La loi de programmation militaire (LPM), actuellement en discussion au Parlement, comporte un volet relatif à la cybersécurité. Son article 35 [page 38], plus particulièrement, confère à l’Autorité nationale de sécurité des systèmes d’information (Anssi) des pouvoirs accrus en matière de surveillance.
Ceux-ci incluraient la possibilité de placer dans les réseaux de télécommunications, chez les hébergeurs et dans les centres de données, des « marqueurs techniques » (c’est-à-dire des sondes) et des « dispositifs permettant le recueil de données ». En l’état, la définition des « données » par le projet de loi n’apporte pas plus de précisions, ce qui conduit à penser que les données personnelles seraient incluses.
Il n’est pas besoin de souligner ici combien le principe même de la LPM, qui consiste à prendre acte du retour des menaces que la guerre en Ukraine illustre de manière spectaculaire et à se donner la capacité d’agir dans une perspective pluriannuelle, est pertinent.
En revanche, les dispositions envisagées soulèvent deux séries importantes de questions, si on les replace dans une perspective européenne.
Un coup porté à la confiance des utilisateurs
Premièrement, l’adoption de ces mesures risque de percuter le développement de ce que la France a nommé la doctrine du « cloud de confiance ». Face aux retards européens en matière de développement du cloud, les autorités françaises, en pleine conformité avec l’approche européenne d’Internet placée sous le sceau des « valeurs » et illustrée notamment par le règlement général sur la protection des données (RGPD) [en anglais General Data Protection Regulation, GDPR], ont plaidé et convaincu leurs partenaires européens d’adopter une approche largement qualitative du cloud.
Au cœur de cette approche, une idée simple : le cloud européen attirera d’autant plus qu’il pourra se prévaloir du mieux-disant mondial en matière de respect de la vie privée, sujet essentiel qui ne concerne pas que les Européens.
Or le risque est donc grand de saper cette approche. L’exemple américain est là pour l’attester. Les révélations sur les dispositifs de recueil de données par les autorités de sécurité intérieure et extérieure américaines n’ont pas manqué de porter un coup à la confiance des utilisateurs. C’est bien à ce type de risque que l’on s’exposerait ici. Mais l’effet serait sans doute plus grand. En effet, il frapperait des acteurs européens dont la position commerciale est beaucoup moins établie que celle de leurs concurrents américains.
Il vous reste 44.71% de cet article à lire. La suite est réservée aux abonnés.