Un cadre de confiance
pour anticiper & décrypter les grands enjeux de la cybersécurité

Comment réguler et développer un Internet des objets connectés en Europe ?

Email this to someoneShare on LinkedInTweet about this on Twitter

Tribune de Catherine MORIN-DESAILLY, Sénatrice de la Seine-Maritime, Présidente de la Commission de la culture, de l’éducation et de la communication.

 

Le Règlement Général sur la Protection des Données (RGPD) est entré en application le 25 mai dernier au moment où une vraie prise de conscience collective s’est opérée à propos de la protection de la vie privée sur Internet et l’utilisation faite de nos données personnelles.

Les récents scandales, au premier rang desquels l’affaire Cambridge Analytica, ont montré que les États n’avaient pas anticipé la révolution qu’induiraient les nouveaux usages d’Internet et les dangers que ceux-ci pouvaient représenter. L’organisation et l’exercice des pouvoirs régaliens, la sécurité et la souveraineté nationales, la sincérité des scrutins démocratiques, et la sécurité de nos foyers se retrouvent directement impactés par l’omniprésence du numérique dans nos sociétés. Je l’indiquais dans un précédent rapport parlementaire, l’Union européenne ne s’aurait être une simple colonie du monde numérique[1] et doit se doter des outils qui peuvent assurer sa souveraineté.

Encore une fois, les derniers événements ont scellé la fin du mythe originel de l’Internet : nouvel espace de liberté, Internet s’est révélé aussi instrument de puissance, qui échappe à l’Europe, et support d’un monde d’hypersurveillance et de vulnérabilité. Pour défendre sa souveraineté, l’Union doit disposer d’une stratégie cohérente qui doit lui permettre de lutter contre les cyberattaques étrangères et la manipulation de ses opinions publiques.

Rapporteure de la proposition de loi relative à la lutte contre la manipulation de l’information, je considère que celle-ci apporte une réponse inappropriée à la problématique. Car c’est à minima au niveau européen qu’il faut s’interroger sur le modèle économique sur lequel repose l’Internet et l’ergonomie même des plateformes, conçue pour maximiser l’attention à l’aide de dark patterns en usant de mécanismes psychologiques précisément pensés.

C’est au niveau européen qu’il faut déjà établir le cadre d’une régulation stricte des plateformes dont l’intermédiation aujourd’hui est rendue quasi obligatoire. La question est à traiter une bonne fois pour toutes car il y a là un enjeu fondamental pour la survie de nos démocraties libérales.

La manipulation des réseaux, les cyberattaques et la diffusion de fake news ne sont plus l’œuvre de quelques hackers marginalisés mais de véritables organisations criminelles aux méthodes sophistiquées qui échappent entièrement au contrôle des États. Certaines puissances, qui ont intégré les usages malveillants d’Internet dans leur doctrine de politique extérieure, soutiennent financièrement et matériellement des groupuscules à qui elles sous-traitent les tâches de ce type. En la matière, l’Europe subit plus qu’elle ne dicte.

Le RGPD constitue néanmoins une avancée majeure et de nombreux pays envient l’Union européenne, qui a su anticiper un tel cadre réglementaire. Nous devons nous en réjouir.

Mais le RGPD peine à compenser les effets de décennies d’utilisation non régulée des réseaux sociaux, moteurs de recherche et autres plateformes numériques. Même s’il constitue une avancée exemplaire, il ne saurait constituer l’alpha et l’oméga d’une politique complète à mettre en œuvre en matière de souveraineté.

En quelques années, il faut bien le reconnaître, l’Europe n’a pas été capable de construire une stratégique offensive en matière de numérique face aux coups de boutoir des GAFAM – rattrapés progressivement par les BATX (Baidu, Alibaba, Tencent, Xiaomi) – qui jouissent d’un monopole inégalé, imposent leurs volontés et se jouent de nos divergences pour mieux servir leurs intérêts. L’Europe a jusqu’alors raté le rendez-vous du numérique et cette dépendance l’affaiblit. J’ai de longue date dénoncé ces abus de position dominante des entreprises extra-européennes et milité pour une véritable stratégie offensive qui passe par des meilleures règles de concurrence, l’utilisation de leviers d’achat public pour soutenir le numérique européen sur le modèle du Buy Europe et une politique industrielle ambitieuse notamment dans quatre secteurs clés et d’avenir à l’ère numérique que sont la mobilité, la santé, l’énergie et l’environnement.

J’ai ainsi déposé plusieurs propositions de résolutions européennes, toutes devenues propositions du Sénat[2] afin d’assurer une meilleure protection des entreprises européennes et de définir une stratégie numérique globale dont la dernière est celle sur les objets connectés.

Il faut en effet constater que les objets connectés, entendus comme « objets physiques (possédant) des technologies embarquées de capteurs, d’intelligence et de connectivité, leur permettant de communiquer avec d’autres objets »[3], constituent l’angle mort du RGPD, alors même que ces appareils deviennent incontournables dans nombre de secteurs de notre société : transports, environnement, énergies, hôpitaux, entreprises, administrations, domotique, agriculture etc. En 2017, entre 8,4 et 11,2 milliards d’objets connectés ont été mis en service. En 2020, ces chiffres pourraient être portés à 20 voire 35 milliards selon les estimations les plus ambitieuses[4]. Il ne s’agit en rien de freiner l’expansion d’un marché florissant et qui pourrait générer un gain global de 1000 milliards d’euros d’ici à 2025, soit 7 points de PIB, pour nos filières industrielles[5].

