🔴 Souveraineté numérique et loi SREN

Quel impact du projet de loi SREN sur la souveraineté numérique?

C’est la question que je me suis posée en arrivant aux universités d’été d’Hexatrust qui réunit l’ensemble des acteurs de la Cybersécurité.

🇪🇺

MAJ: La France n'a plus besoin de transposer dans son droit national le Digital Service Act et le Digital Market Act puisque c'est un reglement qui s'applique déjà. Cette loi n'est a priori pas nécessaire.

Au niveau de l’Europe, l’ambition pour le DSA est de réguler les géants de l’Internet sans introduire de contraintes trop fortes sur l’ensemble de l'écosystème. À cet effet, le concept de Gatekeeper a été inventé. En gros, il met surtout la pression sur les GAFAM et TikTok.

👎

La loi SREN, qui aurait pu se contenter de suivre les règles du DMA et du DSA veut ouvrir un chantier bien plus large et très risqué.

Derrière les grands discours pour réglementer l’anonymat, interdire l’accès des mineurs aux sites pornographiques, ou encore réguler les réseaux sociaux, se cachent des intérêts commerciaux importants .

Par curiosité, j’ai écouté les premiers débats qui étaient retransmis sur le site de l’Assemblée nationale.

🔥

Cette loi est un baptême du feu pour le nouveau Ministre du numérique.

Une des choses que j’avais remarquée dans ses discours, c’est qu’il fait très attention à ce qu’il dit. Mais en se voulant plus consensuel, il est plus compliqué à traduire.

🤷‍♂️

Quelle est sa position personnelle sur la souveraineté ? Je suis incapable de vous le dire.

Trois choses m’ont interpellé dans cette loi :

1️⃣

La première, c’est l’idée que le solutionnisme technologique a réponse à tout : un problème, une startup.

Lors d’une prise de parole chez Jean-Marie Cavada, j’avais été étonné que le Ministre parle d’une solution de WEB3 pour gérer l’authentification des mineurs sur les sites pornos sachant qu’il n’existe pas grand-chose aujourd’hui de probant dans le domaine.

Lors du débat sur la loi SREN, j'ai entendu de la part de quelques députés exactement le même discours : « Je connais une super startup qui peut faire des miracles », un discours plutôt étonnant de la part de députés qui doivent respecter un devoir de neutralité.

Pour avoir suivi pendant 20 ans les lois sur le numérique, c’est la première fois que je vois des solutions techniques proposées par des acteurs privés comme réponse à un argument juridique.

⚖️

La loi n'est-elle pas censée rester neutre sur les choix technologiques et commerciaux ?

2️⃣

La seconde, que j’ai remarquée en discutant avec les acteurs du secteur, c’est que des décisions avec des impacts industriels forts sont désormais transférées à une agence, l’ANSSI (Secnum Cloud) et à deux autorités indépendantes, l’ARCOM (sites pornos et réseaux sociaux) et l’ARCEP (interopérabilité du Cloud)

Historiquement, l’ANSSI a une mission de protection et de résilience des infrastructures (elle fait d’ailleurs un travail remarquable.) et l’ARCOM et l’ARCEP sont des organismes de régulation respectivement de l'Audiovisuel et des Télécoms.

Avec cette nouvelle loi, elles deviennent des faiseurs de rois.

🥇

Une certification Secnum Cloud, un tampon délivré par l’ANSSI

🥈

Un référentiel technique de protection des enfants (qui sera dévoilé plus tard selon le Ministre) pour l’ARCOM

🥉

Un label d’interopérabilité pour l’ARCEP, dont on ne connaît toujours pas les contours.

Pour opérer son business dans le numérique en France, faudra-t-il passer obligatoirement par leurs guichets pour obtenir un tampon ?

🤔

Ce qui n’est pas clair et sincèrement inquiétant, c’est ce qu’il adviendra des entreprises qui ne pourront pas ou ne voudront pas passer les certifications de ces différents organismes. Seront-elles privées d’accès au marché ou cantonnées à des marchés moins rémunérateurs ?

👨‍💻

Face à la concurrence internationale, et j’en sais quelque chose, quel entrepreneur souhaitera se noyer dans des certifications lourdes et complexes au risque de perdre tous ses ingénieurs sans aucune garantie de business ?

D’autre part, ces nouvelles missions sont loin de leurs compétences d’origine.

