Mardi 28 janvier 2014
Présidence de M. Gaëtan Gorce
Audition de M. David Fayon, administrateur des postes et des télécoms, auteur de Géopolitique d'Internet : qui gouverne le monde ? (2013)
M. Gaëtan Gorce , président . - J'excuse Mme Catherine Morin-Desailly , retenue en circonscription. Nous accueillons M. David Fayon, administrateur des postes et télécommunications et auteur, notamment, d'un livre récent qui nous intéresse déjà par son titre : Géopolitique d'internet - Qui gouverne le monde ? Quelle est votre analyse des enjeux et des modalités de la gouvernance d'internet ? Quelles pistes auriez-vous à nous suggérer ?
M. David Fayon. - Qui détient le pouvoir sur Internet ? Quelle place occupe l'Europe, et la France en particulier, dans sa gouvernance ?
Je commencerai par quelques jalons de l'histoire encore récente d'Internet. De 1945 à 1985, une première période de l'informatique est centrée sur le matériel, avec IBM pour leader et Apple comme principal challenger, qui travaille sur l'ergonomie de la machine et son interface avec l'utilisateur ; la France est présente, grâce au Plan Calcul, qui est à l'origine d'entreprises comme Bull et SSII. Une deuxième période court de 1985 à 2005, centrée sur le logiciel, avec Microsoft comme leader et Linux comme challenger, qui travaille sur le logiciel libre, l' open source ; la France est peu présente, à part sur l'industrie du jeu. Nous vivons depuis 2005 dans une troisième période, centrée sur les données et dominée par Google, avec Facebook comme principal challenger, qui travaille sur l'exploitation des données à des fins de ciblage marketing ; la France dispose d'atouts, en particulier dans l'algorithmique, mais aucune entreprise de taille suffisante, ce qui vaut pour l'Europe tout entière. Nous en restons à une logique de start up, engoncés dans une logique cartésienne plutôt que de suivre un comportement pragmatique qui commanderait d'incuber davantage de start up et de les encourager à croître, quitte à ce que beaucoup n'atteignent pas la taille critique - en escomptant que, parmi les start up d'aujourd'hui, il y a les pépites de demain. Amazon a ainsi mis cinq ans avant de dégager un bénéfice...
Car l'économie du numérique, d'après une étude du cabinet McKinsey de 2011, représente déjà un quart et représentera demain la moitié de la croissance mondiale ; le numérique fonde une quatrième révolution, après celles de l'agriculture, de l'industrie et des services ; l'affaire Snowden a révélé au grand public les risques d'exploitation liberticide des données - même si, personnellement, je craindrais moins un « Big Brother » qu'une multiplication de « Small Brothers » aux mains de mafias aussi diverses que malfaisantes. Les notions de brouillage et de cryptage sont cependant bien plus anciennes qu'Internet et ont joué un rôle concret pendant la Deuxième Guerre mondiale, ou encore pendant la guerre d'Irak, lors de l'opération Tempête du Désert. Ce que l'affaire Snowden a cependant montré, c'est l'omnipotence américaine sur Internet, avec les organismes comme l'ICANN - mais aussi l'émergence de nouveaux ensembles, comme la Chine et la Russie, peut-être bientôt le Brésil, qui disposent chacun d'un intranet régional, au risque d'une « balkanisation » d'Internet.
M. Gaëtan Gorce , président . - Les États-Unis, comme chacune des puissances régionales que vous citez, ne poursuivent-ils pas leur intérêt national ? Quelles conclusions en tirez-vous pour la notion de régulation d'Internet ? Vous paraît-elle possible ? Ou bien n'est-on pas d'abord et surtout en présence de stratégies d'États qui s'affrontent ? Que pensez-vous de la proposition de racines ouvertes ?
M. David Fayon. - Il y a l'aspect commercial et il y a celui des libertés individuelles. Internet est par excellence un lieu d'échange, d'expression des libertés publiques et individuelles, mais le réseau est aussi un outil d'expansion marchande sans précédent. L'Europe a la taille critique comme marché, mais le continent souffre de son hétérogénéité, c'est une Babel linguistique où les usages des technologies numériques sont très divers - le Nord est en avance, avec des pays comme l'Estonie, où le Conseil des ministres se déroule pour partie on line ; le Sud est moins avancé, y compris la France, avec des taux d'équipement à Internet qui n'atteignent que difficilement 80 % des ménages.
Faudrait-il un intranet européen ? Je ne le crois pas, car ce serait très complexe à mettre en oeuvre dans l'Europe des Vingt-Huit. En revanche, nous pourrions faire pression pour partager la gouvernance d'Internet. Au lieu de quoi, nous sommes focalisés sur un débat qui oppose non pas la droite et la gauche, mais ceux qui acceptent l'innovation, la modernité, et les « conservateurs », ceux qui ne veulent pas changer leurs habitudes - l'article liberticide voté sur la loi de programmation militaire en porte témoignage.
Je crois qu'il faut vivre avec son temps et que l'Europe, dont le marché est de taille supérieure à celui des États-Unis, est en capacité de développer des usages d'Internet où elle aurait également des positions de leader. Du fait de son expérience totalitaire, l'Europe se distingue aussi par son souci des droits de l'homme, qu'illustre la prégnance en Europe du principe de l' opt-in (par opposition à l' opt-out pratiqué aux États-Unis), principe qui exige l'accord de l'internaute pour l'utilisation de ses données.
Quels sont les modes de gouvernance d'Internet ? La régulation par les États ou l'autorégulation par des organismes autoproclamés (comme l'ISOC) avec des courants libertaires et néolibéraux ? Rappelons que le réseau a été préfiguré pour servir à l'armée américaine, qui recherchait une architecture de communication à la fois robuste et qui ne comprenne pas de centre, en particulier pour résister à des attaques liées à la contestation même de conflits dans lesquels les États-Unis étaient engagés. Cette communication en réseau numérique a trouvé des formes dont l'histoire est encore récente et loin d'être stabilisée ; son architecture va nécessairement évoluer, sachant qu'en 2025, cinq milliards d'humains seront connectés, via leur mobile davantage que par connexion fixe. Cette masse d'équipement posera du reste des problèmes environnementaux, car les mobiles utilisent des ressources finies et que l'ensemble consomme de l'énergie. Surtout, comment conçoit-on la gouvernance dans cette perspective ? Les États-Unis vont-ils lâcher du lest ?
Il me semble qu'en France, nous manquons singulièrement d'ambition et de continuité dans l'action, notamment dans le lobbying. Le général de Gaulle a lancé le Plan Calcul et, depuis, il n'y a quasiment rien eu : on se souvient de Valéry Giscard d'Estaing disant que la France était coupée en deux, entre ceux qui avaient le téléphone et ceux qui attendaient la tonalité ; de François Mitterrand, affirmant qu'il n'avait pas besoin d'ordinateur, vu qu'il avait Jacques Attali ; de Jacques Chirac, plaisantant avec le mulot de son ordinateur... Les Français procrastinent au lieu de se donner les moyens de relever les enjeux. Nous n'avons pas de culture numérique : à l'école, l'anglais est enseigné dès la maternelle, mais le numérique est absent jusqu'en Terminale, et encore, c'est une option ! Nous abordons une nouvelle frontière numérique, sans se mobiliser du tout. Les citoyens doivent comprendre ce qu'est un algorithme, un référencement naturel, quels sont les impacts de la géolocalisation, pour avoir des choix éclairés.
La gouvernance d'Internet est donc un sujet transverse aux multiples enjeux.
Les racines ouvertes me paraissent une bonne chose, mais à la condition de les lier à une politique commerciale ambitieuse, ce qui n'est pas du tout le cas : il manque, ici encore, une impulsion véritable des pouvoirs publics.
M. Gaëtan Gorce , président . - N'emportent-elles pas un risque de « balkanisation » de l'Internet ?
M. David Fayon. - Non, elles organisent plutôt un itinéraire bis, des échanges de données qui ne dépendent pas des noms de domaines. On a vu les États-Unis « débrancher » l'Irak en fermant, au plus fort de la crise, la branche « .iq », il y a eu des actions également envers l'Égypte : ce pouvoir d'extinction d'internet sur une zone est disproportionné, on comprend la volonté de trouver d'autres modes d'organisation.
M. Gaëtan Gorce , président . - Vous qui avez écrit un livre sur la géopolitique de l'Internet, comment expliquez-vous qu'en Europe, et singulièrement en France, nous ayons manqué la dimension politique d'Internet, que nous y ayons si peu investi ?
M. David Fayon. - Je crois que nos élites ne sont pas du tout ouvertes au numérique : elles ne possèdent pas des notions aussi simples que le surf anonyme ou le peer to peer , elles ne savent pas même faire la différence entre le téléchargement et le streaming ... Cette analphanétisation est préoccupante...
M. Gaëtan Gorce , président . - La première cause serait donc culturelle ?
M. David Fayon. - Je le crois. Il faut dire qu'aucune cyberguerre n'a encore fait de morts. Il y a aussi qu'à l'échelon européen, les grands projets comme Quaero et Galileo n'ont pas abouti, faute d'investissement. Comparez les autoroutes de l'information lancées par Al Gore, avec le Grand emprunt lancé en 2009 sous Nicolas Sarkozy : ce n'est pas du tout la même échelle... Du reste, les seules entreprises françaises qui réussissent ont des noms anglo-saxons, comme Dailymotion ou Exalead...
On peut imaginer que les tensions géopolitiques soient accentuées par le numérique : rappelons que Taiwan produit le tiers des microprocesseurs dans le monde, ce qui rend envisageable un jour un choc sur la fabrication de ces puces.
Parmi les recommandations pour une politique numérique française et européenne, je dirais qu'il faut aider les entreprises à croître rapidement et développer les technopoles comme à Saclay ; il nous faut, en France, passer d'une logique cartésienne à une logique empirique, fondée sur les essais et les erreurs ; nous devons également miser sur des projets où l'Europe puisse être leader : le big data , l' open data , le web sémantique, les serious games , le cloud computing et l'Internet des objets ; nous devons, enfin, défendre les valeurs auxquelles nous sommes attachés.
M. Bruno Retailleau . - Il est important de distinguer deux notions, davantage que vous ne le faites : la puissance, qui consiste en la capacité, à travers des entreprises de taille mondiale, à définir les orientations d'Internet et à en prendre les bénéfices ; la gouvernance, qui consiste en un ensemble de règles dans une architecture donnée, et qui commande aussi bien les problèmes de souveraineté des États face à des agressions numériques de tous ordres, que la défense des libertés individuelles, des valeurs auxquelles nous sommes attachés. L'enjeu de la puissance fait poser cette question : pourquoi en Europe, et singulièrement en France, nous n'avons aucune grande entreprise d'échelle mondiale dans le numérique, donc aucune capacité d'orienter le développement d'Internet, alors que nous avons les compétences et les talents, en particulier mathématiques et algorithmiques ? La réponse est, me semble-t-il, à regarder du côté du modèle général de notre développement : dans une économie vieillissante, l'engagement dans la nouvelle économie est toujours difficile. Pour la gouvernance, la question est de savoir comment nous pourrions être le plus efficace pour, en quelque sorte, compenser notre retard : faut-il chercher d'abord à changer la structure d'Internet ? Cela me paraît particulièrement difficile et moins efficace, en fait, que de s'attacher à des projets comme un règlement européen sur les données personnelles, des règles pour la neutralité du net, ou encore une taxation européenne de l'activité sur le net : ces projets sont précis, probablement accessibles à l'échelon européen et national, et ils changeraient déjà beaucoup les choses.
M. David Fayon. - Modifier l'architecture du net, ce serait effectivement comme vouloir changer les roues d'une voiture en pleine vitesse... La fiscalisation du net est nécessaire : Facebook n'a acquitté que 171 000 euros d'impôts en France pour 2012, soit 0,1% de son résultat... quand les PME implantées sur notre territoire sont taxées à 33%... Un quart des noms de domaines sont réservés depuis des paradis fiscaux : c'est bien le résultat d'une optimisation fiscale. Cependant, la France pourrait difficilement prendre une action isolée sans risquer de voir les entreprises délocaliser davantage ; il faut donc rechercher un consensus européen. Le rapport Colin et Collin a fait des propositions intéressantes en la matière.
M. Bruno Retailleau . - Quelle vous paraît l'action possible pour défendre notre souveraineté numérique ? Et pour défendre les libertés individuelles sur le net ?
