Quel impact du projet de loi SREN sur la souveraineté numérique?
Câest la question que je me suis posĂ©e en arrivant aux universitĂ©s dâĂ©tĂ© dâHexatrust qui rĂ©unit lâensemble des acteurs de la CybersĂ©curitĂ©.
đȘđș
MAJ: La France n'a plus besoin de transposer dans son droit national le Digital Service Act et le Digital Market Act puisque c'est un reglement qui s'applique déjà . Cette loi n'est a priori pas nécessaire.
Au niveau de lâEurope, lâambition pour le DSA est de rĂ©guler les gĂ©ants de lâInternet sans introduire de contraintes trop fortes sur lâensemble de l'Ă©cosystĂšme. Ă cet effet, le concept de Gatekeeper a Ă©tĂ© inventĂ©. En gros, il met surtout la pression sur les GAFAM et TikTok.
đ
La loi SREN, qui aurait pu se contenter de suivre les rÚgles du DMA et du DSA veut ouvrir un chantier bien plus large et trÚs risqué.
DerriĂšre les grands discours pour rĂ©glementer lâanonymat, interdire lâaccĂšs des mineurs aux sites pornographiques, ou encore rĂ©guler les rĂ©seaux sociaux, se cachent des intĂ©rĂȘts commerciaux importants .
Par curiositĂ©, jâai Ă©coutĂ© les premiers dĂ©bats qui Ă©taient retransmis sur le site de lâAssemblĂ©e nationale.
đ„
Cette loi est un baptĂȘme du feu pour le nouveau Ministre du numĂ©rique.
Une des choses que jâavais remarquĂ©e dans ses discours, câest quâil fait trĂšs attention Ă ce quâil dit. Mais en se voulant plus consensuel, il est plus compliquĂ© Ă traduire.
đ€·ââïž
Quelle est sa position personnelle sur la souveraineté ? Je suis incapable de vous le dire.
Trois choses mâont interpellĂ© dans cette loi :
1ïžâŁ
La premiĂšre, câest lâidĂ©e que le solutionnisme technologique a rĂ©ponse Ă tout : un problĂšme, une startup.
Lors dâune prise de parole chez Jean-Marie Cavada, jâavais Ă©tĂ© Ă©tonnĂ© que le Ministre parle dâune solution de WEB3 pour gĂ©rer lâauthentification des mineurs sur les sites pornos sachant quâil nâexiste pas grand-chose aujourdâhui de probant dans le domaine.
Lors du dĂ©bat sur la loi SREN, j'ai entendu de la part de quelques dĂ©putĂ©s exactement le mĂȘme discours : « Je connais une super startup qui peut faire des miracles », un discours plutĂŽt Ă©tonnant de la part de dĂ©putĂ©s qui doivent respecter un devoir de neutralitĂ©.
Pour avoir suivi pendant 20 ans les lois sur le numĂ©rique, câest la premiĂšre fois que je vois des solutions techniques proposĂ©es par des acteurs privĂ©s comme rĂ©ponse Ă un argument juridique.
âïž
La loi n'est-elle pas censée rester neutre sur les choix technologiques et commerciaux ?
2ïžâŁ
La seconde, que jâai remarquĂ©e en discutant avec les acteurs du secteur, câest que des dĂ©cisions avec des impacts industriels forts sont dĂ©sormais transfĂ©rĂ©es Ă une agence, lâANSSI (Secnum Cloud) et Ă deux autoritĂ©s indĂ©pendantes, lâARCOM (sites pornos et rĂ©seaux sociaux) et lâARCEP (interopĂ©rabilitĂ© du Cloud)
Historiquement, lâANSSI a une mission de protection et de rĂ©silience des infrastructures (elle fait dâailleurs un travail remarquable.) et lâARCOM et lâARCEP sont des organismes de rĂ©gulation respectivement de l'Audiovisuel et des TĂ©lĂ©coms.
Avec cette nouvelle loi, elles deviennent des faiseurs de rois.
đ„
Une certification Secnum Cloud, un tampon dĂ©livrĂ© par lâANSSI
đ„
Un rĂ©fĂ©rentiel technique de protection des enfants (qui sera dĂ©voilĂ© plus tard selon le Ministre) pour lâARCOM
đ„
Un label dâinteropĂ©rabilitĂ© pour lâARCEP, dont on ne connaĂźt toujours pas les contours.
