Qui ?
Bernard Benhamou, secrétaire général de l'Institut de la Souveraineté Numérique et ancien délégué interministériel aux usages de l'Internet .
Quoi ?
Une interview, à l'issue de deux semaines particulièrement agitées sur le front de politique publiques numériques.
Comment ?
Pourquoi avoir créé, il y a cinq ans, cet Institut de la Souveraineté Numérique ?
Nous voulions aider à réfléchir sur les enjeux internationaux des politiques numériques et le possible rebond numérique européen. Cet institut a été financé initialement par l’un des acteurs du cloud souverain ainsi que par des sociétés basées uniquement en Europe, pour réfléchir et permettre à des acteurs publics et privés de se rencontrer sur cette thématique de la souveraineté numérique. À l’époque, le terme même de souveraineté numérique ne parlait à personne. Lorsque nous allions voir de grandes sociétés ou même des institutions, on nous demandait toujours ce que le terme de souveraineté numérique pouvait signifier. Désormais, cette notion est centrale pour tous les acteurs économiques et au-delà pour les responsables politiques…
Que penser de l'attribution du Health Data Hub à un acteur américain, Microsoft, sans appel d'offres public ?Pour plus de rapidité, l'attribution de ce marché s'est faite au travers de l'UGAP et non par un appel d’offres spécifique. Adopter ce type de mécanisme en urgence était-il opportun ? Je pense que non. Il aurait été préférable de créer un appel d’offres européen en rapprochant préalablement différents types de sociétés (hébergement, IA, data santé, objets connectés etc). Un projet de cette ampleur aurait dû être l'occasion de se montrer innovant en matière de politique publique. Et surtout, de politique industrielle.
La gestion de ces données de santé des Français par un acteur US, quelles conséquences ?
En permettant que la société Microsoft héberge les données de données de santé des Français, le gouvernement crée un précédent inquiétant, surtout si cette initiative a vocation à s’inscrire dans la durée, voire à s’étendre à l’ensemble des pays de l’Union européenne. Via le Cloud Act, l'État américain peut déjà dans le cadre d’enquêtes consulter les données hébergées par des acteurs américains Par ailleurs, l’une des premières ordonnances signées par Trump a précisé que les citoyens non Américains ne bénéficieraient plus d’aucune protection en matière de vie privée. Enfin, selon les révélations d'Edward Snowden et du Guardian, Microsoft a été l'un des premiers partenaires de la NSA dans son programme PRISM. L’accumulation de ces risques n’a pas échappé à la CNIL, qui a précisé dans son avis du 11 juin qu’il serait préférable que des données aussi sensibles soient confiées à un acteur industriel européen… Le Conseil d'État, a dans le cadre d'un référé, jeudi dernier, demandé que le Health Data Hub repasse devant la CNIL pour préciser les conditions d'anonymisation des données de santé. Le HDH va devoir aussi préciser sur son site que les données de santé des Français transiteront par les USA pour y être traitées. Cela ne devrait pas faciliter l'adhésion des structures qui sont invitées à lui confier leurs données de santé, selon le décret du 20 avril. En effet, ce décret, passé en période d’urgence sanitaire, oblige les structures de santé à transmettre leurs données au Health Data Hub.
Les risques que ce choix fait courir aux Français sont de deux ordres : ils concernent à la fois la possible mise sous surveillance des millions de patients mais aussi, la remise en cause notre système de protection sociale. En effet, les GAFAM grâce au traitement de ces données par des systèmes d’intelligence artificielle, veulent créer des services à haute valeur ajoutée dans le domaine de l'individualisation des assurances santé. Est-ce vraiment ce type de protection sociale « individualisée » que peuvent souhaiter les Français quand ils constatent déjà les dérives américaines en matière d’assurance santé ?
Pour le gouvernement, il y a aussi un vrai risque politique : il est en effet difficile de lancer un cloud européen (Gaia-X), et de confier dans le même temps les plus sensibles de nos données personnelles à un acteur américain ! Les GAFAM ont bénéficié depuis plus d’une décennie d’une extraordinaire bienveillance de la part de nos gouvernants. Après le « silence » des autorités françaises face aux révélation d’Edward Snowden, en pleine crise Cambridge Analytica, le Président de la République recevait Mark Zuckerberg, ce qui constituait aussi un contresens politique. On pourrait aussi évoquer les contrats-cadres passés avec Microsoft auprès du Ministère de la Défense ou du Ministère de l’Éducation ou encore récemment le choix de la très controversée société Palantir par nos services de renseignement. La même réponse est à chaque fois avancée : « Ces sociétés proposent les meilleures solutions sur étagère ». Mais si l’on ne se décide pas à mettre en place de vraies politiques industrielles autour des technologies stratégiques (dans le domaine de la santé, de l’énergie de l’environnement ou des transports…), si l’on ne se projette pas au-delà du temps présent pour créer de véritables alternatives européennes, la "vassalisation" de notre continent continuera inéluctablement…
En quoi ce type de sujet aura-t-il un impact sur les lecteurs de Petitweb ?