M. David Fayon. - Les exemples d'harmonisation européenne ne poussent pas à l'optimisme, il faut concilier des droits de traditions différentes, entre le common law anglo-saxon et le droit romain, avec cette difficulté propre au net qu'il faut y équilibrer les objectifs commerciaux et les libertés publiques : tout ceci n'est pas simple.
Mme Joëlle Garriaud-Maylam . - Est-il vrai que l'informatique n'est enseignée qu'à partir de la Terminale, en option ?
M. David Fayon. - Avant la Terminale, l'enseignement ne se soucie que de l'usage des machines, pas du tout de faire comprendre comment elles sont faites, sur quoi elles reposent. Pour aller plus loin, il faudrait plus de moyens à l'Éducation nationale, ou bien en prendre sur d'autres disciplines enseignées : un vrai casse-tête, d'autant que le recrutement et la formation continue des enseignants poseraient de vrais problèmes. En matière de formation, du reste, la France gagnerait à se « benchmarker » sur le modèle allemand et à encourager bien plus les moyennes entreprises.
M. Gaëtan Gorce , président . - Merci pour votre participation.
Audition de M. Bernard Stiegler, directeur de l'institut de recherche et d'innovation du Centre Pompidou
M. Gaëtan Gorce , président . - Nous recevons M. Bernard Stiegler, philosophe, directeur de l'Institut de recherche et d'innovation (IRI) - qu'il a créé au sein du centre Georges-Pompidou - et auteur de nombreux essais sur les enjeux sociaux du développement technologique, en particulier des technologies numériques. Quelle est votre analyse des bouleversements en cours, de leurs enjeux de gouvernance - et quelles sont les pistes qui, selon vous, sont les plus intéressantes à suivre pour notre pays ?
M. Bernard Stiegler. - Je commencerai par énoncer cette thèse que je défends depuis quelques années déjà : le web 2.0 est arrivé à sa limite, pour de nombreuses raisons - que je vous dirai, après quelques mots sur mon parcours et sur l'histoire d'Internet.
Je suis philosophe et mon activité professionnelle a toujours été liée au numérique ; j'ai ainsi, en 1987, organisé au Centre Pompidou la première grande exposition française sur le sujet, « Mémoires du futur », inaugurée alors par André Santini et qui a accueilli quelque 675 000 visiteurs, ce qui reste l'un des plus grands succès du Centre. J'ai ensuite poursuivi mes recherches sur la conception assistée par ordinateur, sur l'image numérique et sur l'innovation industrielle, notamment à l'Université de technologie de Compiègne.
Je me souviens qu'au séminaire que j'avais organisé, en 1989, à La Villette sur la télévision du futur - en particulier le D2 Mac Paquet, une norme mêlant analogique et numérique -, où les grandes marques qu'étaient alors Thomson, Grundig, Philips ou Panasonic étaient venues, aucun Américain n'avait cru utile de participer ; je m'en étais étonné et un ami américain, très au fait du numérique, m'avait alors expliqué que la télévision, c'était fini - et que les Américains abandonnaient ce marché, pour investir sur les microprocesseurs, où les perspectives étaient bien plus florissantes.
Le 30 avril 1993, l'Organisation européenne pour la recherche nucléaire (CERN) versait dans le domaine public le premier réseau Internet, que Tim Berners-Lee, Robert Cailliau et de nombreux Français développaient depuis plusieurs années ; ces chercheurs ont donné leurs découvertes au public, parce qu'ils considéraient avoir déjà été rémunérés pour leurs recherches effectuées dans le cadre de cet établissement public - largement subventionné par l'Europe - qu'était le CERN.
1993 est aussi l'année du rapport commandité par Al Gore, alors vice-président américain, sur les autoroutes de l'information et du lancement d'une nouvelle politique de soutien massif au numérique outre-Atlantique. Dès 1989, comme sénateur du Tennessee, Al Gore avait déjà affirmé que l'informatique était l'avenir industriel des États-Unis. Lisez ce rapport de 1993 : vous y verrez clairement décrite la voie qu'ont suivie depuis les États-Unis pour faire du web une invention américaine au service du développement américain.
L'histoire des deux décennies suivantes a des points communs avec celle du début du XXème siècle qui a vu les États-Unis asseoir sur le cinéma leur hégémonie mondiale, grâce à Hollywood. Le premier studio ouvre à Hollywood en 1912, alors qu'il n'y avait quasiment rien dans ce quartier de Los Angeles ; ce studio n'était peut-être qu'une baraque en bois, mais le Congrès américain n'en débattait pas moins du cinéma et de son importance pour l'économie américaine : « Trade follows films » , a déclaré un sénateur dans ce débat, Jean-Luc Godard fait cette citation dans son histoire du cinéma. En fait, l'économie américaine s'est organisée pour solvabiliser l'industrie du cinéma, pour asseoir sa puissance - et en retour, par ce soft power , conforter la puissance américaine elle-même.
Nous vivons depuis quelque temps une nouvelle inflexion, avec le passage du soft power au smart power , qui s'adresse d'abord aux jeunes générations et qui passe par le développement systématique du numérique : nombre d'innovations viennent d'Europe ou d'Asie, mais c'est aux États-Unis qu'elles trouvent leur développement, parce que le gouvernement américain met tout en oeuvre pour qu'elles s'y épanouissent. Le CERN est européen, la France est l'un de ses principaux soutiens, mais le web est devenu américain ; le mode de transfert asynchrone (ATM), qui permet de transférer simultanément sur une même ligne des données et de la voix, a été inventé à Issy-les-Moulineaux, au Centre national d'études des télécommunications (CNET), mais il a trouvé outre-Atlantique son application industrielle.
Le développement a pu se réaliser dans certains États européens, mais c'est rare : c'est l'exemple de la Finlande, avec Nokia. Quand l'URSS s'effondre, l'économie de la Finlande est à terre, mais la chance de ce pays, c'est que France Telecom n'a pas utilisé le brevet du GSM - ce qui a permis à Nokia de se développer et à la Finlande de devenir l'un des pays les plus avancés au monde, qui a misé sur l'enseignement et l'intelligence humaine.
L'hégémonie américaine est donc fondée sur l'intelligence européenne et asiatique, ce sont bien des inventions extérieures que les États-Unis développent à l'échelle industrielle ; et le smart power constitue le nouveau programme, théorisé par Mme Hilary Clinton et par M. Barack Obama - pour une maîtrise numérique complète du monde, y compris au moyen de drones qui sont des machines à tuer hors-la-loi, le tout étant fondé sur le big data. Le numérique a ainsi intégralement redéfini les axiomes de la politique américaine ; les entreprises du secteur ont été quasiment dispensées d'impôts, le but étant qu'en dominant le numérique, les entreprises américaines orienteraient l'économie mondiale dans le sens des intérêts américains : pari largement réussi. La conséquence, pour les autres États, ne s'est pas fait attendre longtemps : une perte fiscale colossale, qui, comme l'ont noté MM. Colin et Collin, ne va pas cesser d'augmenter à mesure que les grandes entreprises vont robotiser davantage le travail. Voyez ce que fait Amazon qui, après avoir exploité sans vergogne de la main d'oeuvre bon marché, après avoir poussé les limites jusqu'à frôler l'esclavagisme, remplace désormais cette main d'oeuvre par des robots et bientôt des drones - Amazon a demandé des couloirs de vol aux États-Unis, pour livrer à domicile non seulement des disques et des livres, mais aussi les courses alimentaires et ménagères ; à ce rythme, que restera-t-il de notre grande distribution, d'un Promodès, par exemple ? Que restera-t-il de l'édition française ? Les éditeurs que je connais ne se font guère d'illusions...
Or, avec un chercheur comme Frédéric Kaplan, de l'École polytechnique fédérale de Lausanne, nous sommes plusieurs à dire que ce modèle a atteint ses limites. Non seulement par désaffection vis-à-vis du « Big Brother » qu'Edward Snowden a révélé - précédé de longue date par les hackers , ces passionnés du développement numérique qui vivent et militent pour un autre modèle de société, ce qui n'empêche pas certains de travailler pour les services secrets... Mais ce modèle atteint ses limites parce que, dans le fond, le web a été conçu pour créer un espace de débat entre scientifiques et savants, pour débattre d'idées, parce que la science se nourrit de controverse, ce qui est vrai également pour le droit, qui se nourrit d'interprétation : la jurisprudence est créatrice de droit. Du reste, le peer to peer n'a pas été inventé à l'ère numérique, mais dans l'Antiquité grecque - avec Thalès, pour qui tous les géomètres sont égaux devant la géométrie, et qui a fondé la citoyenneté.
Le web a été inventé dans le but de dialoguer, de s'informer, mais il est devenu le principal vecteur du business mondial, au service des États-Unis : c'est le résultat des milliards de dollars qu'a investi l'armée américaine dans le numérique - avec pour conséquence une transformation de cet outil initialement conçu pour la controverse, pour le savoir. Le World Wide Web Consortium (W3C), fondé par Tim Berners-Lee lui-même en 1994 et dirigé depuis par lui, a d'abord très bien réussi à gérer les normes d'Internet - puis il a fait les frais du lobbying américain, pour se placer finalement au service du plan d'Al Gore.
Le web 2.0 atteint ses limites, car l'opinion publique se retourne, on le voit avec Facebook : ce qui était positif devient négatif ; le système atteint ses limites parce que, comme le montre Frédéric Kaplan, il est devenu entropique : dès lors que les annonceurs ont pris le dessus sur les contributeurs du réseau, la hiérarchie sémantique qui commande les moteurs de recherche devient toujours plus étroite, le langage lui-même s'appauvrit, et avec lui l'orthographe - et à mesure que la dysorthographie se répand, voyez comment on écrit aujourd'hui les mails, les moteurs de recherche eux-mêmes perdent en précision et pourraient devenir parfaitement inefficaces, saturés par leur propre entropie.
À mon échelle, comme enseignant, je cherche une réponse du côté des cours en ligne ouvert et massif (les MOOCs, de Massive open online courses) , ou plutôt dans ce que les Canadiens appellent les POOCs, les cours en ligne participatifs ; au millier d'élèves qui suivent mon cours en ligne, je demande de prendre des notes puis de les reporter sur un logiciel d'analyse, en indexant des éléments de compréhension, de commentaires, de clés... autant d'outils pour un index et des catégorisations aux mains de la communauté des internautes, au service de cette aspiration au débat qui motivait les créateurs d'Internet.
À l'échelle de notre pays, et de l'Europe, nous devons mesurer combien pendant toutes ces années où les États-Unis déployaient leur nouvelle politique industrielle fondée sur le numérique, aucun politique ni aucun responsable économique ne s'est véritablement mobilisé. L'État américain engageait des milliards, mais en France, nous mettions à terre les outils d'investissement à long terme, comme le Commissariat général au Plan, installé par le général de Gaulle. Je crois qu'il est grand temps qu'entre Européens, qu'au moins entre Français, Allemands et Britanniques, on puisse se dire que l'Europe est très mal partie, que son industrie autant que ses revenus fiscaux vont connaître des jours de plus en plus sombres et que le chômage va continuer à croître à mesure de l'automatisation de tous les services qui emploient aujourd'hui encore beaucoup de main d'oeuvre - la manutention, le transport : demain, tous ces services seront automatisés ! Et je crois que sur ce sombre diagnostic, il est aussi grand temps - et possible - de jeter les bases d'une nouvelle économie, fondée sur un nouveau web, européen celui-ci et doté de nouvelles règles. Un chercheur du MIT me disait qu'il travaillait sur la notice « Palestine » de Wikipedia : un objet limité en apparence, mais qui en dit très long sur les enjeux de la production du savoir sur Internet, puisque les changements quotidiens de la notice ne sont pas traçables ; avec une traçabilité des contributions, c'est l'herméneutique qu'on réintroduit, donc le débat sur les sources et finalement la diversité des savoirs elle-même, avec des enjeux scientifiques aussi bien qu'éditoriaux. Au lieu de quoi, l'Europe ne produit que des grand-messes où l'on ne fait rien d'autre qu'accompagner le marché...
M. Gaëtan Gorce , président . - Le paradoxe, cependant, c'est que pour encourager le nouveau web, vous en appeliez à rétablir des outils anciens comme le Plan... L'État est pourtant en retrait un peu partout...
M. Bernard Stiegler. - Sauf aux États-Unis : l'initiative est venue du sommet, et le financement, de l'armée... Il y a bien 52 États, avec des différences très fortes, y compris dans le droit, mais l'État fédéral américain est là pour les grandes orientations, pour la prospective - alors que l'Union européenne en est parfaitement incapable, parce qu'elle ne résiste pas aux lobbies, j'ai vu de près ce qu'il en était...