🏛️

L’ARCOM est née de la fusion du CSA et de l’HADOPI. Elle peut donc avoir une forme de légitimité sur la régulation des réseaux sociaux audiovisuels comme Youtube, mais pas sur les outils techniques d’authentification ou les algorithmes des plateformes qui relèvent du domaine du logiciel.

Ses décisions vont-elles impacter le code des acteurs du numérique ? A-t-elle déjà les compétences pour le faire en interne?

🏛️

La même question peut se poser pour l’ARCEP chargée de réguler les réseaux, c’est-à-dire la couche de base OSI. Avec l'interopérabilité du Cloud, elle va devoir juger de la pertinence du code et des APIs et choisir un standard technique.

Quel sera-t-il ? Est-ce que cela sera celui des GAFAM ? Que feront les acteurs, notamment ceux du logiciel libre, qui se basent sur d’autres standards techniques ? Seront-ils exclus du marché ?

☎️

Veut-on créer l’URSS du Cloud ?

Comme me le disait un spécialiste du secteur, l’ARCEP a hérité d’un gros dossier en plus de ses compétences traditionnelles. Rappelons que le marché des télécoms ne compte en réalité que 5 fournisseurs : Ericsson, Nokia, Huawei, ZTE et Samsung. Les trois derniers n’existent que par un soutien important de leurs pays d’origine. C’est un marché de gros.

Dans le monde du Cloud, nous avons certes quelques géants mais aussi un écosystème très actif avec des petits acteurs. Parfois trois ingénieurs construisent la petite brique logicielle qui change tout. Attention à ne pas tout casser en décourageant ces acteurs de réaliser leurs projets en France.

Code is law or law is useless new code ?

Pour la première fois, nous allons voter une Loi qui oblige à changer les pratiques techniques dans une direction qui a été choisie dans une forme d'opacité. Pratiques techniques que seuls ceux qui auront leurs entrées, c’est-à-dire les plus gros, pourront faire évoluer à leur avantage.

🛠️

C’est une décision lourde de sens car aucun pays ne mélange loi et technique. La loi est longue à changer alors que la technique change rapidement. C’est pour cela la Loi doit se limiter à donner une direction et à fixer des règles. À vouloir trop préciser, on finit par étouffer la technologie au lieu de la laisser vivre.

Quant à l’idée que la France pourrait servir de modèle pour le reste du monde, cela me rappelle le format SECAM de la télévision. La France avait son propre standard, le reste de l’Europe le sien et les États-Unis, le leur. Seuls quelques géants du téléviseur comme Sony supportaient les trois standards.

👉

Promouvoir trop vite des standards propriétaires, sans garanties qu’ils seront a minima adoptés au niveau européen, est un risque financier énorme pour les acteurs de Cloud français. Par contre, les GAFAM eux sauront s'adapter à ces standards. La mise en conformité est l’apanage des grandes entreprises.

Diffusion mondiale du format S

3️⃣

Enfin la troisième chose que j’ai comprise, c’est qu’un petit bout de texte pouvait sceller l’espoir d’une vraie souveraineté numérique en France.

La question est simple : si on héberge des données de santé ou autres données sensibles, peut-on continuer à le faire chez les GAFAM comme le font Doctolib ou le Health Data Hub?

👉

Un article 10 Bis A déposé par la sénatrice Catherine Morin-Desailly et voté à l’unanimité lors du passage de la Loi au Sénat dit clairement que l'hébergement ne peut se faire que sur un service de Cloud européen.

Le gouvernement est opposé à cet article et sa majorité a proposé des amendements pour le retirer de la Loi SREN.

✋

Pendant les universités d’été d’Hexatrust, Jean-Nöel Barrot a demandé solennellement à Philippe Latombe qui souhaite le maintenir, dans son discours d’introduction, de ne pas le faire.

🆕

Update : l'article a été retiré.

Avec l’activiste Max Schrems et le député Philippe Latombe juste après le discours du Ministre.

👉

Son argument est que la France négocie quelque chose de similaire au niveau européen (la norme EUCS) et qu’il ne faudrait pas “brusquer” les autres pays.

Ce à quoi la Sénatrice Catherine Morin Desailly m’explique qu’au contraire, un vote favorable à cet amendement du Parlement français serait un levier extraordinaire pour le Ministre dans ses négociations.

👉

Mais pas pour les services hébergeants des données sensibles chez les GAFAM qui seraient obligés de changer pour des services européens.

Les versions sous licences des services des GAFAM qui pourraient répondre au test d’immunité aux lois d'espionnage américaines ne sont pas encore prêtes. En off, on parle de 2025 !