En octobre dernier avait lieu à Paris une conférence sur la protection de la vie privée où étaient présents des industriels des technologies ainsi que des institutions comme la Banque Mondiale. L’un des points abordés portait sur la remise en cause possible de la circulation internationale des données. Aujourd'hui, les données circulent librement entre les différents types d’acteurs économiques. Mais de même que le « Safe Harbor » a été invalidé à cause des pratiques de Facebook « post-Snowden », son successeur le « Privacy Shield » pourrait l’être demain, du fait de scandales comme celui de Cambridge Analytica. En effet, à mesure que les États prennent conscience des risques associés à la dissémination des données personnelles et en particulier des données dites sensibles (médicales, sexuelles, politiques, ethniques…) les règles de circulation de ces données pourraient être remises en cause. Le croisement entre des données apparemment anonymes peut en révéler tellement sur un individu, que le périmètre des données sensible va considérablement augmenter. Du fait des risques du traitement des données à l'étranger, nous sommes quelques-uns à penser que ce type de données ne devront pas pouvoir être traité en dehors de l’Union européenne. Le paysage juridique pourrait ainsi être amené à évoluer. Et les conditions dans lesquelles les acteurs du marketing pourront cibler les usagers via les technologies de micro-targeting pourraient en être profondément affectées. Au-delà de l’actuel règlement européen sur la protection des données (RGPD), de régulations beaucoup plus strictes pourraient ainsi être élaborées à l’avenir pour contrôler les activités des plateformes qui accumulent les données (data brokers). Si le discours public a changé vis-à-vis des plateformes, comme le montrent les tensions autour de la Taxe GAFA, ce sont désormais les modes d’action vis-à-vis de ces acteurs technologiques que la France et l’Europe doivent mettre en accord avec leurs « arrière-pensées » en matière de liberté et de protection de nos acquis démocratiques…
La Loi Avia a été rétorquée par le conseil constitutionnel… Une réaction ?
L'avis du conseil constitutionnel n’a pas surpris les acteurs du numérique français. En effet les bases juridiques de cette loi étaient problématiques et abondamment commentées, en raison du pouvoir supplémentaire qu’elle aurait donné aux plateformes en matière de régulation des contenus. Qu’il s’agisse des fake news ou de la lutte contre la haine en ligne, les régulations qui ne se concentreront pas sur le modèle économique des plateformes seront vouées à échouer. Une réponse efficace ne peut résider que dans le renouveau de l’action antitrust européenne. Il s’agira aussi d’exiger une plus grande transparence des algorithmes de ces plateformes. Il faut développer de nouvelles formes d’action antitrust, et aller au-delà des sanctions financières pour abus de position dominante. En effet, ces plateformes ont amplement démontré qu’elles ne peuvent pas se réguler elles-mêmes. Ces acteurs, trop puissants sur le plan économique, et sans contrôle sur leurs règles de fonctionnement, ne peuvent plus s’accorder avec celles qui régissent nos démocraties.
Vous avez une formation de médecin. Que pensez-vous de Stop Covid ?
Dès l'origine, l'intérêt sanitaire de ce type de dispositif a été problématique. Il y a déjà eu des retours mitigés des expériences menées à Singapour, en Corée du Sud ou plus récemment en Australie. De plus, l’appli Stop Covid a été lancée en décalage de phase par rapport à la pandémie. Enfin l’architecture de ce projet pose question. Les données collectées concernent la quasi-totalité des personnes croisées par l'utilisateur et pas seulement les contacts « positifs ». Connaissant la possibilité de ré-identification des personnes, rassembler ce type d’informations n'est pas neutre en termes de libertés individuelles.Ainsi, la France reste le seul pays en Europe à avoir maintenu une application qui centralise les données au niveau de l'État. La Grande-Bretagne a renoncé à un projet similaire, la semaine dernière. La Norvège aussi, considérant que sont appli de traçage constituait "une atteinte disproportionnée au droit des personnes"…
Pourquoi conserver une application qui a 2 % d'utilisateurs ?
C'est une bonne question, mais je crois qu’il conviendrait plutôt de la poser à Cédric O ! Avec 10 % de la population qui avait téléchargé son appli de traçage, la Norvège a considéré qu’elle n’était pas utile et l'a abandonnée…