M. Gaëtan Gorce , président . - Les Américains seraient-ils en avance ? Comment voyez-vous l'évolution des forces en présence ?
M. Bernard Stiegler. - Je ne crois pas que les Américains soient en avance. Je connais bien les dirigeants de Google, pour les avoir eu en formation, et je crois qu'ils se trompent en investissant comme ils le font dans la robotique - en particulier dans la Google car : je sais que Renault suit, mais cela ne change rien à l'erreur... et c'est même pire pour nous, car suivre l'exemple d'un étranger, c'est comme être colonisé... D'un autre côté, Mme Pellerin annonce un plan de 20 milliards pour faire des infrastructures de très haut débit : c'est une catastrophe, car nous allons créer, à grand renfort d'argent public, des infrastructures que Google va exploiter, sans politique cohérente pour développer nos entreprises du numérique ! Aux États-Unis, c'est tout l'inverse qui se produit, avec une armée qui finance de grandes commandes, de la recherche aux applications, et un État qui facilite le développement des entreprises du secteur. L'Europe doit reconstruire ses capacités productives, c'est nécessaire, ou bien la crise de confiance qui s'annonce sera catastrophique.
M. Gaëtan Gorce , président . - À cette aune, les réformes visant la protection des données personnelles paraîtront de second ordre...
M. Bernard Stiegler. - Certes, mais ces mesures sont utiles.
M. Gaëtan Gorce , président . - Merci pour votre analyse.
Mardi 24 février 2014
Présidence de M. Gaëtan Gorce, président. -
Audition de MM. Bertrand de La Chapelle, directeur du projet Internet et juridictions et David Martinon, représentant spécial pour les négociations internationales sur la société de l'information et l'économie numérique
M. Gaëtan Gorce , président . - Je vous remercie, monsieur de La Chapelle, d'avoir répondu à notre invitation et ne doute pas que M. David Martinon, que nous pensions entendre après vous mais qui est déjà parmi nous, sera attentif à vos propos. Nous attendons de vous un éclairage sur la place de l'Europe dans la gouvernance de l'Internet. Vous êtes engagé sur ces sujets depuis des années et connaissez bien l'ICANN pour avoir longtemps siégé au sein de son conseil d'administration. Si l'on voit tout l'intérêt de développer des mécanismes multiacteurs, nous aimerions vous entendre préciser votre analyse de la situation. Car les États-Unis demeurent surpuissants dans l'univers numérique, et l'on est en droit de s'interroger sur les moyens d'équilibrer les relations. Comment rétablir la balance, juridiquement et éthiquement, pour nous permettre de traduire dans les faits le volontarisme qui est le nôtre ?
M. Bertrand de La Chapelle - Restée longtemps confinée à un débat entre les opérateurs techniques, la question de la gouvernance de l'Internet a, au cours des dernières années, pris rang en première ligne sur l'agenda international. Mais derrière ces termes, nous ne mettons pas tous la même chose. Il convient de distinguer clairement entre deux notions, la gouvernance de l'Internet, qui touche aux infrastructures, et la gouvernance sur l'Internet, qui touche à la protection de la vie privée et à la liberté d'expression. Quel est le paysage actuel ? Alors que la gouvernance des infrastructures, constituée en un écosystème de gestion, fonctionne plutôt bien, la gouvernance sur l'Internet, désormais enjeu principal, est devenue source de tensions entre les institutions internationales et lieu de confrontation des législations nationales, qui forment un patchwork . L'expression même se comprend différemment selon la langue dans laquelle elle se donne. En français, prévaut l'idée que l'on influe de l'extérieur sur quelque chose, quand l'expression anglaise, Internet governance , emporte la manière spécifique dont l'Internet se gouverne. Lorsque l'on parle, en français, de gouvernance de l'Internet, on néglige cette distinction et le fait que l'Internet relève de modes de gouvernance différents, appelant des modes de coopération inédits. De ce point de vue, si l'Union européenne représente un acteur important, il est aussi d'autres acteurs, d'autres vecteurs, comme le Conseil de l'Europe ou l'OCDE - pour ne parler que des organisations intergouvernementales les plus importantes. Si donc la France entend peser dans le débat, elle ne doit pas user du seul canal européen.
L'intitulé de votre mission commune invoque une « nouvelle stratégie » : c'est poser la question de la vision. Que veut-on pour l'avenir, sachant que ces dernières années, les résultats n'ont peut-être pas été à la hauteur des espoirs ? Cela fait maintenant quinze ans que je réfléchis à cette question, combien complexe, de la stratégie, et je n'ai pas la prétention de définir ici, en quelques minutes, ce qu'elle pourrait être. Ce que je puis faire, en revanche c'est, à partir d'un sujet transversal, tenter de montrer comment réfléchir à une stratégie. L'architecture de l'Internet est faite de couches, elle est distribuée et elle fonctionne par la coopération d'un grand nombre d'acteurs. Les modes de gouvernance de l'Internet doivent être organisés de la même manière. Dire que la stratégie doit être distribuée, c'est dire qu'elle ne saurait être unique : il pourra y avoir des stratégies différentes selon les sujets. Celui auquel je m'attacherai, le traitement des données, souvent abordé sous l'angle de la protection de la vie privée, touche aussi au big data , à l'économie des données, à l'économie du partage. Il est au coeur de l'actualité, parce que les événements liés à la surveillance des États ont jeté sur lui un coup de projecteur ; parce qu'un projet de règlement européen sur la protection des données personnelles est en préparation ; parce qu'enfin la création de valeur attachée à la collecte et au traitement des données est devenue centrale. Et cela exige un saut conceptuel. Si révolution numérique il y a, elle est sous-tendue par la question de la collation des données, dont la croissance est exponentielle, et de l' open data : comment exploiter les données pour en tirer des bénéfices sociaux ou économiques ?
Je l'ai dit, ce sujet est aujourd'hui largement traité sous l'angle de la protection des données privées. Le coup de projecteur de l'actualité s'est focalisé sur le comportement des États - voir l'affaire Snowden, qui pose la question de l'application extraterritoriale de la souveraineté d'un pays par un effet de levier sur les opérateurs basés sur son territoire. Mais ce n'est pas parce qu'un conducteur fait un excès de vitesse qu'il faut incriminer l'autoroute.
À la suite de l'affaire Snowden, qui a provoqué un réel sentiment d'humiliation en Europe, on a vu émerger la notion de souveraineté numérique, que le rapport de Mme Morin-Desailly a abondamment traitée. Cette notion, cependant, est à double tranchant. S'il est parfaitement légitime qu'un État exerce sa souveraineté et si, sans souveraineté des États, il n'est pas de gouvernance possible, reste que certaines interprétations de la notion de souveraineté numérique pourraient avoir des conséquences négatives. L'affaire Snowden nous a appris que l'exercice de la souveraineté nationale sur un opérateur basé sur le territoire d'un Etat n'est pas sans effets sur les acteurs des territoires voisins. Voilà qui n'est guère conforme à la théorie classique des relations internationales, dans laquelle la souveraineté implique une séparation claire des responsabilités et des autorités en fonction des territoires, avec pour corollaire le principe de non-ingérence. Il est clair que dorénavant, une décision nationale a des impacts transfrontaliers, de même que ce qui se passe en amont d'un fleuve a des effets en aval, hors toute considération de frontière.
Or, sur cet état de fait, la réflexion n'a pas été conduite. Seule peut être mentionnée une recommandation émise par le Conseil de l'Europe fin 2011, qui établit le principe de responsabilité d'un État pour les dommages transfrontaliers potentiellement causés à un autre. Ce principe pourrait trouver à s'appliquer dans le monde numérique, où les effets extraterritoriaux justifient que le principe de souveraineté de s'applique pas de la même façon qu'ailleurs. Sans parler des plates-formes, territoires numériques transfrontières, espaces partagés, qui sont le coeur du bénéfice de l'Internet. Dès lors que nous gérons des espaces communs, nous ne sommes plus dans une logique de séparation des souverainetés, mais bien de co-souveraineté, de coresponsabilité. Méfions-nous donc de notre propension à renouer avec le cadre familier de la frontière ; pousser trop loin la logique de souveraineté, notamment en militant pour des clouds nationaux, pourrait nous faire perdre une bonne part des bénéfices que le partage des infrastructures et le cloud peuvent apporter. Certes, les abus constatés ne sont pas admissibles, mais préconiser, pour y remédier, la relocalisation des données et le cloud national reste une vue de court terme, qui pourrait provoquer une fragmentation, source de dommages irréparables à long terme.
Au regard de quoi - et c'est une réflexion que le groupe de travail du Conseil d'État sur l'Internet et les droits fondamentaux auquel je participe a engagée - on peut se demander si notre cadre légal relatif à la protection des données, apparu dès 1978, et très novateur à l'époque, ainsi que la directive de 1995, sont toujours adaptés. Pour moi, ils ne le sont plus. Face à la diversité nouvelle des données collectées, on ne saurait se contenter d'un régime de protection uniforme. Le type de protection ne peut être le même pour des données de carte bancaire, de santé, et pour un twitt ou un post anodin sur Facebook. Ce serait une erreur que de considérer qu'en droit, tout doit relever du même mécanisme.
Du même coup, on est fondé à s'interroger sur le terme même de collecte. Une chose est de solliciter des données bien spécifiées, autre chose est de collecter, sur une plateforme, des données adressées par des individus à d'autres individus. Le terme de traitement, lui-même, perd son univocité. Il existe désormais, avec le big data , une multiplicité de traitements, qui n'emportent pas les mêmes conséquences. Sans doute est-ce pousser un peu loin l'analogie, mais la pratique d'une plate-forme qui analyse le contenus des messages postés par les internautes pour envoyer des bandeaux publicitaires adaptés n'est pas si différente de celle qui consiste, pour une régie publicitaire, à sélectionner les supports qu'elle va retenir dans une campagne. Dans un cas comme dans l'autre, on est dans un régime de ciblage, pour autant que l'on s'en tienne à un traitement automatisé. Là où commence l'abus, c'est lorsque l'on en vient à procéder à des recherches personnelles, identifiées.
Le terme de traitement peut aussi s'appliquer lorsque l'on donne accès à une base de données pour une requête spécifiée, sans pour autant que la base soit transmise. C'est une problématique que l'on connait à l'ICANN, avec le Whois, la base de données qui enregistre les détenteurs de noms de domaine, et qui suppose que l'on ouvre des modalités d'accès différenciées, pour concilier les usages requis et la protection de la vie privée.
L'enjeu est important, parce que si, dans la réglementation française et européenne, le curseur penche trop vers la protection des données privées, on risque de mettre l'équilibre en péril et de brider ce potentiel de création de valeur inédit que représente le croisement des données. Il me paraît donc dangereux de penser que notre stratégie doive consister à empêcher la sortie des données. La gageure est bien plutôt d'éviter que les données qui sortent soient mal traitées. Une stratégie qui, à l'inverse, viserait à promouvoir en Europe un régime de cloud étendu, susceptible d'attirer d'autres pays, comme le Brésil ou l'Inde, serait le moyen de préserver le potentiel de valeur tout en évitant un mésusage des données. La collecte de données publiques ou sur objets connectés, pour leur exploitation en open data et via des mécanismes de croisement, va devenir source de valeur économique et sociale : c'est cela qu'il faut faciliter.
Il convient donc de traiter la question de la gouvernance de l'Internet sujet par sujet, en se méfiant de notre tendance naturelle à revenir vers les cadres traditionnels. Ainsi, l'expression de « souveraineté numérique » peut-elle induire l'idée qu'il faudrait réimposer une territorialisation sur un espace dont le bénéfice principal est d'être transfrontière. Chaque sujet a de multiples dimensions, y compris économique et sociale ; ainsi, le régime de la vie privée ne peut être dissocié de l'économie des données. Or, s'il existe des espaces de discussion pour la gouvernance des infrastructures, il n'est aucun cadre international, mettant en présence l'ensemble des acteurs, pour traiter ces questions. Ce devrait être une ambition majeure pour l'Europe que de contribuer à la discussion en cours, en mettant l'accent non sur la gouvernance de l'Internet mais bien sur les mécanismes de gouvernance de l'Internet. La peur et l'émotion sont mauvaises conseillères : « le pessimisme est d'humeur, l'optimisme est de volonté » disait Alain. Si l'on sait ce que l'on veut obtenir, on le peut. Ne renonçons pas, car l'Europe a, sur ces sujets, son mot à dire.