Pour opérer son business dans le numérique en France, faudra-t-il passer obligatoirement par leurs guichets pour obtenir un tampon ?
đ€
Ce qui nâest pas clair et sincĂšrement inquiĂ©tant, câest ce quâil adviendra des entreprises qui ne pourront pas ou ne voudront pas passer les certifications de ces diffĂ©rents organismes. Seront-elles privĂ©es dâaccĂšs au marchĂ© ou cantonnĂ©es Ă des marchĂ©s moins rĂ©munĂ©rateurs ?
đšâđ»
Face Ă la concurrence internationale, et jâen sais quelque chose, quel entrepreneur souhaitera se noyer dans des certifications lourdes et complexes au risque de perdre tous ses ingĂ©nieurs sans aucune garantie de business ?
Dâautre part, ces nouvelles missions sont loin de leurs compĂ©tences dâorigine.
đïž
LâARCOM est nĂ©e de la fusion du CSA et de lâHADOPI. Elle peut donc avoir une forme de lĂ©gitimitĂ© sur la rĂ©gulation des rĂ©seaux sociaux audiovisuels comme Youtube, mais pas sur les outils techniques dâauthentification ou les algorithmes des plateformes qui relĂšvent du domaine du logiciel.
Ses décisions vont-elles impacter le code des acteurs du numérique ? A-t-elle déjà les compétences pour le faire en interne?
đïž
La mĂȘme question peut se poser pour lâARCEP chargĂ©e de rĂ©guler les rĂ©seaux, câest-Ă -dire la couche de base OSI. Avec l'interopĂ©rabilitĂ© du Cloud, elle va devoir juger de la pertinence du code et des APIs et choisir un standard technique.
Quel sera-t-il ? Est-ce que cela sera celui des GAFAM ? Que feront les acteurs, notamment ceux du logiciel libre, qui se basent sur dâautres standards techniques ? Seront-ils exclus du marchĂ© ?
âïž
Veut-on crĂ©er lâURSS du Cloud ?
Comme me le disait un spĂ©cialiste du secteur, lâARCEP a hĂ©ritĂ© dâun gros dossier en plus de ses compĂ©tences traditionnelles. Rappelons que le marchĂ© des tĂ©lĂ©coms ne compte en rĂ©alitĂ© que 5 fournisseurs : Ericsson, Nokia, Huawei, ZTE et Samsung. Les trois derniers nâexistent que par un soutien important de leurs pays dâorigine. Câest un marchĂ© de gros.
Dans le monde du Cloud, nous avons certes quelques géants mais aussi un écosystÚme trÚs actif avec des petits acteurs. Parfois trois ingénieurs construisent la petite brique logicielle qui change tout. Attention à ne pas tout casser en décourageant ces acteurs de réaliser leurs projets en France.
Code is law or law is useless new code ?
Pour la premiĂšre fois, nous allons voter une Loi qui oblige Ă changer les pratiques techniques dans une direction qui a Ă©tĂ© choisie dans une forme d'opacitĂ©. Pratiques techniques que seuls ceux qui auront leurs entrĂ©es, câest-Ă -dire les plus gros, pourront faire Ă©voluer Ă leur avantage.
đ ïž
Câest une dĂ©cision lourde de sens car aucun pays ne mĂ©lange loi et technique. La loi est longue Ă changer alors que la technique change rapidement. Câest pour cela la Loi doit se limiter Ă donner une direction et Ă fixer des rĂšgles. Ă vouloir trop prĂ©ciser, on finit par Ă©touffer la technologie au lieu de la laisser vivre.
Quant Ă lâidĂ©e que la France pourrait servir de modĂšle pour le reste du monde, cela me rappelle le format SECAM de la tĂ©lĂ©vision. La France avait son propre standard, le reste de lâEurope le sien et les Ătats-Unis, le leur. Seuls quelques gĂ©ants du tĂ©lĂ©viseur comme Sony supportaient les trois standards.
đ
Promouvoir trop vite des standards propriĂ©taires, sans garanties quâils seront a minima adoptĂ©s au niveau europĂ©en, est un risque financier Ă©norme pour les acteurs de Cloud français. Par contre, les GAFAM eux sauront s'adapter Ă ces standards. La mise en conformitĂ© est lâapanage des grandes entreprises.
