Souveraineté numérique : des administrations invitées à l’exemplarité
La mission menée par le député Philippe Latombe a remis son rapport sur les moyens de renforcer la souveraineté numérique française et européenne. De la fibre à la cybersécurité en passant par l’identité numérique, le cloud et les logiciels libres dans l’administration, le rapport aborde de multiples sujets, à l’image d’un numérique désormais omniprésent. Avec des propositions parfois détonantes.
Lancée juste après le premier confinement, révélateur de la dépendance française au numérique et aux solutions étrangères, et en pleine vague de cyberattaques, la mission souveraineté numérique de l’Assemblée nationale a remis ses propositions début juillet 2021. Nourrie de 83 auditions, le rapport signé de Philippe Latombe (Modem, Vendée) aborde quatre thématiques - infrastructures, entreprises technologiques, administrations publiques et implication du citoyen - et fait 30 propositions classées par ordre de priorité.
Contrôle de la qualité des déploiements par l’Arcep
La première d’entre elles porte ainsi sur la qualité des raccordements à la fibre. Le mode Stoc (1) et les désordres observés dans le déploiement de la fibre sont en effet "régulièrement revenus" dans les échanges menés par la mission avec les représentants des collectivités territoriales (notre actualité du 9 avril). Le rapporteur demande au gouvernement – qui renvoie aujourd’hui la responsabilité aux opérateurs – de prendre à bras le corps le sujet et plaide pour un "renforcement des contrôles" de la part de l’Arcep. En matière de couverture 5G, le rapporteur invite les pouvoirs publics à "rattraper le retard" en accélérant la certification des équipements réseaux dont la sécurité est jugée stratégique (notre article du 6 juillet).
Des moyens pour l’Anssi et Cybermalveillance
La sécurité occupe du reste une large part dans ce rapport avec une insistance particulière sur la question des moyens affectés par l’Etat. Le rapport invite ainsi à renforcer le budget de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), tout comme celui de la Cnil sur le volet sécurité des données. Il plaide aussi pour la création d’un parquet national cyber pour coordonner la lutte contre la cybercriminalité et le renforcement des moyens du GIP Cybermalveillance. Une mesure qui va de pair avec l’urgence à développer "une culture de la cybersécurité" chez les acteurs publics comme dans les TPE-PME. Des acteurs économiques qui manquent de solutions cyber "100% souveraines", sujet sur lequel le rapport souhaite voir émerger des offres "correspondant à leurs besoins et moyens financiers". Il note du reste que la commande publique et l’Ugap (2) pourraient contribuer à favoriser l’acquisition de solutions souveraines tout en aidant à l’émergence de champions tricolores de la cybersécurité .
Solutions libres et françaises obligatoires dans les administrations
Le rapport propose ensuite de faire de l’Etat et des administrations un modèle en matière de souveraineté numérique (notre article du 13 juillet). En termes de pilotage, il suggère la création d’un ministère du numérique doté de moyens propres et au périmètre élargi aux enjeux européens et internationaux. Côté logiciels, le rapport note que malgré l’instruction de 2012 et la loi de 2016 encourageant l’usage de logiciels libres, leur portée reste limitée, le recours aux logiciels libres tenant souvent à un DSI proactif. Il préconise en conséquence de transformer cette incitation en "obligation", tempérée par la possibilité de recourir exceptionnellement à des solutions propriétaires. Cette obligation serait assortie d’une autre contrainte : l’usage par les administrations de solutions tricolores. Une obligation qui devra cependant s’articuler avec les règles de mise en concurrence et la réalité du marché, certaines administrations se réfugiant souvent derrière le fait que les solutions françaises ne proposent pas toutes les fonctionnalités requises. Mais comme l’illustre l’exemple du Health data hub, ces choix peuvent être préjudiciables à la souveraineté sur les données (voir encadré).
Identifiant unique citoyen ?
Le dernier volet du rapport est consacré au citoyen où il s’agit à la fois de garantir son identité numérique régalienne, la protection de ses données et de "simplifier les services". En matière d’identité, le rapporteur déplore "le retard préjudiciable de la France", avec le choix d’une Carte nationale d'identité électronique (CNIE) non dotée de fonctionnalités de partage d’attributs (âge, résidence…) (notre article). Ce partage est certes aujourd’hui possible avec FranceConnect mais le rapporteur juge indispensable de l’associer à un support physique numérique sécurisé, autrement dit de les stocker dans la puce pour pouvoir être lus sans passer par internet. En matière de simplification, il est suggéré de créer un "guichet unique" pour réaliser l’ensemble des formalités administratives et offrir la possibilité au citoyen "d’être informé en temps réel de l’utilisation de ses données par l’administration". Ce guichet unique serait notamment rendu possible par la création d’un "identifiant unique" pour chaque citoyen français sur le modèle luxembourgeois ou estonien… Un "modèle" auquel la Cnil est cependant farouchement opposée, obligeant à des évolutions législatives loin d’être acquises. Enfin, le rapport invite à une "amplification de l’effort" en matière d’éducation au numérique avec une formation au code, à l’innovation ou encore aux risques cyber débutant dès le plus jeune âge et se poursuivant tout au long de la vie.
(1) Mode Stoc : modèle ou contrat dans lequel l’opérateur d’immeuble (OI) "sous-traite" à l’opérateur commercial (OC) le raccordement du client final.
(2) Ugap : Union des groupements d'achats publics, centrale d'achat publique française, placée sous la double tutelle du ministre chargé du budget et du ministre chargé de l'Education nationale.
Lors des auditions, le recours à des solutions américaines pour la plateforme de données de santé Health Data hub (3), a été justifié par la représentante du GIP au motif que Microsoft proposait des fonctionnalités non offertes par des prestataires européens. Or, même si les données sont en France, certains traitements sont réalisés aux USA où les entreprises sont soumises au "Cloud Act". Un texte qui oblige toute entité présente sur le sol américain à répondre aux injonctions de communication de données du gouvernement des Etats-Unis. Des risques qui amènent le rapporteur à pousser la création d’une offre cloud 100% européenne et à demander un état des lieux des recours juridiques possibles pour s’opposer à la communication d’informations à une puissance étrangère. (3) infrastructure créée le 30 novembre 2019, destinée à faciliter le partage des données de santé issues de sources très variées afin de favoriser la recherche. |