Dilemme.

Une loi peut-elle organiser un marché sans bureaucratiser ou limiter les innovations technologiques des acteurs ?

C’est possible. D’une certaine manière, la loi SREN n’est pas différente de la loi Dadvsi en 2004 qui devait réguler l’industrie de la musique en ligne.

Il y a beaucoup d’enseignements à en tirer, surtout sur ce qu’il ne faut pas faire.

💾

Relire mon étude sur les modèles économiques du P2P pour vous replonger dans la période !

Musique en ligne 2004 :

le marché de la musique en 2004

Nous avions 3 types d’acteurs :

🎹

Les Majors dominaient le marché et étaient opposés au MP3 et au P2P.

🎸

Les labels indépendants, dont certains reprenaient les arguments des Majors sans en avoir la force économique, et ceux qui voulaient être véritablement indépendants.

📻

Et puis il y avait les effets de bord, les Webradios et bien sûr, le téléchargement illégal en P2P très populaire car il n’existait pas de solutions légales dignes de ce nom.

J’avais proposé à l’époque que la loi Davdsi fasse trois choses :

1️⃣

Qu'elle donne aux Majors les moyens de lutter contre la diffusion illégale en amont des sorties (qui à la différence du back catalogue posait un vrai problème économique)

2️⃣

De soutenir les labels indépendants dans leur numérisation et leur donner les moyens de s'autodistribuer ou de tester d’autres modèles, car face aux gigas plateformes de l’époque comme Apple, ils ne faisaient pas le poids. Warp records a lancé Bleep.com en Angleterre pour la musique électronique. Aux États-Unis, on a Bandcamp. En Allemagne, SoundCloud (Disclosure : je suis un des premiers investisseurs). On n’a pas vraiment d’acteurs en France à ma connaissance.

3️⃣

Mettre en place une licence légale pour permettre le financement du back catalogue qui circulait de toute façon sur les réseaux. D’autant plus qu’à l’époque, l’enregistrement de musique sur CD ou disque dur était légal (droit à la copie privée) sauf pour… les musiques qui n’étaient pas sorties d'où ma proposition pour les Majors.

À l'époque, empêcher toute copie voulait dire supprimer la rémunération pour copie privée et donc priver l’industrie d’une manne importante. Et il n’était pas possible d'empêcher le téléchargement P2P qui s’appuie sur une base légale (même si contestée à l’époque).

👎

La loi Dadvsi a fait le pari de la musique téléchargée avec des verrous anti-copie.

Elle n’a pas su légiférer clairement sur le sort des Webradios en streaming. Elle est rapidement devenue totalement anachronique car le marché de la musique a été profondément bouleversé par l’arrivée du streaming.

💰

Les majors qui ont senti le vent tourner et sont devenus actionnaires des grands services de streaming.

👎

À l’inverse, les artistes et labels indépendants n’ont pas pu profiter de ces opportunités.

🎬

Heureusement que le Cinéma français n’a pas fait les mêmes erreurs (il en a fait d’autres). De plus, il avait le CNC et l’exploitation en salle pour maintenir son industrie, sinon il aurait été lui aussi dévoré par les grandes plateformes de streaming.

Personne à l’époque n’avait imaginé que le streaming deviendrait le principal moyen d’écouter de la musique.

🤦

Si l’on avait appliqué une licence légale à la Webradio, comme je l’avais proposé à l’époque à Nicolas Sarkozy (lors d’une réunion sur la musique en ligne où Pascal Nègre avait monopolisé la parole), nous aurions pu développer un modèle plus équitable pour le streaming.

➡️

La morale de l’histoire c'est qu'il ne faut jamais insulter l’avenir. La loi doit être un facilitateur de l’écosystème présent et futur. C'est ça la vraie difficulté.

Quid du Cloud ?

Si j’étais le législateur, je m’assurerais de permettre à plusieurs marchés d’être viables. Des marchés qui existent déjà, et d’autres émergents . Si on les fige par la loi, alors on prend un risque.

Pour expliquer ce qui est en jeu, j’ai fait quelques schémas sur ma tablette.

Le marché du Cloud en 2019 :

Marché du Cloud 2019

Les GAFAM, qui sont très populaires chez les startups et les grands groupes. Ils sont massivement aidés par les États-Unis (plusieurs dizaines de milliards de dollars de commandes pour construire les clouds de la défense, du commerce et de la CIA)
Les acteurs français et européens du Cloud qui sont souvent en sous-financements et qui ont besoin de contrats pour continuer à embaucher des ingénieurs et des vendeurs. Il faut les soutenir avec la commande publique et leur donner des garanties qu’ils seront bien choisis sur les marchés des données sensibles.
Les plus petits acteurs et le monde du logiciel libre qui répondent souvent à des besoins non traités par les gros et qui généralement font la vitalité technologique d’un pays.