3ïžâŁ
Enfin la troisiĂšme chose que jâai comprise, câest quâun petit bout de texte pouvait sceller lâespoir dâune vraie souverainetĂ© numĂ©rique en France.
La question est simple : si on héberge des données de santé ou autres données sensibles, peut-on continuer à le faire chez les GAFAM comme le font Doctolib ou le Health Data Hub?
đ
Un
article 10 Bis A dĂ©posĂ© par la sĂ©natrice Catherine Morin-Desailly et votĂ© Ă lâunanimitĂ© lors du passage de la Loi au SĂ©nat dit clairement que l'hĂ©bergement ne peut se faire
que sur un service de Cloud européen.
Le gouvernement est opposé à cet article et sa majorité a proposé des amendements pour le retirer de la Loi SREN.
â
Pendant les universitĂ©s dâĂ©tĂ© dâHexatrust, Jean-Nöel Barrot a demandĂ© solennellement Ă Philippe Latombe qui souhaite le maintenir, dans son discours dâintroduction, de ne pas le faire.
đ
Update : l'article a été retiré.
đ
Son argument est que la France nĂ©gocie quelque chose de similaire au niveau europĂ©en (la norme EUCS) et quâil ne faudrait pas âbrusquerâ les autres pays.
Ce Ă quoi la SĂ©natrice Catherine Morin Desailly mâexplique quâau contraire, un vote favorable Ă cet amendement du Parlement français serait un levier extraordinaire pour le Ministre dans ses nĂ©gociations.
đ
Mais pas pour les services hébergeants des données sensibles chez les GAFAM qui seraient obligés de changer pour des services européens.
Les versions sous licences des services des GAFAM qui pourraient rĂ©pondre au test dâimmunitĂ© aux lois d'espionnage amĂ©ricaines ne sont pas encore prĂȘtes. En off, on parle de 2025 !
Dilemme.
Une loi peut-elle organiser un marché sans bureaucratiser ou limiter les innovations technologiques des acteurs ?
Câest possible. Dâune certaine maniĂšre, la loi SREN nâest pas diffĂ©rente de la loi Dadvsi en 2004 qui devait rĂ©guler lâindustrie de la musique en ligne.
Il y a beaucoup dâenseignements Ă en tirer, surtout sur ce quâil ne faut pas faire.
đŸ
Relire mon
étude sur les modÚles économiques du P2P pour vous replonger dans la période !
Musique en ligne 2004 :
Nous avions 3 types dâacteurs :
đč
Les Majors dominaient le marché et étaient opposés au MP3 et au P2P.
đž
Les labels indĂ©pendants, dont certains reprenaient les arguments des Majors sans en avoir la force Ă©conomique, et ceux qui voulaient ĂȘtre vĂ©ritablement indĂ©pendants.
đ»
Et puis il y avait les effets de bord, les Webradios et bien sĂ»r, le tĂ©lĂ©chargement illĂ©gal en P2P trĂšs populaire car il nâexistait pas de solutions lĂ©gales dignes de ce nom.
Jâavais proposĂ© Ă lâĂ©poque que la loi Davdsi fasse trois choses :
1ïžâŁ
Qu'elle donne aux Majors les moyens de lutter contre la diffusion illégale en amont des sorties (qui à la différence du back catalogue posait un vrai problÚme économique)
2ïžâŁ
De soutenir les labels indĂ©pendants dans leur numĂ©risation et leur donner les moyens de s'autodistribuer ou de tester dâautres modĂšles, car face aux gigas plateformes de lâĂ©poque comme Apple, ils ne faisaient pas le poids. Warp records a lancĂ© Bleep.com en Angleterre pour la musique Ă©lectronique. Aux Ătats-Unis, on a Bandcamp. En Allemagne, SoundCloud (Disclosure : je suis un des premiers investisseurs). On nâa pas vraiment dâacteurs en France Ă ma connaissance.