M. Gaëtan Gorce , président . - Gramsci parlait plutôt de « tempérer le pessimisme de l'intelligence par l'optimisme de la volonté »....
M. Bertrand de La Chapelle - Lequel a copié l'autre ? Il y a débat... (sourires).
M. Gaëtan Gorce , président . - La gouvernance des éléments techniques - noms de domaines, protocoles, gestion des paquets - serait, à vous entendre, satisfaisante dans l'ensemble. Il n'y aurait pas mainmise d'un État ou d'une puissance économique sur ces dispositifs. Mais la gestion technique emporte des conséquences juridiques, ainsi que vous l'écrivez vous-même dans un article : l'attribution des noms de domaine a pour conséquence l'application de prescriptions techniques et juridiques. Par définition, c'est le droit américain qui s'applique, sur des territoires et à des citoyens qui se trouvent entraînés dans une logique juridique qui n'est pas la leur, sans que des droits leur soient reconnus. Comment éviter un tel glissement ? Comment l'Europe, ayant défini son niveau de protection, peut faire en sorte que ses règles s'appliquent et que les conflits de droits ne tournent pas à son détriment ?
M. Bertrand de La Chapelle - L'existence d'une instance gérant le nommage a permis une croissance sans heurts de l'Internet, qui compte jusqu'à trois milliards d'utilisateurs. Cela ne veut pas dire pour autant que le système soit parfait. Pour avoir siégé au sein du conseil d'administration de l'ICANN et représenté la France au sein de son conseil gouvernemental, j'estime que le système peut être amélioré sur deux points. Les mécanismes de recours, tout d'abord, restent insuffisants. Un rapport interne a d'ailleurs récemment été publié qui préconise une évolution. Le deuxième sujet de préoccupation tient au rôle de la NTIA ( National Telecommunications and Information Administration ) dans la chaîne de validation des modifications de la racine. Il est clair qu'une évolution devra intervenir dans les années qui viennent. Les acteurs ont bien conscience que le statu quo ne saurait durer, car faire confiance à la responsabilité d'un seul pays est politiquement et symboliquement difficile vis-à-vis des autres. Mais de fait, cette question a fait diversion, elle a été ce que l'on appelle en anglais un red herring , car elle a focalisé l'attention des acteurs sur un point en apparence fondamental, mais en réalité de peu de conséquence. Car la vraie question, et c'est là que je vous rejoins, n'est pas tant celle du contrôle du gouvernement américain sur les opérateurs que celle de la prévalence du droit américain sur le système et les localisations. C'est le résultat d'un mécanisme cumulatif. Si les États-Unis ont réussi à développer l'ensemble de ces opérateurs, c'est grâce à un processus d'investissement de long terme, qui a fait boule de neige. Or, si une stratégie politique peut changer du jour au lendemain, une stratégie construite sur une infrastructure économique ne change pas aussi facilement.
Je le dis au risque de faire bondir la CNIL, quelqu'un qui aurait voulu monter Facebook en France ne l'aurait jamais pu : l'application rigide des règles relatives aux données personnelles ne le lui aurait pas permis. Le sénateur Gattolin, lors d'une précédente audition, demandait si les normes sont susceptibles de freiner l'innovation. C'est bien là le coeur du problème. Si le droit américain prévaut, c'est parce que les opérateurs sont basés aux États-Unis. Notre cadre réglementaire doit prendre en compte cet impératif : c'est dans l'économie des données que se créera désormais la valeur. On créera de la richesse en exploitant des données, et je ne pense pas seulement à leur exploitation commerciale, mais aussi à leur valorisation sociale. Si notre architecture normative ne le prend pas en compte, on ne se sera pas attaqué à la racine du problème.
La question de l'harmonisation est, elle aussi, fondamentale. Le projet que je conduis, Internet et juridiction, vise à faciliter le dialogue international afin de dénouer les tensions entre les grandes plates-formes, les grands opérateurs et le patchwork des législations nationales. Internet a été conçu pour être global. Son ADN est prévu pour être, non pas sans frontière comme on l'entend souvent dire, mais transfrontière. C'est ce qui caractérise le réseau, et pose du même coup la question de l'interconnexion de systèmes hétérogènes, et surtout de la coexistence de normes hétérogènes. Harmoniser ? Mais on a déjà du mal à s'entendre entre voisins ! Il s'agit, bien plutôt, de trouver un modus vivendi . Si l'Europe veut devenir une puissance normative, elle doit élaborer un régime qui ait un effet de levier sur des opérateurs tiers. On peut même aller plus loin - voyez la convention cybercriminalité du Conseil de l'Europe, qui entend s'étendre au-delà du périmètre des États voisins.
Les conditions d'utilisation ( terms of service ) des très grandes plates-formes comme Twitter, Google ou Facebook sont devenues très génériques. Inspirées à l'origine par la philosophie du Premier amendement, qui veut que seule la parole réponde à la parole et autorise une liberté d'expression sans limite, elles ont, au cours des cinq dernières années, à cause des frictions que cela entraînait avec d'autres droits, dont le nôtre, intégré des notions qui sont extrêmement proches du droit français. Si des puissances comme l'Europe, les États-Unis, le Brésil, et les grandes plates-formes parviennent à mettre en place, grâce au dialogue, des régimes susceptibles de gérer les conflits normatifs, avec des règles de procédure rigoureuses et conformes aux exigences qui sont les nôtres, alors ces normes se propageront via ces plates-formes, si bien que, paradoxalement, même dans les pays dont le régime est répressif, la protection des citoyens y gagnera. Il y a de facto un intérêt conjoint à faire que les règles européennes induisent une évolution des conditions d'utilisation, qui contribuera ainsi à diffuser les valeurs européennes.
Mme Catherine Morin-Desailly , rapporteure . - Je vous remercie d'avoir mis l'accent sur la notion de souveraineté. Sachez que les questions que j'ai soulevées dans le rapport que vous avez cité n'entendaient ni inciter à un repli sur l'Europe ni ranimer la nostalgie du monde ancien. Craindre l'effacement n'est pas céder à la tentation du repli. Nous avons conscience que nous sommes entrés dans une ère nouvelle. Le nouveau monde économique et social que vous avez évoqué, cependant, se bâtit de telle façon que certains acteurs peuvent devenir monopolistiques. Il est légitime de se poser la question du partage de la valeur. Je vous rejoins quand vous dites que nous devons écrire cette nouvelle page avec d'autres partenaires, comme les Brésiliens ou les Indiens.
Si l'intitulé de cette mission retient les termes de « nouvelle stratégie », c'est que nous sommes à la croisée des chemins et que certains, comme nos amis allemands, mais aussi les Brésiliens, se posent les mêmes questions que nous. Nous sommes au lendemain de la conférence de Montevideo qui a vu, pour la première fois, les membres de l'ICANN s'offusquer de la mainmise américaine sur les organisations dites techniques. Nous n'avons pas le sentiment que l'ICANN gère des questions exclusivement techniques. Vous y avez longtemps siégé, quel est votre sentiment ? Trouvez-vous légitime la revendication d'une gouvernance multiacteurs au sein des organismes gestionnaires ? Vous avez évoqué la nécessité de nouveaux mécanismes de régulation. En avez-vous identifié qui aient des chances d'aboutir au niveau européen et mondial ?
M. Bertrand de La Chapelle - Certains acteurs comme la Russie ou la Chine ont fait de leur segment internet national un cheval de bataille et militent, dans le débat international, pour une reterritorialisation ; d'où la nécessité d'user du terme de souveraineté avec précaution. D'autant que des intérêts économiques non négligeables sont en jeu, et que des opérateurs de cloud peuvent être tentés de pousser leur stratégie. Nos acteurs, nos autorités publiques ne font pas le poids face aux puissances financières de la cybersécurité - les lignes Maginot de l'Internet. Les moyens consacrés à la coopération entre acteurs sont, au regard de cela, infinitésimaux. Certains de mes collègues anglais se battent pour obtenir des autorisations de mission afin de participer aux réunions internationales, quand dans le même temps, les équipes dédiées à la cybersécurité voient décupler leurs effectifs. C'est regrettable !
Avec l'EuroDIG, le forum sur la gouvernance de l'Internet, les Européens disposent d'un instrument de dialogue. J'ajoute que nous organiserons pour la première fois un forum de l'Internet français, le 10 mars, au Conseil économique et social. Il est bon que les acteurs publics encouragent la participation à de tels espaces.
Le partage de la valeur ? Certes, il faut être vigilant sur l'abus de position dominante, mais comprenez bien que le monde numérique est fondamentalement structuré par une loi de puissance : son marché se constitue naturellement, dans chacune de ses tranches, autour de quelques acteurs dominants, et la bataille conduit à intégrer encore davantage, pour obtenir des effets de masse plus importants encore. La question centrale, et qui reste mal maîtrisée, s'agissant de la neutralité du net, est celle des magasins d'applications. C'est là qu'il peut y avoir abus de position dominante, selon qu'ils sont ouverts ou fermés.
Alors que la discussion internationale s'accélère sur ces sujets, des panels ont été constitués - l'un est piloté par le président estonien, Toomas Ilves, l'autre par Vinton Cerf, que vous avez entendu - sur l'écosystème de gouvernance et le futur de la coopération. Ce qui émerge, c'est, tout au contraire de l'idée d'une gouvernance univoque de l'Internet, l'idée que l'on peut développer des mécanismes de coopération renforcée regroupant, sur des sujets bien identifiés, les acteurs concernés - même s'il est vrai qu'ils ne le sont pas tous, selon les sujets, au même degré : dans l'oeuf au bacon, la poule ne fournit que l'oeuf quand le cochon y va de sa peau ! Les réunions comme le Forum sur la gouvernance de l'Internet sont autant d'occasions d'identifier un sujet et de le cadrer. Quand une préoccupation commune a été identifiée, vient le moment de définir en commun une méthode de travail et des objectifs, en se donnant la possibilité de travailler en groupe plus restreint pour rédiger une proposition de recommandation. Tout l'enjeu est de faire en sorte que le groupe multiacteurs soit suffisamment légitime, représentatif des différents intérêts en présence, pour produire une recommandation. Reste enfin posée la question de la validation. La recommandation du Conseil de l'Europe que j'évoquais tout à l'heure a été adoptée par le Conseil des ministres, mais préparée par un groupe multiacteurs de cinq personnes dont je faisais partie.
Telle devrait donc être la méthodologie, même si l'on n'en est encore qu'à un stade embryonnaire : définition d'un agenda, identification des acteurs et constitution d'un réseau de gouvernance par sujet, élaboration d'un projet de recommandation, validation. L'Internet a été construit par un protocole d'interconnexion entre des réseaux hétérogènes ; le world wide web a été construit par un protocole assurant l'interconnexion de bases de données hétérogènes ; nous avons aujourd'hui besoin d'un métasystème et de principes qui permettent l'interopérabilité de systèmes de gouvernance hétérogènes. Il y a beaucoup à inventer, mais je suis confiant et je crois que les choses vont se décanter dans les prochaines années.
M. André Gattolin . - Je viens du monde de la publicité, de la presse et des sondages, et l'analogie que vous avez faite tout à l'heure entre une campagne publicitaire classique et la technique dite de pushing sur Internet m'a fait bondir. Quiconque a lu les quinze pages du formulaire de consentement de GMail - ce qu'évidemment personne ne fait - en ressort édifié. Nos échanges de courriels personnels sont analysés pour y identifier des mots clés qui serviront aux annonceurs. Que je parle dans un mail à ma fiancée de bague, et Google fera apparaître sur mon ordinateur un bandeau publicitaire pour des bagues de fiançailles. Belle confidentialité des échanges ! Pour avoir travaillé au Canada, avec l'hôpital de Montréal, sur un projet de recherche lié à la santé mentale, je puis vous dire que les contrats de consentement liés à la recherche sont autrement protecteurs des droits des individus, et de leurs proches. Même chose, en France, pour les données liées au recensement : on ne peut formuler des requêtes sur des données trop précises, comme le nombre de propriétés de plus de tant d'hectares sur une zone, dès lors qu'elles permettent une identification. Pour moi, la seule enquête légitime sur les données individuelles est l'enquête de police, pour les incriminations de pédophilie, ou de propos antisémites, par exemple. Tout autre chose est d'agréger, de sa propre initiative, des données personnelles comme le font les grands acteurs du web . Si le scandale de la NSA a été possible, ce n'est pas parce que l'État américain exerce un contrôle sur les majors de l'Internet, qui se sont, de fait, librement développés, mais parce que la contrepartie à l'évasion fiscale qu'ont organisée ces sociétés a été, pour l'administration fiscale américaine, le privilège de l'information sur certaines données.
