines et internationales, bien plus grosses et plus avancées, dominent encore largement le marché aujourd’hui.

Comment se comparer à des solutions qui ont plus de 20 ans lorsque l’on est un acteur à taille humaine ou une PME ?

Il est certain que sans financement massif de l’innovation, en temps et en argent, la France aura toujours ce « train de retard » en matière de souveraineté numérique.

La bonne nouvelle est que les choses évoluent.

Les start-ups de la « Def Tech », longtemps boudées ont aujourd’hui le vent en poupe.

Aux Etats-Unis, les financements s’envolent et on voit que la tendance arrive aussi en France.

Acheter du numérique français, c’est donc également favoriser une souveraineté durable, qui s’acquiert dans le temps et qui permet de construire ensemble notre indépendance.

Privilégier l’écosystème français pour nos données sensibles

L’écosystème français de la donnée est dynamique, même s’il est récent.

Il y a des pépites en son sein, qui sont capables de répondre à tout ou partie des besoins en matière de traitement et de sécurisation des données sensibles. S’il y a quelques années, l’écosystème peinait à répondre aux enjeux de nos administrations et industries de défense, les temps ont changé.

Il faut oser dire à nos administrations publiques et nos organes de défense qu’ils ne sont pas obligés de choisir entre performance et souveraineté. 

Leur dire que même si ils n’ont pas l’obligation de préférer des solutions françaises, elles ont tout intérêt à le faire car aujourd’hui elles ont le choix. Le choix de privilégier des solutions souveraines et de contribuer à leur développement pour la constitution d’un écosystème numérique de confiance.

Les start-ups du numérique et de la donnée sont agiles, elles savent travailler ensemble lorsque les projets sont d’envergure.

Elles savent aussi s’adapter aux besoins spécifiques de traitements de données sensibles, accompagner et former les métiers à de nouveaux usages.

C’est aussi une question de sensibilisation et d’accompagnement.

C’est à nous, les start-ups, les PME du numérique de continuer d’expliquer que les acteurs souverains peuvent être tout aussi avancés (et parfois même plus, car construits sur les dernières technologies) et tout aussi performants que des acteurs internationaux.

C’est à nous, les start-ups et les PME du numérique souverain de démontrer que nous avons ce « truc en plus » par rapport à des solutions historiques internationales.

C’est en travaillant ensemble, en construisant des intérêts communs, que nous construirons ensemble, un écosystème numérique de traitement de la donnée sensible performant et totalement confiant.