3ïžâŁ
Mettre en place une licence lĂ©gale pour permettre le financement du back catalogue qui circulait de toute façon sur les rĂ©seaux. Dâautant plus quâĂ lâĂ©poque, lâenregistrement de musique sur CD ou disque dur Ă©tait lĂ©gal (droit Ă la copie privĂ©e) sauf pour⊠les musiques qui nâĂ©taient pas sorties d'oĂč ma proposition pour les Majors.
Ă l'Ă©poque, empĂȘcher toute copie voulait dire supprimer la rĂ©munĂ©ration pour copie privĂ©e et donc priver lâindustrie dâune manne importante. Et il nâĂ©tait pas possible d'empĂȘcher le tĂ©lĂ©chargement P2P qui sâappuie sur une base lĂ©gale (mĂȘme si contestĂ©e Ă lâĂ©poque).
đ
La loi Dadvsi a fait le pari de la musique téléchargée avec des verrous anti-copie.
Elle nâa pas su lĂ©gifĂ©rer clairement sur le sort des Webradios en streaming. Elle est rapidement devenue totalement anachronique car le marchĂ© de la musique a Ă©tĂ© profondĂ©ment bouleversĂ© par lâarrivĂ©e du streaming.
đ°
Les majors qui ont senti le vent tourner et sont devenus actionnaires des grands services de streaming.
đ
Ă lâinverse, les artistes et labels indĂ©pendants nâont pas pu profiter de ces opportunitĂ©s.
đŹ
Heureusement que le CinĂ©ma français nâa pas fait les mĂȘmes erreurs (il en a fait dâautres). De plus, il avait le CNC et lâexploitation en salle pour maintenir son industrie, sinon il aurait Ă©tĂ© lui aussi dĂ©vorĂ© par les grandes plateformes de streaming.
Personne Ă lâĂ©poque nâavait imaginĂ© que le streaming deviendrait le principal moyen dâĂ©couter de la musique.
đ€Š
Si lâon avait appliquĂ© une licence lĂ©gale Ă la Webradio, comme je lâavais proposĂ© Ă lâĂ©poque Ă Nicolas Sarkozy (lors dâune rĂ©union sur la musique en ligne oĂč Pascal NĂšgre avait monopolisĂ© la parole), nous aurions pu dĂ©velopper un modĂšle plus Ă©quitable pour le streaming.
âĄïž
La morale de lâhistoire c'est qu'il ne faut jamais insulter lâavenir. La loi doit ĂȘtre un facilitateur de lâĂ©cosystĂšme prĂ©sent et futur. C'est ça la vraie difficultĂ©.
Quid du Cloud ?
Si jâĂ©tais le lĂ©gislateur, je mâassurerais de permettre Ă plusieurs marchĂ©s dâĂȘtre viables. Des marchĂ©s qui existent dĂ©jĂ , et dâautres Ă©mergents . Si on les fige par la loi, alors on prend un risque.
Pour expliquer ce qui est en jeu, jâai fait quelques schĂ©mas sur ma tablette.
Le marché du Cloud en 2019 :
- Les GAFAM, qui sont trĂšs populaires chez les startups et les grands groupes. Ils sont massivement aidĂ©s par les Ătats-Unis (plusieurs dizaines de milliards de dollars de commandes pour construire les clouds de la dĂ©fense, du commerce et de la CIA)
- Les acteurs français et europĂ©ens du Cloud qui sont souvent en sous-financements et qui ont besoin de contrats pour continuer Ă embaucher des ingĂ©nieurs et des vendeurs. Il faut les soutenir avec la commande publique et leur donner des garanties quâils seront bien choisis sur les marchĂ©s des donnĂ©es sensibles.
- Les plus petits acteurs et le monde du logiciel libre qui rĂ©pondent souvent Ă des besoins non traitĂ©s par les gros et qui gĂ©nĂ©ralement font la vitalitĂ© technologique dâun pays.
đ
Le Ministre du numĂ©rique de lâĂ©poque, CĂ©dric O, nâĂ©tait pas certain que les acteurs français Ă©taient capables de rivaliser avec les gĂ©ants de la Silicon Valley. Il avait oubliĂ© que son rĂŽle nâĂ©tait pas de porter un jugement mais de rĂ©Ă©quilibrer le marchĂ©.
đ
Câest ce que Bruno Le Maire aurait dĂ» faire avec sa doctrine Cloud au centre. Mais il va dans une autre direction. Il dĂ©cide de marier les GAFAM avec les grandes entreprises françaises pour lancer des solutions de Cloud GAFAM sous licence.