Vous nous avez décrit un monde pur et parfait de l'Internet transfrontière, mais faut-il rappeler que la Chine pose plus de barrières qu'on ne croit, et qu'on a vu de grands opérateurs, que vous nous avez décrits comme des héros de la neutralité, se plier à ses exigences...
Certes, il y a une dimension transfrontière de l'Internet, mais quand on atteint les agrégats des utilisateurs, il faut en venir à une fragmentation - pas nécessairement territoriale - si l'on veut que les choses restent gérables, y compris du point de vue technologique. Et je ne sais si l'on pourra longtemps partir des principes de neutralité et d'universalité. Au reste, la culture de l'Internet reste très occidentalo-centrée et dès lors qu'une partie de la planète n'est pas gouvernée selon les mêmes principes, il n'est pas sûr que ce nouveau média termine dans l'état de liberté qui l'a inauguré.
M. Bertrand de La Chapelle - La dernière fois que vous avez signé un contrat d'assurance, vous l'avez intégralement lu ?
M. André Gattolin . - Je suis très pointilleux... (sourires)
M. Bertrand de La Chapelle - Plaisanterie mise à part, vous comprenez ce que je veux dire. Il existe, sur Internet, un système de contrôle des contrats d'adhésion - tel est le terme approprié, car les conditions d'utilisation ne sont pas négociées entre la plate-forme et l'utilisateur. Le mécanisme qui prévaut pour ce type de contrats, comme ceux que l'on signe pour un prêt bancaire, c'est une combinaison de règles de droit assortie d'un contrôle par les associations de consommateurs. Or, je le reconnais, les conditions d'utilisation des plates-formes sont aujourd'hui écrites unilatéralement, sans feed back . On peut les faire évoluer par le rapport de force, mais pas seulement. Lors d'une réunion à Stanford organisée par Internet et juridiction, un intervenant a fait observer que ces conditions d'utilisation sont devenues la loi du territoire numérique transversal qu'est l'Internet. Ce qui, à l'origine, était produit dans les arrières bureaux des départements juridiques de ces sociétés et ne se voulait qu'un parapluie - l'anglais parle de « cover your ass policies » - est devenu la Constitution de nos espaces transnationaux, qui couvre des millions d'utilisateurs. C'est, à mon sens, par un mixte de pression et de dialogue que l'on influera sur ces instruments, qui, régissant l'essentiel de l'activité sur Internet, peuvent être un outil d'harmonisation.
Je suis d'accord avec vous, l'exploration des échanges de mails doit faire l'objet d'une régulation, assortie de sanctions en cas de manquement avéré. Mais eu égard à la diversité des données échangées, les régimes de protection méritent, comme je le disais tout à l'heure, d'être différenciés.
M. André Gattolin . - Les postes canadiennes viennent de décider la suppression de la distribution du courrier... Si l'on ne dispose plus, un jour, que des mails comme mode d'échange interpersonnel, il faudra être plus que vigilants !
M. Bertrand de La Chapelle - Vous avez parlé de fragmentation. Ce terme est de ceux dont le sens est devenu très flou. La taille du cyberespace devient telle que l'on en viendra, j'en suis convaincu, à une structuration en termes de scripts, autour de grandes plates-formes, selon la nature des caractères - chinois, arabes, cyrilliques, romains... Et cette structuration ne sera pas une fragmentation si chacun peut aller, sans exclusive, dans chacune des parties.
M. Gaëtan Gorce , président. - Il me reste à vous remercier. Je me tourne à présent vers M. David Martinon. Nous aimerions savoir à quel point nous en sommes dans la négociation internationale. Comment faire pour que soient respectées les règles de confidentialité auxquelles nous sommes attachés ? Que peut proposer l'Europe à la Conférence de Sao Paulo ?
M. David Martinon, représentant spécial pour les négociations internationales sur la société de l'information et l'économie numérique. - Le tableau que vient de dresser Bertrand de La Chapelle est exhaustif, et je n'y reviendrai pas, sinon pour dire que je n'en tire pas nécessairement les mêmes conclusions que lui. Il est cependant un sujet sur lequel je le rejoins. Lorsque nous avons préparé la séquence de négociation qui s'ouvre pour quelque dix-huit mois, nous avons entrepris, pour essayer d'en étendre les objectifs, de partir des problèmes qui nous concernent en tant qu'État - sécurité, ordre public... Nous nous sommes donc attachés aux questions touchant la cybercriminalité, la cybersécurité, le blanchiment... Leur problématique commune est celle des données personnelles. Ainsi, en matière de cybercriminalité, la question est-elle de savoir dans quelles conditions les États peuvent, via la Convention de Budapest, dont nous souhaitons l'universalisation, avoir accès à ces données, susceptibles de constituer des faits générateurs de phénomènes délictuels, donc des preuves. C'est la même problématique qui joue au travers de la Convention 108 du Conseil de l'Europe. Le statut des données personnelles n'est pas le même en Europe, dans la zone Asie-Pacifique ou aux Etats-Unis. Comment faire face à cette diversité, qui borne, d'ailleurs, notre mandat de négociation ? En tout état de cause, L'Union européenne ne pourra parler haut, sur la scène internationale, de la question de la protection des données personnelles, tant qu'elle ne sera pas parvenue, en son sein, à un consensus. Que le paquet « données personnelles » soit toujours en négociation nous met en situation de fragilité.
Considérez ce que je vais vous dire comme de simples pistes de réflexion, qui n'ont pas encore reçu la sanction interministérielle. Les mois à venir vont être jalonnés par les réunions de l'ICANN, le forum sur la gouvernance de l'Internet, le sommet de Sao Paulo, les réunions de l'Union internationale des télécommunications (UIT), et les dix ans du sommet mondial pour la société de l'information.
Comme vous, nous estimons, au sein du ministère des affaires étrangères, comme au ministère du redressement productif et dans quelques autres, que si les décisions, en matière de gouvernance, sont techniques, elles n'en ont pas moins une portée politique et économique majeure. Je partage le constat de Bertrand de La Chapelle sur les interrogations que soulève le fonctionnement de l'ICANN, mais présenterai les choses autrement. La prégnance des États-Unis sur l'institution, tout d'abord, via la maîtrise des outils techniques, est une réalité. L'ICANN étant une société à but non lucratif devrait être responsable devant une assemblée, ce qui n'est pas le cas dans les faits, puisqu'elle n'est pas une société d'actionnaires. Le conseil d'administration de l'ICANN joue de ce statut mixte, qui lui permet de n'être responsable devant aucune instance.
Certes, le bilan de l'ICANN, même si l'on ne dispose pas de point de comparaison, est remarquable, et elle a mené un effort continu pour créer des systèmes d'évaluation et de contrôle, mais cette question de la responsabilité reste posée. Or, ce qui garantit la responsabilité dans nos sociétés démocratiques, c'est la sanction de l'élection. Nous estimons que le poids des États au sein de l'ICANN n'est pas à la mesure de leur poids dans l'économie réelle et de l'état du droit international.
Cependant, étant entendu que les États-Unis gardent la maîtrise des évolutions, il est clair que certains scénarios sont exclus. Il en est ainsi de celui qui tendrait à placer l'ICANN sous tutelle d'une organisation de type onusien, tentation que je ne partage pas, mais qui existe en France et dans d'autres États. On n'y arrivera pas, parce que les États-Unis, qui voient l'IUT comme un repoussoir et suspectent toute organisation onusienne de lourdeur et de bureaucratie, s'y refusent.
La France, comme ses partenaires européens, reconnaît l'efficacité et la légitimité du modèle multiacteurs consacré par le sommet mondial pour la société de l'information. Au reste, plutôt que de modèle, il serait plus juste de parler d'approche. Ainsi, de même qu'il y a de l'intergouvernemental dans l'ICANN, il y a du multiacteurs dans l'IUT, qui compte 700 entreprises parmi ses membres, lesquelles font aussi la politique des États. En France, le Conseil national du numérique est associé aux décisions. L'approche multiacteurs va de pair avec la démocratie, et se sophistique avec elle.
Il y a, dans la négociation en cours, plusieurs agendas. Celui de l'Europe, qui veut plus de poids des États au sein de l'ICANN, et plus de responsabilité. Celui des Etats-Unis, qui, balançant entre le maintien du statu quo et la conscience des évolutions qu'appelle la mise au jour du programme de surveillance de masse de la NSA, sont soucieux de réaffirmer leur attachement à la transparence.
M. Gaëtan Gorce , président. - Que peut-on attendre de la discussion avec nos partenaires américains sur ce sujet ?
M. David Martinon. - Les Américains ne sont pas encore clairement déterminés. Ils ont conscience qu'ils doivent faire des pas, sachant ce qu'ils ont à perdre. Ils entendent conforter le modèle multiacteurs, le discours du secrétaire adjoint au commerce en témoigne. Nous leur répondons que s'ils veulent faire la preuve de l'efficacité de ce modèle, ils doivent accepter de couper le cordon ombilical avec l'ICANN. Nous militons pour que soit revu le lien entre le département du commerce et l'ICANN pour la fonction d'enregistrement des noms et des nombres dans la racine. C'est là une revendication symbolique - car le département du commerce américain n'a jamais fait, à une exception près, un usage égoïste de sa relation privilégiée avec l'ICANN - mais que rend nécessaire l'exigence internationale de confiance et de légitimité. Les fonctions de supervision de la racine devraient être confiées à une autre instance. La discussion se jouera à trois, car l'ICANN aussi a son agenda, qui vise la « globalisation » de la fonction IANA (Internet Assigned Numbers Authority). Si j'use de cet anglicisme, c'est que traduire le terme de globalization utilisé dans le communiqué de Montevideo par celui d'internationalisation serait méconnaître les intentions réelles de ses auteurs, qui visent la dévolution de cette fonction à une ICANN libre et indépendante du gouvernement américain. Nous y regardons de très près, car nous ne pourrions admettre que les décisions d'enregistrement, qui ont des conséquences jusque sur le « .fr », se trouvent entre les mains d'une ICANN où ne serait pas levée l'hypothèque de la responsabilité.
Nous voulons une plus grande influence des États au sein de l'ICANN et espérons, sur ce point, des progrès. Le comité consultatif des gouvernements n'est pas assez professionnalisé et reste trop éloigné des mécanismes de décision. Le président du comité est bien membre du conseil d'administration, mais il n'a pas voix délibérative, et rien n'oblige le conseil à entériner les avis, même consensuels, du comité. Au sein des organisations internationales, les gouvernements ne sont guère habitués à n'être que consultés...
Nous souhaitons, enfin, que l'ICANN poursuive son effort de transparence et que sa responsabilité puisse être engagée.
M. Gaëtan Gorce , président. - Où en est la négociation sur la question du transfert des données ?
M. David Martinon. - La position européenne, je l'ai dit, peut difficilement être agressive. Sur le Safe Harbor , nous avons décidé de ne pas réouvrir, pour l'heure, la négociation. En revanche, les treize recommandations de la Commission, dont celle qui concerne l'absence de droit de recours aux Etats-Unis, sont en cours de discussion au sein de l'Union européenne.
Une autre négociation sur les données personnelles s'engage au sein de l'ICANN, autour du New directory of services . Il s'agit de compiler l'ensemble des données relatives aux personnes ouvrant des sites Internet, le projet de l'ICANN étant d'harmoniser les règles et de créer une grande base de données, idée qui nous fait craindre des conflits de normes et pose problème aux États-Unis, qui redoutent une fragilité du système.
Mme Catherine Morin-Desailly , rapporteure . - Merci de ces détails sur le fonctionnement de l'ICANN, car nous n'avions pas obtenu de réponse claire à Bruxelles. Vous avez évoqué la cybersécurité et le blanchiment, en relevant que ces grandes questions ramenaient toujours à celle, fondamentale, des données. Quels autres sujets méritent d'être soulevés ? Quelle est votre appréciation sur l'organisation du travail à Bruxelles ? Nous avons perçu, lors de notre déplacement d'hier, que le sujet devenait plus stratégique qu'il y a un an, et qu'au-delà de la DG Connect, le Service européen d'action extérieure (SEAE) commençait à s'intéresser au sujet. Voyez-vous se dessiner une position commune ?
