Plusieurs textes importants sont en cours de discussion à l'Assemblée nationale et au Sénat qui touchent nos nouvelles manières de vivre et de travailler, que ce soit avec l'usage de l'internet ou du cloud. Le projet de loi « sécuriser et réguler l'espace numérique » ainsi que le projet de loi « visant à donner à la douane les moyens de faire face aux nouvelles menaces » prévoient le recours au blocage administratif de sites internet au lieu de passer par le juge, procédure contradictoire avec un contrôle a priori et non a posteriori qui existe déjà depuis 2004. Certes, ces blocages interviendraient pour de bonnes causes, comme la protection des enfants face à des sites à caractères pédopornographiques ou pour bloquer la vente illégale de cigarettes, mais le fait que les administrations concernées ne soient pas inscrites dans la loi mais désignées par décret pose un débat de légitimité démocratique.

Loi de programmation militaire

Le projet de loi qui pose le plus de questions sur l'utilisation d'internet et de ses outils, dont le cloud, est celui relatif à la loi de programmation militaire. Il introduit en effet quelques articles sur la sécurité des systèmes d'information et la gestion du cyber qui visent à renforcer les pouvoirs de l'Agence de la sécurité des systèmes d'information (Anssi) pour lutter notamment contre la multiplication exponentielle des cyberattaques, comme celles venant d'acteurs étatiques telle que la Russie ou la Chine. Ce renforcement passe notamment par un élargissement des possibilités de tracer et de recueillir certaines données auprès des opérateurs de communication électronique ou de cloud, dont l'analyse peut être ensuite partagée avec les services de renseignement. Ce texte permet à l'ANSSI, sans contrôle, de collecter des données de toute infrastructure numérique en France.

Les mesures prévues par ce projet de loi interrogent à plusieurs titres. On peut d'abord s'étonner que des mesures liées à la cybersécurité aient leur place dans le texte de programmation militaire. Les mesures sur la sécurité des systèmes d'information auraient davantage dû être débattues dans un projet de loi relatif aux nouvelles technologies.

Ensuite, les entreprises sont très défavorables à ces mesures. Il ne s'agit pas seulement des opérateurs de communication électroniques ou des fournisseurs des noms de domaine qui sont ici directement concernés par les nouveaux pouvoirs données à l'ANSSI. Les entreprises industrielles ou de service qui cherchent à attirer des clients en mettant en avant le « cloud de confiance » européen sont également très réticentes à ces mesures qui verraient les services de renseignement avoir accès à leurs données.

Se protéger des lois extraterritoriales américaines

Enfin, les mesures introduites dans ce texte vont à l'encontre de la volonté des Européens de créer ce « cloud de confiance » qu'ils mettent en avant contre les clouds exposés aux lois extraterritoriales américaines et la possibilité qu'elles offrent aux services secrets américains de saisir les données des entreprises européennes. L'Union européenne a négocié avec les Etats-Unis pour obtenir des garanties sur la saisie et l'exploitation des données électroniques des entreprises européennes. La législation française devient de fait tout aussi intrusive avec les « marqueurs techniques » que l'ANSSI pourra mettre sur les sites internet ou les clouds.

La protection de nos démocraties face aux attaques électroniques du crime organisé et des régimes autoritaires est difficile et mérite toute notre vigilance. Elle ne doit cependant pas se faire en introduisant dans notre législation des mesures qui pourraient se retourner contre nous si elles devaient être un jour mal utilisées.