Mercredi 17 juillet 2013
- Présidence de M. Bruno Sido, sénateur, président -Nomination de rapporteurs sur la saisine de la Commission des affaires économiques du Sénat sur le risque numérique
M. Bruno Sido, sénateur, président de l'OPECST. - Je voudrais tout d'abord saluer l'arrivée de M. Michel Becq en qualité de nouveau responsable du secrétariat ; les plus anciens d'entre nous le connaissent puisqu'il a déjà travaillé à l'Office ; il succède à M. Philippe Dally qui a pris sa retraite.
À la suite de la saisine de l'Office par le Président de la commission des affaires économiques du Sénat, nous avions organisé, le 21 février 2013, une audition publique, ouverte à la presse, à l'Assemblée nationale dont le thème était : « Le risque numérique : en prendre conscience pour mieux le maîtriser » qui a confirmé, s'il en était besoin, tout l'intérêt et l'actualité de ce thème. Des événements récents ont encore renforcé ce constat, bien au-delà de ce qui était supposé au mois de février. Cette audition, très riche, a été fort intéressante.
Aujourd'hui, il nous incombe de procéder à la désignation d'un ou de plusieurs rapporteurs pour transformer les pistes entrevues lors de l'audition publique en développements d'un prochain rapport de l'Office tout en ayant soin de bien cibler la problématique à retenir pour, à la fois, prendre le temps d'entendre les personnes concernées, en France, dans l'Union européenne ou à l'étranger mais également être en mesure de présenter ce travail dans un délai raisonnable.
L'étude préalable, dite de faisabilité, propre aux méthodes de travail de l'Office, permettra de préciser ces points - étant entendu que l'audition publique de février 2013 nous a déjà permis de mieux cerner certains enjeux et devrait nous faire maintenant gagner du temps dans l'élaboration de ladite étude préalable.
Pour l'heure, concernant la nomination du, ou des, rapporteurs, j'ai reçu la candidature de Mme Anne-Yvonne Le Dain, députée, vice-présidente de l'Office, et je vais donc lui donner la parole pour expliciter le sens de sa candidature.
Mme Anne-Yvonne Le Dain, députée, vice-présidente de l'Office. - Chacun sait que nous sommes maintenant dans un monde qui est complètement virtuel, numérisé. Depuis une quinzaine d'années, on ne peut plus vivre sans un ordinateur et un téléphone portable connecté.
Dans ce monde-là, il s'est passé deux choses : avant, on stockait nos informations dans nos ordinateurs, éventuellement dans un serveur tandis que, maintenant, on ne stocke plus rien et la tendance est à déstocker complètement, à découper l'information en petits morceaux pour la stocker ailleurs, grâce au cloud computing ou, en français, informatique en nuage. Cela renvoie à deux concepts : la notion de risque numérique par rapport à la protection des données personnelles qui a été mise en scène récemment par l'apparition dans le paysage numérique d'un jeune homme, Bradley Manning, qui a mis un nombre considérable de documents confidentiels via le site Wikileaks et puis, phénomène important, les données personnelles, les données individuelles découpées en petits morceaux sont, de fait, la propriété des fournisseurs d'accès et, pire, celle des fournisseurs de l'utilisation de l'accès.
Les réseaux, par exemple France Telecom, Free, SFR, pour ne parler que de la France sont propriétaires de la tuyauterie mais les fournisseurs d'accès c'est, par exemple, Google, mais c'est aussi tous ceux qui vont les utiliser comme Facebook ou Twitter. Tous ces systèmes ont accès à vos données et adoptent, dans le cloud computing, une logique consistant à dire : puisque c'est moi gère ces données, elles m'appartiennent. Cette mondialisation des informations, extrêmement segmentées, stockées mais qui transitent beaucoup et qui sont découpées en morceaux aboutit à octroyer la propriété, de fait, des données à des gens qui vous proposent des services et qui stockent et transportent lesdites données.
Cela est important car il en découle la perte du droit à l'intimité, il n'y a plus d'intimité, ni quant à notre identité ni sur ce que nous sommes ; nous pensons être en sécurité et nous ne le sommes pas car les informations sont la propriété des fournisseurs d'accès ou des hébergeurs ou des deux. Cela ne fait que se développer.