M. David Martinon. - Je crois à la méthode qui consiste à partir des problèmes pour rechercher les moyens de les résoudre. Dès lors que les grands textes internationaux ont consacré l'idée d'un alignement des règles de droit en ligne sur les règles existantes, la loi des États souverains compte au premier chef. Pour avoir été conseiller diplomatique du ministre de l'Intérieur, je puis vous dire qu'en matière d'escroquerie, de pédopornographie, de prostitution, de trafic de stupéfiant, l'impératif est d'aller vite. Quand ces délits ont leur origine à l'étranger ou peuvent y avoir des conséquences, il faut dialoguer avec des États souvent fragiles, qui ne disposent pas des mêmes infrastructure de surveillance que les nôtres. Alors que les malfaiteurs disparaissent vite dans le darknet , les autorités ont besoin de figer les preuves et de les utiliser via des commissions rogatoires internationales. C'est l'éternelle histoire du gendarme et des voleurs. La Convention de Budapest, qui a créé des points de contact permanents, a apporté un progrès substantiel. Lorsque la police a besoin, pour préparer un dossier d'interpellation, de figer les preuves, elle en a les moyens. Reste que la course est permanente. Les bandits cherchent toujours à prendre une longueur d'avance. Comme après les tractions avant de la bande à Bonot, la police doit courir après des malfaiteurs qui utilisent des technologies inédites.
La France a la chance de disposer d'un réseau diplomatique et policier à l'étranger, qui a permis à la police et à la gendarmerie nationales de créer des réseaux de confiance dans nombre d'États. Quand les données d'une affaire constatée à Paris sont localisées au Bénin, la PJ a les moyens d'obtenir des informations. Ce qui reste fondamental, aujourd'hui comme hier, c'est la relation de confiance qui peut s'établir, au-delà des frontières, entre policiers, entre magistrats.
Le blanchiment ? Il prend des proportions formidables avec la montée en puissance des monnaies virtuelles, comme le bitcoin. Un casino de Las Vegas a même décidé de l'accepter. Imaginez ! Cela démultiplie les possibilités de blanchiment.
Nous avons l'habitude de travailler avec la DG Connect. On m'a dit que les relations n'avaient pas été très bonnes lors de la conférence de Dubaï, ce n'est pas ce que j'ai constaté. Les pays de l'Union européenne partagent les mêmes objectifs, hormis deux ou trois d'entre eux, qui entretiennent des relations... privilégiées avec les États-Unis. Il est exact que le SEAE tente, depuis quelques semaines, de s'intéresser au sujet et cela est légitime, car ces discussions ont un caractère éminemment stratégique. Nous n'y voyons, pour notre part, que des avantages. Ce service est en train de se rendre compte que l'agenda de la gouvernance est autre chose que celui de la cybersécurité. Cela exige, de sa part, un apprentissage.
M. Gaëtan Gorce , président. - Comment faire évoluer les relations juridiques entre l'Union européenne et les États-Unis pour permettre aux citoyens européens d'accéder aux juridictions américaines ? Comment s'assurer, par des mécanismes de médiation, voire de coopération judiciaire, que les entreprises américaines qui gèrent des données européennes ne se trouvent pas dans des situations de conflits de droits ? Les choses sont-elles susceptibles d'avancer ou le retard pris sur le règlement européen nous condamne-t-il au statu quo ? La réflexion n'est-elle pas susceptible de s'accélérer à la suite de l'affaire Snowden ?
M. David Martinon. - Pour le citoyen européen, l'accès aux cours américaines est difficile. Les frais de justice sont élevés et le jeu des avocats est de faire durer les affaires. Les États-Unis observent de près la Convention 108 du Conseil de l'Europe, dont nous voulons l'universalisation parce que les principes qu'elle consacre sont les nôtres. Nous craignons qu'ils ne s'efforcent de dégrader ces principes, comme en ce qui concerne la Convention de Budapest. Bertrand de La Chapelle serait mieux placé que moi pour vous répondre.
M. Bertrand de La Chapelle. - Nous avons, pour les enquêtes criminelles ou l'identification de données personnelles dans les procédures de law enforcement, le choix entre deux voies. Celle des relations de confiance entre la police et les grandes plateformes, efficace, mais qui pose la question des garanties procédurales ( due process ) et de la transparence, ou celle des traités d'assistance mutuelle, très rigoureuse dans la procédure, mais très longue - entre l'Inde et les États-Unis, le délai moyen pour obtenir réponse à une requête des services de police est de vingt-quatre mois. On ne peut accepter que toutes les requêtes soient traitées par le pays de réception, c'est-à-dire, de fait, les États-Unis. Il convient d'établir des mécanismes alternatifs de règlement des conflits. Se pose, cependant, la question de l'autorité d'arbitrage. Dans le cadre de la procédure de l'UDRP ( Uniform Domain-Name Dispute-Resolution Policy ) pour les conflits de cybersquatting de noms de domaine, une cour américaine au moins a contesté le caractère arbitral d'une décision du panel de l'UDRP et a donc refusé l'application de la convention de New-York sur la reconnaissance des décisions arbitrales. Cela faciliterait les choses qu'un mécanisme entre arbitrage et médiation permette la conciliation de droits dans des cas spécifiques, même si cela pose diverses questions de mise en oeuvre.
Mme Catherine Morin-Desailly , rapporteure . - Vous avez dit tout à l'heure qu'il ne fallait pas négliger le bénéfice économique et social de la mutation numérique. Mais pour qu'il y ait bénéfice, encore faut-il que l'Internet soit libre et ouvert ; or, c'est tout autre chose qui semble se dessiner. Sur la neutralité du Net, nos conceptions diffèrent de celles des Américains. Quand les entreprises extra-européennes multiplient les services, captant l'activité économique et mettent en place des systèmes écopropriétaires, où est pour nous le bénéfice ? Et quel bénéfice social nous laissent leurs stratégies d'optimisation fiscale ?
M. Bertrand de La Chapelle. - Ce dernier sujet est distinct de la question de la création de valeur sociale et économique, il concerne la répartition de la valeur.
Depuis deux cents ans, le débat sur les politiques économiques et sociales repose sur une unique question, celle du partage de la valeur ajoutée entre le capital et le travail. Les partis politiques donnent alternativement des coups de barre d'un côté ou de l'autre. C'est qu'il faut à la fois distribuer du pouvoir d'achat et rémunérer l'investissement. Le passage au numérique permet de maximiser les bénéfices, en vertu de la règle de la multiplication des biens numériques. Deux internautes qui échangent une chanson, cela fait, dans le monde numérique, quatre fichiers de chanson. La logique est la même pour les bases de données. Leur combinaison peut créer de la valeur - ou en détruire, à l'inverse, si l'on fusionne une base saine et une mauvaise base.
Comment maximiser la valeur créée par la mise en commun des infrastructures et des données ? Quel est l'équilibre entre la part sociale et la part économique dans le partage de la valeur ? Tels sont les termes du débat politique de demain. L'Internet bouleverse la donne. Pour l'éditeur de l' Encyclopédia Universalis , le numérique n'est pas une bonne nouvelle économique. En revanche, le bénéfice social de Wikipédia est immense. C'est la logique de l' open data . Mais si un jour, une plate-forme décidait de consacrer 20% de son bénéfice au prorata de l'audience des posts qui y sont envoyés, elle enclenchera un cercle vertueux de création de valeur.
Autre chose est la question de la fiscalité. Certes, l'optimisation fiscale existe, mais reconnaissons aussi que les États se sont livrés à un véritable dumping .
Sur la question de la neutralité du Net, pourquoi ne pas mettre les acteurs autour de la table pour, dans un débat construit qui ne passerait pas par la pression fiscale, décider collectivement de la manière de développer l'infrastructure ? Les opérateurs ont intérêt à ce que le réseau se développe. Si le dialogue s'engage sur la création d'une valeur commune, les contributions viendront car elles alimenteront une boucle fermée. On touche là à un principe fondamental, celui de la non affectation des ressources fiscales. Mettre tout dans un pot commun, c'est favoriser la création et la distribution de valeur.
M. Gaëtan Gorce , président . - Il me reste à vous remercier pour ce riche débat.
Audition de M. Jérémie Zimmermann, porte-parole de l'association « La Quadrature du net »
M. Gaëtan Gorce , président . - Monsieur, merci d'être parmi nous. Vous êtes porte-parole de l'association La quadrature du net, fondée en 2008, qui vise à la défense des droits et libertés des citoyens sur Internet. Nous avons parlé de souveraineté numérique, mais M. de La Chapelle nous a mis en garde contre cette notion ; nous pourrions, en prenant la question à l'envers, parler de colonisation numérique dès lors qu'un État impose son droit hors de son territoire.
Il est très utile qu'une association comme la vôtre soit entendue. Nous vous écoutons, avant de vous poser quelques questions.
M. Jérémie Zimmermann . - Merci pour cette invitation. C'est un honneur de se faire interroger sur ces sujets. Je voudrais faire observer qu'alors que le Sénat se penche sur le sujet de la gouvernance de l'internet, le Conseil d'Etat a annoncé qu'il consacrait son étude annuelle 2014 aux technologies numériques et aux libertés et droits fondamentaux. C'est peut-être le signe d'une prise de conscience politique.
Le mot « gouvernance » m'horripile. C'est une arlésienne qui resurgit depuis sa définition en 2005 par le Sommet mondial de la société de l'information : « l'élaboration et l'application par les États, le secteur privé et la société civile, dans le cadre de leurs rôles respectifs, de principes, normes, règles, procédures de prise de décision et programmes communs propres à modeler l'évolution et l'utilisation de l'Internet ». Mais le terme de « multistakeholderism », devenu une sorte de religion dans certains milieux de l'internet, m'irrite encore plus ! Il s'agit de termes creux, de mots-valises qui neutralisent le débat. Les vraies décisions ne se prennent pas à l'Internet Gouvernance Forum (IGF) créé en 2005, où se réunissent acteurs publics, acteurs privés, société civile. Google y a une voix, au même titre que les citoyens, alors que cette société n'a pas de carte d'électeur... Or les questions de gouvernance concernent tous les citoyens et les décisions qui ont un impact sont multiformes, multicercles et subtiles à percevoir.
Ainsi, les décisions d'ordre technique sont prises par l'IETF et le W3C, organes de standardisation, or elles ont un impact réel sur l'internet au jour le jour, sur la structuration du réseau (comme l'intégration des mesures techniques de restriction d'usage dans la norme html, discutée au W3C). On peut aussi évoquer les décisions d'ordre économique, comme la structuration d'internet sur le continent africain autour d'un accès quasiment exclusivement mobile. Enfin, des décisions politiques sont prises aux plans national, ou européen, mais n'ont jusque-là jamais été prises à l'échelle mondiale.
Cette diversité de formes de prises de décisions, jointe à la diversité des acteurs, rend votre tâche ardue : il est difficile de faire un état des lieux objectif pour que le politique tente de peser sur cette fameuse gouvernance. Je voudrais d'abord présenter les menaces que nous avons identifiées, avant d'insister sur les valeurs à défendre.
Les menaces sont doubles : elles concernent à la fois les libertés sur internet et la structure du réseau. Ces menaces découlent pour certaines de décisions politiques : la Chine sélectionne les termes qui seront accessibles en ligne et impose aux entreprises de consentir à l'accès des autorités à leurs données, ce qui, à cette échelle, a un impact déterminant. Mais des dispositifs de censure se développent hors de Chine, du Pakistan ou de l'Iran, notamment dans les démocraties occidentales. Ainsi, la LOPPSI en 2009 a instauré une censure administrative, empêchant l'accès à des ressources qui continuent d'exister sur le réseau, au nom de la lutte légitime contre la pédopornographie, étendue ensuite à l'encontre des casinos ne payant pas leurs impôts en France, peut-être bientôt aux entreprises de divertissement et aujourd'hui au système prostitutionnel. Il s'agit souvent d'un renoncement du politique qui confie à des acteurs privés des missions qui relèvent de la police ou de la justice, au nom d'une prétendue auto-régulation voire d'une déontologie comme on le disait du temps du Forum des droits sur l'internet. Au nom de la lutte contre la contrefaçon, une société comme Youtube s'apparente à une justice privée : des robots chassent les images détenues par telle ou telle entreprise pour suspendre ces contenus voire le compte d'un internaute. Même s'il existe une exception au droit d'auteur pour parodie, cela n'a pas empêché la suppression de vidéos parodiques postées par la Quadrature du net à des fins politiques. Ainsi, par voie contractuelle et en lien avec les industries du divertissement, on admet une surveillance de plus en plus large. Ces mécanismes de censure privée peuvent même résulter de décisions politiques, comme cela aurait pu être le cas si la pression populaire n'avait pas étouffé les propositions de lois américaines antipiratage SOPA (Stop Online Piracy Act) et PIPA (Protect Intellectual Property Act) ainsi que le traité ACTA. On s'attend à ce que la future loi « création » annoncée par le Gouvernement qui devrait étendre les compétences du CSA sur internet, reprenant les conclusions du rapport Lescure, fonde une spécificité française autorisant les entreprises privées à se livrer à des missions de surveillance. Cette tendance lourde renforce le pouvoir de ces entreprises, ce qui est inquiétant.