Il apparaît que nous ne saisissions pas tout à fait l’importance que revêtent ces nouvelles technologies en matière de collecte des données personnelles et de respect du droit à la vie privée. Les révélations d’Edward Snowden nous avaient alertés sur les failles de technologies connectées en continu au réseau si bien qu’il devient difficile de savoir si un appareil en veille ou éteint l’est réellement. Les villes intelligentes de demain cacheront de véritables radars à données qui, via la géolocalisation et la reconnaissance faciale, seront capables de cibler les préférences des passants et des utilisateurs et personnaliser l’offre de publicité dans l’espace public. Aussi, afin de regagner confiance dans ces objets devenus les compagnons de nos quotidiens, je fais mienne cette proposition de Bernard Benhamou, Secrétaire général de l’Institut de souveraineté numérique, de mettre en place un droit au silence des puces. Cette mesure permettrait de lutter efficacement contre la collecte massive de nos données en donnant à chaque usager les moyens d’activer et de désactiver ces technologies à la demande. Nous comprenons peu à peu que le numérique conditionne l’exercice d’autres droits et libertés. Ces éléments, qui forment la pierre angulaire de notre futur écosystème numérique, constituent le cœur de cette proposition du Sénat.

Ce phénomène nous pousse à nous doter d’un cadre juridique communautaire clair et d’une stratégie industrielle ambitieuse en matière de régulation des objets connectés qui inscrivent l’Union européenne parmi les grandes puissances numériques.

Tel est donc le sens de la proposition de résolution européenne, devenue proposition du Sénat le 22 mai dernier[6], qui expose des solutions concrètes afin de garantir la compétitive et la sécurité de l’Europe face à l’émergence des objets connectés et la généralisation progressive de leur utilisation.

La campagne Toyfail de l’association norvégienne des consommateurs a montré que le microphone de la poupée connectée Cayla pouvait facilement être détourné pour communiquer avec un enfant et la campagne Watchout s’était penchée sur les failles des montres connectées. Face à ces dangers, chaque pays européen est amené à réagir individuellement. Alors que l’Allemagne a interdit la vente du jouet, la CNIL, elle, ne dispose pas des moyens adéquats pour interdire la vente d’objets peu sécurisés même s’ils violent ouvertement la loi Informatique et libertés. Pour apporter une solution, je propose donc de créer une certification européenne rigoureuse et exigeante pour les objets connectés. Mais cette avancée ne peut se faire si l’Europe reste en retrait dans les arènes internationales de normalisation et de standardisation des technologies.

Les normes, comme parties intégrantes d’une stratégie numérique européenne, relèvent de la politique commerciale de l’Union et, à ce titre, de sa compétence exclusive. Il est donc indispensable qu’une puissance commerciale comme l’Europe se donne les moyens de peser dans la définition des normes technologiques !

En conclusion, les mutations technologiques posent désormais de nombreux défis et appellent une prise de conscience collective face aux opportunités et aux dangers qu’elles peuvent engendrer. Il devient alors urgent de s’attaquer à l’éducation et à la formation de l’ensemble des citoyens et de les sensibiliser aux enjeux de la digitalisation du monde. C’est l’objet du rapport que j’ai présenté en juin dernier au Sénat Prendre en main notre destin numérique : l’urgence de la formation[7] dans lequel je formule 36 recommandations à destination des politiques et administratifs, des entreprises, des écoles, des collectivités et de l’ensemble de la société civile pour faire de la montée en compétence numérique de tous la Grande cause nationale de 2019.

Ce n’est qu’à cette condition que la France, dans le cadre de l’Union européenne, pourra rester dans la compétition mondiale et défendre ses valeurs et ses choix de société. Il nous faut répondre au manque de culture de la sécurité informatique qui accroît la fragilité de notre système. En somme, il s’agit pour l’Union européenne de passer d’une logique défensive à une logique de reconquête.

 

Comment réguler et développer un Internet des objets connectés en Europe [PDF]

 

[1] Catherine MORIN-DESAILLY est l’auteure du rapport d’information L’Union européenne, colonie du monde numérique ? (2013) consultable sur https://www.senat.fr/notice-rapport/2012/r12-443-notice.html
[2] Catherine MORIN-DESAILLY est l’auteure des propositions de résolutions européennes n°44 (2014), n°423 (2017) et n°613 (2017) consultables sur le site Internet du Sénat
[3] Définition de l’Autorité de régulation des communications électroniques et des postes (ARCEP)
[4] Rapport n° 429 de M. André GATTOLIN (2018) consultable sur http://www.senat.fr/rap/l17-429/l17-429.html
[5] André GATTOLIN, op cit.
[6] Catherine MORIN-DESAILLY est l’auteure d’une proposition de résolution européenne sur la régulation et le développement de l’Internet des objets (2018) consultable sur http://www.senat.fr/propositions-de-loi/morin_desailly_catherine04070g.html
[7] Catherine MORIN-DESAILLY est l’auteure du rapport d’information Prendre en main notre destin numérique : l’urgence de la formation (2018) consultable sur https://www.senat.fr/notice-rapport/2017/r17-607-notice.html

 

Email this to someoneShare on LinkedInTweet about this on Twitter