Derrière cela, se trouve la question de la protection des données personnelles incluant le droit à l'oubli, mais également la protection des données des personnes morales que sont les administrations, les entreprises et les États qu'il ne faut pas oublier. Donc la sécurité des données pose la question du risque numérique et celle de savoir en quoi Big Brother est vraiment présent aujourd'hui.
Qu'est-ce que Big Brother pourra faire, qu'aura-t-il le droit de faire, notamment au cours des années à venir ? Quand je dis Big Brother, c'est pour reprendre une image que tout le monde a en tête. Nous sommes face à Big Brother. Que pourra-t-on lui permettre ou lui interdire, sachant qu'on ne peut vraiment le nommer et qu'il est lui-même découpé en petits morceaux et que de nouveaux petits morceaux naissent chaque jour.
Je voudrais insister aussi sur le fait que ces entreprises, que nous utilisons tous, sont toutes américaines, que le siège de chacune est aux États-Unis d'Amérique, comme les données transitant par elles ; d'ailleurs, lorsque ces données sont en Europe, c'est généralement en Irlande ou dans des lieux permettant des situations de défiscalisation complète. Donc ces données n'ont plus de valeur pour l'économie européenne ; elles n'ont de la valeur que pour l'économie nord-américaine.
M. Bruno Sido. - La parole est au Premier vice-président.
M. Jean-Yves Le Déaut, député, premier vice-président de l'OPECST. - Je souhaiterais présenter la candidature de M. Bruno Sido en qualité de co-rapporteur. Avec la candidature de Mme Anne-Yvonne Le Dain, cela nous permettrait de bénéficier à la fois les points de vue du Sénat et de l'Assemblée nationale, de la majorité et de l'opposition, d'une femme et d'un homme, en bénéficiant de la richesse de l'expérience propre à chacun d'eux.
En dehors de ce qu'a dit Mme Anne-Yvonne Le Dain, je rappelle que M. Bruno Sido s'est penché sur cette question ; il a été à l'initiative de l'audition publique organisé par l'Office sur le risque numérique ; il s'est plutôt attaché au risque civil tandis que j'ai présidé la partie de cette réunion relative au risque militaire. Par ailleurs, dans le cadre de la commission des affaires étrangères et des forces armées, je présente chaque année un avis budgétaire intitulé « Environnement et prospective de la défense » dans lequel je traite de la cyber-défense même si c'est de manière moins approfondie que les travaux de l'Office. Sur la cyber-défense, il existe déjà plusieurs rapports dont, en 2012, le rapport d'information de M. Jean-Marie Bockel au Sénat intitulé « La cyberdéfense : un enjeu mondial, une priorité nationale ».
Il reste tout un pan qui n'a pas encore été étudié, à savoir la fragilité des systèmes complexes, soit douze secteurs vitaux dépendant totalement de l'informatique, dont les transports ou la santé ; il suffit d'observer une voiture pour le constater.
La sécurité des systèmes informatiques, c'est la sécurité individuelle, la sécurité des transports aériens, ou autres, du nucléaire, du système de santé, du stockage de données et ces systèmes se trouvent à la merci de pirates informatiques ou hackers.
Il faudra également voir dans cette étude si l'on dispose de suffisamment de spécialistes formés à la sécurité informatique. Il semblerait que non. Pour l'instant, ce sont les militaires qui, avec la Délégation Interministérielle pour l'Armement (DGA), les recrute.
Ne faudrait-il pas, en informatique, une sécurité du niveau de celle des laboratoires P4 de sécurité maximale mise en place dans le domaine de la biologie ? La coordination entre le militaire et le civil est-elle optimale ? Il y a énormément de domaines complémentaires sur lesquels vous avez une étude à conduire.
Notre président, M. Bruno Sido, s'est intéressé au sujet du risque numérique. La commission des affaires économiques du Sénat en a saisi l'OPECST qui pourrait désigner les deux rapporteurs pressentis.