Mais si l'on a échappé au filtrage de masse, des atteintes à la neutralité du net se multiplient - nous les avons documentées depuis plus de cinq ans - quand des décisions d'opérateurs télécoms sont prises pour bloquer l'accès à certains services de vidéos ou prioriser certains flux ou quand les opérateurs s'entendent pour vendre des minutes de voix internationales plutôt que faciliter l'accès à la voix sur IP.
On voit aussi une tendance à contrôler les outils de communication. Les révélations d'E. Snowden montrent que la NSA consacre 250 milliards de dollars par an au programme Bullrun pour saboter les technologies de sécurisation de l'internet (protocoles et dispositifs physiques de chiffrement, routeurs, systèmes d'exploitation grand public...). De plus, depuis une quinzaine d'années, les logiciels fermés se multiplient, de même que les matériels fermés (dont on ne peut même pas enlever la batterie pour s'assurer qu'ils ne sont plus connectés aux réseaux), et les plateformes hypercentralisées dont le modèle économique est de savoir tout sur tous tout le temps. Et tout cela ne profite qu'à un seul pays, dont les facultés de surveillance sont utilisées pour pratiquer l'espionnage à échelle industrielle. Selon une étude récente de la New America Foundation, seuls 3 % des attentats terroristes ont été déjoué grâce à cette surveillance de masse.
Cette tendance à orienter les technologies pour plus de contrôle a eu un impact profond et silencieux jusqu'aux révélations l'an dernier d'E. Snowden. Il faut donc en finir avec le mythe du multi-acteurs et se concentrer sur les valeurs universelles à défendre sans compromis : libertés fondamentales, universalité de l'accès et de la capacité de participation, ouverture et maîtrise des technologies par les citoyens (logiciel libre, infrastructures décentralisées, chiffrement point à point), partage des connaissances... Sur ce fondement, le politique peut prendre des décisions et guider les comportements.
La gouvernance de l'internet ne peut qu'être l'affaire des internautes et des « trustees », qui sont des dépositaires de confiance et dont on peut se demander s'ils sont des acteurs privés ou publics et s'ils doivent interagir. Nous devons défendre l'internet comme le bien commun de ses utilisateurs : ce sont eux les « stakeholders » qui doivent être au centre, sous peine de transformer internet en instrument de contrôle.
M. Gaëtan Gorce , président . - J'ai bien entendu votre propos. Mais n'y aurait-il pas tout de même une singularité dans le traitement français et européen de ces problématiques ? Vous estimez que les citoyens doivent être au coeur du réseau, mais comment la valeur ajoutée sera-t-elle créée si l'on interdit aux entreprises de traiter leurs données, par exemple par des systèmes de cryptage privés ?
M. Jérémie Zimmermann . - Pour ce qui est des institutions européennes, il faut d'abord réformer radicalement le Conseil ! La société civile est très peu représentée à Bruxelles, au contraire des grandes entreprises, notamment du secteur du divertissement. Leur influence se répercute ensuite sur chaque État membre, comme on a pu le voir avec l'évolution de la règlementation sur la copie privée. La commissaire européenne chargée de la société numérique, Mme Nelly Kroes, n'a pas particulièrement brillé dans l'audition qui a précédé sa nomination. Les engagements sur la neutralité du Net qu'elle y avait pris se sont traduits par un projet de règlement qui, en recherchant le compromis, ne satisfait personne. Aussi ne sait-on plus très bien aujourd'hui quel organe européen il faudrait privilégier ...
Le modèle économique actuel, qui repose sur des entreprises faisant l'objet d'une importante valorisation boursière, consiste véritablement à « tondre » les données des citoyens, dont la valeur va continuer d'augmenter avec leur affinement progressif. Cette approche n'est pas inéluctable dans la mesure où les utilisateurs en sortent perdants, ce dont ils finiront par s'apercevoir. L'article 20 de la dernière loi de programmation militaire va d'ailleurs contribuer à dégrader un peu plus leur confiance.
Il existe des alternatives à ce modèle dominant, que l'Union européenne devrait promouvoir. Les logiciels libres et l'architecture décentralisée nécessitent toutefois un accompagnement personnalisé. Il serait par ailleurs opportun d'adopter le nouveau règlement sur la protection des données personnelles. Une économie basée sur les services et respectueuse des libertés individuelles pourrait émerger et constituer un débouché majeur pour des entreprises situées sur nos territoires et respectueuses de ces valeurs.
M. Gaëtan Gorce , président . - Mais ne pensez-vous pas, comme l'a souligné un intervenant précédent, que Facebook n'aurait jamais pu être créé dans notre pays ?
M. Jérémie Zimmermann . - En effet, mais cela est dû à la règlementation européenne. Suite à un procès, un étudiant autrichien a obtenu de Facebook la communication de 500 Mo de données qui auraient dû être effacées. L'affaire Prism montre que l'accord Safe Harbor a été violé. Facebook a été financé par des fonds de pension américains liés à la CIA ; c'est dire qu'il a été pensé comme un véritable instrument de renseignement.
Un informaticien toulousain, Emmanuel Benazera, a cherché à mettre au point un moteur de recherche décentralisé. Son projet, baptisé Seeks, n'a fait l'objet d'aucun soutien public, et se trouve quasiment abandonné. Il aurait pourtant pu aboutir à la création d'un instrument de recherche alternatif à Google.
Mme Catherine Morin-Desailly , rapporteure . - Faut-il selon vous inscrire le principe de neutralité du Net dans la loi ? À quel niveau : national, européen ou international ? Que pensez-vous des propositions faites par l'Autorité de régulation des communications électroniques et des postes (Arcep) à ce sujet ? Et de celle de la commissaire Nelly Kroes ?
Vous avez évoqué des organismes comme l'IETF et le W3C, que vous avez qualifiés de techniques. N'y a-t-il pas cependant une mainmise des États-Unis sur leur fonctionnement ? Ne faudrait-il pas réviser les statuts de l'Icann pour lui donner davantage d'indépendance ?
M. Jérémie Zimmermann . - Les politiques doivent défendre nos libertés fondamentales. Le respect de la neutralité du Net en fait partie ; ils doivent à ce titre la protéger absolument. Dans sa décision n° 2009-580 DC du 10 juin 2009, relative à la loi favorisant la diffusion et la protection de la création sur Internet, le Conseil constitutionnel a consacré la liberté d'accéder aux services en ligne comme une composante de la liberté d'expression. Défendre celle-ci, c'est également défendre l'innovation et la concurrence.
Les acteurs du secteur des télécoms ont changé de stratégie. Ils ont d'abord tenté de limiter les communications entre utilisateurs, puis ont cherché à obtenir de Google le paiement d'une contribution pour l'usage des réseaux et données. La formule Red de SFR, offrant 5 Go de communications mensuelles, ainsi qu'un usage illimité de You Tube, constitue un exemple de discrimination : l'accès à un éditeur de services spécifique est priorisé par rapport à l'accès au réseau Internet en général.
Certains pays ont inscrit la neutralité du Net dans la loi ; c'est le cas des Pays-Bas, de la Slovaquie ou du Chili. Les propositions avancées par la commissaire Nelly Kroes sont insuffisantes, et même contradictoires. Ainsi, le paragraphe 5 de l'article 23 de son projet de règlement interdit aux fournisseurs de services d'accès à l'Internet de ralentir, dégrader ou traiter de manière discriminatoire les contenus, applications ou services qu'ils acheminent, tandis que le paragraphe 2 les autorise à conclure des accords avec les fournisseurs de ces contenus, applications ou services les limitant à un niveau de qualité de service défini ou à une capacité dédiée. Aussi appelons-nous à supprimer cette disposition, et à tout le moins à la modifier.
L'Europe constitue la bonne échelle d'intervention pour ce qui est de la neutralité du Net, mais rien n'empêcherait notre pays de compléter son action. Le projet de loi annoncé sur les libertés sur Internet y pourvoira peut-être.
Les propositions émanant de l'Arcep sont intéressantes, mais la récente décision rendue par la justice américaine dans l'affaire opposant l'agence américaine de régulation des communications, la FCC, à l'opérateur Verizon, a montré que les géants du Net ne se laisseraient pas intimider par les autorités nationales. Le dispositif législatif américain n'a pas fonctionné car il était dépourvu de sanctions, preuve qu'une loi en ce domaine devrait impérativement être assortie de dispositions coercitives.
Les organes de standardisation de l'Internet sont étroitement encadrés par la NSA, sous prétexte de préoccupations techniques, comme cela a été le cas pour l'IPsec (Internet Protocol Security). Il faudrait donc davantage prendre en compte la nature politique de ces standards. La transparence est aujourd'hui assez forte sur leur procédure d'élaboration et de révision, mais ils ne sont pas immunisés contre un tel interventionnisme.
S'agissant de l'Icann, nous attendons avec impatience le logiciel libre et l'architecture décentralisée qui permettra de nous en débarrasser. Cette structure, dont l'activité est devenue commerciale, et qui centralise des ressources rares, n'est plus digne de confiance. Elle n'a pas réagi, par exemple, suite à la saisie par le gouvernement américain de plus de 70 noms de domaine, dont celui du site espagnol Rojadirecta.
GNUnet, un réseau informatique non centralisé et d'usage libre, est en plein essor. Le GNU Name System (GNS) pourrait remplacer à terme le système de noms de domaine (DNS), comme tend à le croire Louis Pouzin.
M. Gaëtan Gorce , président . - Nous vous remercions. Entendre La Quadrature du Net nous a paru nécessaire, et même indispensable, dans ce débat. Pour ma part, je serais prêt à affecter une partie de la réserve parlementaire au financement du projet de moteur de recherche alternatif que vous avez évoqué !
Audition de M. Mathieu Weill, directeur général de l'association françaisepour le nommage Internet en coopération (AFNIC)
M. Gaëtan Gorce , président . - M. Mathieu Weill, je vous remercie d'avoir répondu à notre invitation. Vous êtes directeur général de l'association française pour le nommage Internet en coopération (AFNIC). Il serait utile que vous nous expliquiez de manière concrète les missions de votre organisme : comment attribuez-vous les noms de domaine ; quel est le rôle de l'ICANN dans la délégation qui vous est confiée ; quelles en sont les conséquences dans le mécanisme de décision ?
M. Mathieu Weill, directeur général de l'AFNIC . - Je vous remercie pour votre introduction et je vais vous décrire le rôle de l'AFNIC en commençant tout de suite par dire que nous ne sommes pas des agents de l'ICANN. Comme l'ensemble de nos homologues, l'AFNIC est gestionnaire du « .fr », de la même manière que le « .de » en Allemagne et le « .uk » en Grande-Bretagne sont sous le régime de « trustees », c'est-à-dire de dépositaires de la confiance des parties prenantes de chacun de leurs pays pour gérer des ressources communes dans l'intérêt général. En France, cette mission a été reconnue comme une mission de service public.
L'AFNIC est une association « loi 1901 » qui opère dans un univers concurrentiel avec des entreprises comme Verisign. Nous sommes à mi-chemin entre une entreprise et une association avec un objet atypique. Notre organisation est multipartite dès sa création, l'INRIA et l'État étant autour de la table du conseil d'administration, lequel comprend des représentants du secteur public, du secteur privé et des utilisateurs. Nous développons également des coopérations avec nos homologues, principalement en Afrique de l'ouest.
Les décisions opérationnelles sont prises dans un cadre multipartite dans le respect de la loi française, à l'inverse d'une autre approche du multipartisme qui chercherait à inscrire la loi des parties au-dessus des législations nationales. Notre mission de service public est de développer le « .fr », qui comprend environ 2,5 millions noms de domaine, face au « .com » qui demeure leader, y compris en France. Or le fait d'être enregistré en « .com » donne un point d'appui à la juridiction américaine.
Sur le plan technique, nous gérons un parc de serveurs dans le monde pour assurer la continuité de service du « .fr » quasiment toutes les millisecondes. Nous ne touchons pas au contenu mais assurons un aiguillage des noms de domaine vers les serveurs sur lesquels ils sont hébergés.