👎

Le Ministre du numérique de l’époque, Cédric O, n’était pas certain que les acteurs français étaient capables de rivaliser avec les géants de la Silicon Valley. Il avait oublié que son rôle n’était pas de porter un jugement mais de rééquilibrer le marché.

👉

C’est ce que Bruno Le Maire aurait dû faire avec sa doctrine Cloud au centre. Mais il va dans une autre direction. Il décide de marier les GAFAM avec les grandes entreprises françaises pour lancer des solutions de Cloud GAFAM sous licence.

Mais un cloud sous licence est très compliqué, car il faut dupliquer les services. Les retards s’accumulent. On parle de 2025 pour son lancement commercial.

Le marché du Cloud au Centre en 2021 :

marché du cloud en 2021

Problème soulevé par de nombreux acteurs : les GAFAM sont soumis aux lois d’espionnage extraterritoriales américaines. Peut-on vraiment y mettre des données sensibles ?

👉

C’est pour cela que l’ANSSI a créé le label Secnum Cloud.

Ce label introduit dans sa version 3.2 la question de l’extraterritorialité. Si les Cloud GAFAM sous licences passent le test, alors ils auront accès aux marchés protégés de l’État.

Il y a également un effet de bord de Secnum Cloud, très coûteux en temps et en argent, qui empêche les petits d’entrer sur le marché protégé de l’État.

👉

Juste avant les élections, pour apaiser les critiques, un budget a été alloué aux petites startups pour couvrir les frais de certification de 2023 .

Reste le problème des offres de cloud des GAFAM qui ne seraient pas fournies sous licence à des acteurs français (Offres GAFAM classiques) et qui ne pourrons jamais passer le test d’immunité aux lois extraterritoriales de Secnum Cloud.

🇺🇸

Pour que cela soit le cas, il faudrait que l’application de la loi FISA 702 aux États-Unis change vis-à-vis des données des Européens, ce qui ne sera surement pas le cas un an avant les élections américaines. La jurisprudence Schrems II est claire, si une société utilise les GAFAM pour stocker des données, elle est en violation du RGPD.

La Présidente de l’Europe, Ursula von der Leyen s’applique à régler le problème avec un nouvel accord. En attendant que Max Schrems fasse à nouveau casser ce dernier. Allons-nous vers un Schrems III? ?

Max Schrems

Pour ceux qui veulent comprendre tout cela plus en détail, lisez mon ebook “Lettre à ceux qui veulent faire tourner la France sur l’ordinateur de quelqu’un d’autre”.

La loi SREN et son impact sur le Cloud 2023 :

Marché du Cloud avec la loi SREN

Pour équilibrer le marché du Cloud, la loi SREN pourrait faire trois choses :

1️⃣

Renforcer les exigences vis-à-vis de l'offre GAFAM classique en les excluant clairement du marché de l’hébergement des données sensibles. C’est l’enjeu du fameux article 10 Bis A. Si un jour la loi extraterritoriale sur l’espionnage américain change, alors ils pourront tenter de passer le test Secnum Cloud

2️⃣

Sanctuariser l’accès aux acteurs du cloud français et européens en leur fléchant la commande publique et en leur donnant une visibilité plus affirmée.

3️⃣

Faciliter l’accès au marché des petits acteurs qui aujourd’hui se sentent rejetés par loi. Un comble !

La bureaucratie est l'ennemie de l'innovation.

Conclusion provisoire

J’ai toujours pensé que pour les petits éditeurs qui vont travailler avec des hébergeurs déjà certifiés Secnum Cloud, une procédure plus légère devrait exister.

💡

Un Secnum Lite, qui serait une procédure beaucoup plus légère, pensée pour les petites équipes et pour le logiciel libre qui est un outil important de notre résilience.

Il faut apprendre à légiférer en ayant confiance dans le futur et dans la créativité. C’est ce que l’informatique a toujours su faire.

À vouloir trop bloquer le marché du Cloud dans le présent, on l’empêche d’avoir un futur.

Devenir membre

Soutenez Cybernetica. Recevez nos 6 essais et tous nos bonus. Sortez du prêt-à-penser de la Tech.

S’abonner