M. Bruno Sido. - L'idée du thème de ce rapport m'est venue à la suite d'une audition, passionnante, de l'Institut national de la recherche en informatique et en automatique (INRIA).
C'est un domaine très complexe où l'on manque de spécialistes. Notre société est régie par l'informatique ; depuis le distributeur de billets au coin de la rue jusqu'aux systèmes les plus élaborés, tout passe par l'informatique. On est quasiment à la merci du premier pirate venu. Pour éviter le pillage des entreprises, de leur recherche, de leur recherche appliquée, il faut les orienter vers davantage de sécurité.
C'est un sujet majeur, un enjeu fondamental pour la survie et la richesse de notre pays.
M. Jean-Yves Le Déaut. - Il s'agit-là, pourrait-on dire, d'hygiène informatique, aussi importante pour la société que l'asepsie lors d'une opération chirurgicale.
Juste un exemple : si une entreprise vérifie l'identité des personnes ayant accès à la messagerie de son PDG, elle devrait constater que seuls le PDG et sa secrétaire, et uniquement eux, y ont accès. Or, à l'occasion du contrôle de la sécurité informatique d'une entreprise, il est apparu que deux inconnus avaient accès à cette messagerie : deux pirates informatiques disposaient ainsi de la totalité des informations relatives à l'entreprise. Dans ce cas précis, un simple contrôle des accès à la messagerie du président aurait permis d'éviter cette situation.
Bien entendu, je vote pour les deux candidats présentés.
M. Patrick Hetzel, député. - Je trouve que ce rapport est une excellente idée, une très bonne suggestion et me réjouis de voir que vous allez travailler tous deux sur cette question.
Je n'ai rien à redire à ce qui a pu être dit. Je voudrais simplement ajouter un point. Mme Anne-Yvonne Le Dain a évoqué Big Brother principalement sous l'angle individuel. Je pense que c'est encore plus pernicieux que cela puisque, aujourd'hui, un certain nombre d'entreprises, Google ou d'autres, sont allées jusqu'à proposer des services à des opérateurs publics, notamment aux universités. Dans ce cas, existerait le risque que des données qui, a priori, sont des données appartenant à des opérateurs publics deviennent la propriété d'opérateurs économiques étrangers. Cela va extrêmement loin et mérite une investigation particulière.
Non seulement l'idée de ce rapport est bonne mais je suis sûr qu'elle sera fructueuse et qu'elle permettra des débats intéressants sur cette question.
Mme Anne-Yvonne Le Dain. - Actuellement, tout le monde est focalisé sur la protection des données personnelles. À Bruxelles, à Strasbourg, on ne parle que de ça. Mais les données personnelles sont aussi bien celles des personnes physiques que des personnes morales (entreprises, administrations, laboratoires...).
La sécurité numérique doit être abordée à partir de la notion de risque pour bien englober aussi les aspects économiques, y compris les opportunités offertes car le seul aspect sécuritaire restreint dès l'abord le champ de la réflexion. Or, une construction juridique peut aussi conduire à favoriser l'économie.
Ce rapport va constituer un vaste chantier.
M. Bruno Sido. - Il est envisagé une présentation de l'étude préalable, dite de faisabilité, si possible fin septembre, compte tenu du lien de ce rapport avec l'important travail qui a été accompli lors de la dizaine d'heures d'écoute, très intéressantes, de l'audition publique du 21 février 2013, et puis, si le rythme de la progression des travaux le permet, le rapport lui-même pourrait être terminé au début du mois de mars 2014.
Si vous en êtes d'accord, je vais maintenant vous demander de voter sur les candidatures de Mme Anne-Yvonne Le Dain et de moi-même.
(Approbation à l'unanimité des membres présents).
Ces candidatures sont adoptées. Mme Anne-Yvonne Le Dain et moi-même serons les rapporteurs de la prochaine étude de l'OPECST sur « Le risque numérique : en prendre conscience pour mieux le maîtriser ». Cet intitulé lui-même pouvant être modifié en fonction des conclusions de l'étude préalable qui sera soumise à l'Office à la rentrée.