Notre action juridique n'est pas négligeable du fait des conflits fréquents affectant l'attribution des noms de domaine. Par exemple, des collectivités se trouvent privées de l'usage de leur nom et cherchent à le récupérer dans le cadre des facilités accordées par la loi.
Parallèlement, nous gérons une base de données enregistrée en France qui demeure une des plus protectrices au monde car, contrairement au « .com », les données des personnes privées enregistrées en « .fr » ne sont pas publiées. Celles-ci ne sont communiquées aux autorités françaises que sur la base d'un fondement légal, donc ni au FBI, ni à la NSA, et aux ayant-droits uniquement, s'ils apportent la preuve que le nom de domaine constitue une atteinte à leur propre droit.
Le point fondamental de notre mission est donc d'apporter un service sûr et stable, de soutenir l'innovation sur Internet et d'accompagner les acteurs français de l'écosystème national.
Dans ce but, nous investissons plus de 10 % de notre chiffre d'affaires en R&D. Le sujet du moment est l'Internet des objets. Il s'agit de tirer les leçons des difficultés rencontrées dans le développement de l'Internet pour aborder cette nouvelle révolution en respectant les nouveaux équilibres. Ainsi, nous travaillons sur des standards de traçabilité des objets pour éviter que toutes les informations remontent à des serveurs aux États-Unis à partir des serveurs européens. Nous étudions également les racines alternatives, comme celles pilotées par Louis Pouzin que vous avez auditionné. Cette démarche est intéressante, mais se heurte à l'écueil classique pour tout support de communication partagé par le plus grand nombre : il est difficile de faire concurrence au système actuel de nommage « DNS », quelle que soit la qualité de la technologie, car ce dernier est diffusé auprès de milliards d'utilisateurs.
Sur l'accompagnement des acteurs français, nous avons discuté au sein de l'AFNIC de l'opportunité de développer de nouvelles extensions de noms de domaine. Aussi avons-nous pris la décision d'assister techniquement les cinq collectivités territoriales françaises qui se sont lancées : les « .paris », « .bzh », « .alsace », « .corsica » et « .aquitaine ». Une douzaine d'entreprises sont également concernées comme la SNCF, TOTAL et Aquarelle. Notre projet est de mutualiser l'infrastructure du « .fr » au service de projets innovants. À l'inverse, nous ne participons pas à des projets d'extensions génériques tels que « .club » ou « .hotel », pour ne citer que les cas les plus polémiques, car il ne s'agit pas de répliquer le « .com » mais de chercher à développer de nouveaux services et à soutenir des stratégies de marque territoriale.
Sur l'activité internationale, nous participons aux forums de standardisation tels que l'Internet Engineering Task Force (IETF), avec quelques autres acteurs français tels que Orange et l'Université Paris 6, sur des questions de réglementation technique et de sécurisation des données personnelles. Sur 2 000 participants internationaux, nous envoyons deux ingénieurs, pour vous donner une idée de la faible participation française.
Pour clarifier notre relation avec l'ICANN, je précise que le seul document qui nous lie à l'ICANN pour la gestion du « .fr » est un échange de courrier qui indique pour résumer : « J'aime beaucoup ce que vous faites. C'est très important car nous gérons la racine et vous gérez le « .fr ». Il faut absolument se tenir au courant mutuellement s'il y a des problèmes ». Voilà le seul pouvoir qu'a l'ICANN sur nous. Il y a peut-être eu un échange de mails à la fin des années 80, mais il n'a jamais été retrouvé ! Il faut se dire, qu'à l'époque, l'attribution du « .fr » s'est faite sur un coin de table. L'AFNIC n'est absolument pas le délégué de l'ICANN et demeure à la fois un observateur et un membre actif des instances de régulation pour réclamer davantage d'internationalisation de la gouvernance. Même s'il n'a pas encore été fait état d'abus de pouvoir de l'ICANN, la situation actuelle n'est plus tenable.
Sur ce point, nous partageons le constat général d'un déficit de présence européenne dans la gouvernance mondiale de l'Internet. Ainsi à Dubaï, lors de la révision du traité international sur les télécommunications, l'Europe a rencontré des difficultés pour se faire entendre. Cette situation est dangereuse car les pays africains se demandent alors ce que fait la France. Par ailleurs, le discours européen est trop ciblé sur l'acquis communautaire et sans marge de négociation suffisante. J'ai aussi noté qu'avec les moteurs de recherche, certes américains, on ne trouve aucune déclaration sur le numérique de Catherine Ashton, pourtant en charge de la diplomatie européenne en sa qualité de Haute représentante de l'Union pour les affaires étrangères et la politique de sécurité. L'Europe est donc inaudible du fait qu'aucun mandat ne lui a été donné, ce qui fait le jeu du camp américain.
Le sujet porteur pour l'Union européenne est la protection des données personnelles. L'ICANN ignore totalement les réglementations européennes et exprime une forme totale de mépris qui se manifeste dans ses réponses aux courriers envoyés par le groupe de l'article 29 ou aux acteurs européens qui demandent simplement le droit de se mettre en conformité avec les législations locales.
Les accords Safe Harbour et les négociations transatlantiques sont des leviers potentiels, mais cette approche reste trop ciblée pour pouvoir aborder tous les paramètres de la gouvernance de l'Internet.
Au-delà de la gestion technique, il faut aussi aborder la question de la répartition de la valeur entre les acteurs, de l'équilibre entre sécurité et libertés publiques. L'Europe est aussi en grande difficulté dans ces discussions du fait d'une absence totale de stratégie industrielle. Les acteurs privés ont jusqu'à présent joué un rôle leader dans la construction de l'Internet, mais aussi dans la création d'un contrôle et d'une supervision massive. Cela signifie qu'aucune politique européenne ne peut se concevoir sans acteurs continentaux compétitifs et performants. Or l'Union s'abstient de tout soutien aux acteurs régionaux face aux acteurs américains. Aucune démarche n'a été entreprise pour faire monter en puissance un écosystème européen.
M. Gaëtan Gorce , président . - Le problème n'est-il pas identique en France avec un cloisonnement entre les questions de droit, les questions industrielles, les questions technologiques, l'impact de l'une sur l'autre n'étant jamais pris en compte ab initio ?
À Bruxelles, j'ai demandé à la direction générale « DG Connect » si elle avait mesuré l'enjeu industriel dans la gouvernance d'Internet et cette question simple leur semblait ahurissante. On m'a répondu que cette question allait être étudiée !
M. Mathieu Weill . - Je pense que, sur ce point, la situation en France est moins critique qu'au niveau européen, en partie grâce au fait que le numérique est traditionnellement suivi par un ministère, en l'occurrence celui du redressement productif qui se sent concerné par les questions économiques et industrielles. De plus, les questions de gouvernance de l'Internet ont toujours fait l'objet d'une attention particulière en binôme avec le ministère des affaires étrangères, avec une assez bonne coordination. La France figure parmi les rares pays en Europe qui portent un tel message au niveau international.
M. Gaëtan Gorce , président . - J'ai le souvenir de M. Gilles Babinet disant que la CNIL est une menace pour le développement de l'économie numérique française. Cela montre que nous avons une difficulté à faire parler tout le monde dans une logique qui intègre les différents points de vue.
M. Mathieu Weill . - Je serais malvenu de pointer cette difficulté car, à l'AFNIC, nous avons l'habitude d'évoluer dans un monde multi-acteurs. Je pense que nous ne souffrons pas de la CNIL. Au contraire, c'est un atout offensif pour mettre en exergue notre avance en matière de protection des données. D'ailleurs, nous avons exporté notre système au Canada et aux Pays-Bas. Ce cadre juridique ne cause pas de déficit de compétitivité.
Un dernier point concerne la résilience et la sécurité. Par conséquent, j'ose aborder la question de la souveraineté en lien avec l'utilisation d'Internet. Dans plusieurs exemples, l'absence d'acteurs européens suffisamment importants pose problème face à l'apparition de failles de sécurité sur le DNS. Lorsque cela se produit, les Américains travaillent en groupe pour résoudre les failles, alors que les acteurs européens ne découvrent le problème que lorsque les Américains proposent la mise à jour, ou seulement quelques jours avant. Il apparaît donc indispensable de promouvoir au niveau européen des acteurs pouvant atteindre une taille critique. À ce sujet, les acteurs privés ne sont pas suffisamment reconnus comme pouvant être des partenaires pour construire les plans de réaction à de telles attaques.
C'est actuellement le bon moment pour réagir pour l'Union européenne, l'affaire Snowden ayant fait l'effet d'une secousse sismique. Si l'on reprend la chronologie des événements, il y a d'abord eu la réunion de Dubaï qui a conduit les acteurs à se situer pour ou contre une gouvernance onusienne de l'Internet ; l'affaire Snowden a ensuite fait perdre toute légitimité morale aux États-Unis qui, jusqu'alors, se présentaient comme les défenseurs des libertés ; et aura lieu, à la fin de l'année, la réunion plénipotentiaire de l'UIT, qui est l'équivalent d'une renégociation d'un traité international.
Dans l'intervalle se tiendra la conférence Netmundial, initiative brésilienne originale, à l'invitation de la présidente Dilma Rousseff, co-organisée par le président de l'ICANN dans un schéma original.
À ce propos, j'en profite pour vous signaler que Fadi Chehadé, le président de l'ICANN, sera de passage à Paris à la fin du mois de février. Il serait probablement intéressant que vous l'entendiez dans le cadre de cette mission.
L'objectif de cette réunion au Brésil est de définir des principes de gouvernance, une feuille de route. J'ai moi-même été sélectionné pour participer à un comité chargé de définir les orientations de cette réunion et représenter la communauté technique. Louis Pouzin fait partie du même comité, au titre de la société civile. La France y sera également représentée.
Cette réunion signifie que la question de la supervision de l'Internet par le Gouvernement américain est ouverte et qu'elle n'est pas encore refermée - ce dont je suis surpris -, en rupture avec l'adage habituellement observé : « If it's not broken, don't fix it ».
Mme Catherine Morin-Desailly , rapporteure . - En tant qu'acteur impliqué dans cette gouvernance, qu'attendez-vous de ce rendez-vous ? Quelle position la France, l'Union européenne devraient-elles adopter ?
M. Mathieu Weill . - Nous espérons un rééquilibrage des instances techniques qui permettent de garantir la pérennité et l'efficacité du système. Quant à l'Union européenne, pionnière sur les données personnelles, il serait opportun qu'elle joue cette carte pour s'assurer un rôle dans cette supervision, y compris au risque du compromis.
Tel est l'objectif clé de cette réunion qui vise à rétablir la confiance des utilisateurs dans l'Internet. Les projets d'Internet alternatifs naissent principalement de la défiance à l'égard de l'ICANN et des États-Unis. Or, il ne faudrait pas que cela conduise à nier les bénéfices réels de l'Internet. Le risque serait d'accroître les coûts d'accès à l'Internet, ce qui entraverait l'innovation des « petits » acteurs du réseau.
Mais pour parvenir à un tel résultat, il est nécessaire de clarifier les positions de chacun au sein de l'Union européenne afin de pouvoir donner un mandat au Conseil plutôt qu'à la Commission européenne, puisque ce serait un mandat ponctuel, non récurrent. Cela impose des sacrifices, des concessions. Jusqu'à présent, on n'a pas été en mesure de parvenir à un compromis. Or, il y a urgence avant que la fenêtre d'opportunité ne se referme.
M. Gaëtan Gorce , président . - Les treize points de la recommandation de la Commission ne vous semblent donc pas suffisants ?
M. Mathieu Weill . - Je crains qu'ils ne remplissent pas le cahier des charges tel que je viens de vous l'exposer. Ils ne recueillent par ailleurs pas une adhésion suffisante, à mon sens, pour permettre de porter la voix de l'Europe. Le fait que ce soit la Commission qui coordonne les travaux en cours risque de créer des crispations politiques, une position forte du Conseil serait bénéfique.
Mme Catherine Morin-Desailly , rapporteure . - Qu'est-ce qui, selon vous, explique le défaut de perception en Europe de l'acuité du problème de la gouvernance de l'Internet jusqu'à présent ?
M. Mathieu Weill . - On ne fait pas de grand changement sans démonstration préalable de l'existence d'un problème qui justifie ce changement. L'affaire Snowden est l'électrochoc qui permet de comprendre que le statu quo n'est pas tenable. La meilleure preuve en est que l'ICANN s'est sentie elle-même contrainte d'engager ces discussions, car elle sait désormais que ses alliés américains ne sont plus en mesure de tenir leur position de protection.
M. Gaëtan Gorce , président . - Je vous remercie d'avoir clos par votre contribution cette après-midi.