Mais un cloud sous licence est trĂšs compliquĂ©, car il faut dupliquer les services. Les retards sâaccumulent. On parle de 2025 pour son lancement commercial.
Le marché du Cloud au Centre en 2021 :
ProblĂšme soulevĂ© par de nombreux acteurs : les GAFAM sont soumis aux lois dâespionnage extraterritoriales amĂ©ricaines. Peut-on vraiment y mettre des donnĂ©es sensibles ?
đ
Câest pour cela que lâANSSI a crĂ©Ă© le label Secnum Cloud.
Ce label introduit dans sa version 3.2 la question de lâextraterritorialitĂ©. Si les Cloud GAFAM sous licences passent le test, alors ils auront accĂšs aux marchĂ©s protĂ©gĂ©s de lâĂtat.
Il y a Ă©galement un effet de bord de Secnum Cloud, trĂšs coĂ»teux en temps et en argent, qui empĂȘche les petits dâentrer sur le marchĂ© protĂ©gĂ© de lâĂtat.
đ
Juste avant les élections, pour apaiser les critiques, un budget a été alloué aux petites startups pour couvrir les frais de certification de 2023 .
Reste le problĂšme des offres de cloud des GAFAM qui ne seraient pas fournies sous licence Ă des acteurs français (Offres GAFAM classiques) et qui ne pourrons jamais passer le test dâimmunitĂ© aux lois extraterritoriales de Secnum Cloud.
đșđž
Pour que cela soit le cas, il faudrait que lâapplication de la loi FISA 702 aux Ătats-Unis change vis-Ă -vis des donnĂ©es des EuropĂ©ens, ce qui ne sera surement pas le cas un an avant les Ă©lections amĂ©ricaines. La jurisprudence Schrems II est claire, si une sociĂ©tĂ© utilise les GAFAM pour stocker des donnĂ©es, elle est en violation du RGPD.
La PrĂ©sidente de lâEurope, Ursula von der Leyen sâapplique Ă rĂ©gler le problĂšme avec un nouvel accord. En attendant que Max Schrems fasse Ă nouveau casser ce dernier. Allons-nous vers un Schrems III? ?
Pour ceux qui veulent comprendre tout cela plus en dĂ©tail, lisez mon ebook âLettre Ă ceux qui veulent faire tourner la France sur lâordinateur de quelquâun dâautreâ.
La loi SREN et son impact sur le Cloud 2023 :
Pour équilibrer le marché du Cloud, la loi SREN pourrait faire trois choses :
1ïžâŁ
Renforcer les exigences vis-Ă -vis de l'offre GAFAM classique en les excluant clairement du marchĂ© de lâhĂ©bergement des donnĂ©es sensibles. Câest lâenjeu du fameux article 10 Bis A. Si un jour la loi extraterritoriale sur lâespionnage amĂ©ricain change, alors ils pourront tenter de passer le test Secnum Cloud
2ïžâŁ
Sanctuariser lâaccĂšs aux acteurs du cloud français et europĂ©ens en leur flĂ©chant la commande publique et en leur donnant une visibilitĂ© plus affirmĂ©e.
3ïžâŁ
Faciliter lâaccĂšs au marchĂ© des petits acteurs qui aujourdâhui se sentent rejetĂ©s par loi. Un comble !
La bureaucratie est l'ennemie de l'innovation.
Conclusion provisoire
Jâai toujours pensĂ© que pour les petits Ă©diteurs qui vont travailler avec des hĂ©bergeurs dĂ©jĂ certifiĂ©s Secnum Cloud, une procĂ©dure plus lĂ©gĂšre devrait exister.
đĄ
Un Secnum Lite, qui serait une procédure beaucoup plus légÚre, pensée pour les petites équipes et pour le logiciel libre qui est un outil important de notre résilience.
Il faut apprendre Ă lĂ©gifĂ©rer en ayant confiance dans le futur et dans la crĂ©ativitĂ©. Câest ce que lâinformatique a toujours su faire.
Ă vouloir trop bloquer le marchĂ© du Cloud dans le prĂ©sent, on lâempĂȘche dâavoir un futur.
Lire aussi :