15 Juin Souveraineté numérique (ou indépendance numérique) : que fait le dirigeant d’entreprise ?
Face à la domination des géants américains du numérique (GAFAM), les institutions politiques européennes s’interrogent sur leur souveraineté numérique. Mais qu’en est-il des dirigeants d’entreprise ? Sont-ils concernés par cette question de l’indépendance numérique ? Peuvent-ils agir à leur niveau ? Optim’ease a interviewé Rémi Caspar, fondateur de Coraxis, pour avoir des éléments de réponse.
DELPHINE KIEFFER : Quelle définition donnes-tu de la souveraineté numérique ?
REMI CASPAR : La souveraineté numérique, c’est d’abord maîtriser ses données et son outil informatique : je suis souverain chez moi, je peux décider et agir chez moi. Avec la généralisation de l’hébergement des données et des applications dans le cloud, de nombreux utilisateurs, sans en avoir d’ailleurs réellement conscience, perdent le contrôle de leurs données. Cela ne veut pas dire que le cloud est une mauvaise solution, mais qu’il faut se donner les moyens techniques pour maîtriser ses données, que ce soit à titre personnel ou professionnel.
D.K. : Justement, côté professionnel, quelles données échappent le plus à la vigilance du dirigeant ?
R.C. : Les données stockées dans le cloud sont de différentes sortes : ce sont les fichiers bureautiques de l’entreprise, les fichiers web, la messagerie, ou encore les données liées aux applications.
L’entreprise est généralement attentive à l’hébergement de ses données, en optant par exemple pour des solutions de cloud privé. Mais paradoxalement, il n’est pas rare qu’elle utilise aussi des services en ligne, tels qu’un Google Drive ou un WeTransfer, pour l’échange de fichiers courants. Or, avec ce type d’outils, les utilisateurs exposent clairement les données de l’entreprise.
D.K. : Si un dirigeant est soucieux de la sécurité des données de l’entreprise, pourquoi utiliserait-il des applications grand public non sécurisées ?
R.C. : Le recours aux outils du type WeTransfer ou Google Drive sont des réflexes d’utilisateurs personnels. Employés dans la sphère privée, ces outils sont devenus familiers pour de nombreuses personnes. Par conséquent, si l’entreprise n’a pas fait une démarche de blocage de son système informatique, et qu’elle ne propose pas de solutions alternatives en interne, les salariés vont se tourner vers ces applications orientées grand public, faciles à utiliser et gratuites, et parfois à l’insu de la direction.
D.K. : Quel est le risque pour l’entreprise lorsque les salariés utilisent des applications telles que Google Drive ou WeTransfer ?
R.C. : Lorsqu’un salarié crée un compte sur son initiative personnelle pour utiliser un service en ligne, il détermine lui-même les droits d’accès. L’entreprise n’a donc aucune maîtrise sur ce compte dont il ne connaît pas les identifiants, et peut-être même pas l’existence. Les fichiers de l’entreprise déposés dans ces applications par le salarié ne sont plus maîtrisés.
D.K. : La souveraineté numérique pour un dirigeant, c’est garder le contrôle sur les pratiques numériques de ses collaborateurs ?
R.C. : C’est une des facettes de la souveraineté numérique d’une entreprise. Si le salarié laisse involontairement ses identifiants à des tiers, ou s’il partage un accès avec des personnes extérieures à l’entreprise (un commercial, un stagiaire…), il laisse la porte ouverte aux fichiers de l’entreprise. C’est le facteur humain qui crée la faille.
Pour éviter les dérives, l’entreprise doit fournir les outils dont les salariés ont besoin. Elle doit maîtriser son système d’information en établissant a minima une charte qui définit certains droits, ainsi que des règles précises d’utilisation de ce type d’applications par les salariés.
Les applications métiers posent en général moins de problèmes, car l’entreprise en a la maîtrise. Si des identifiants, nécessaires pour se connecter, sont perdus ou usurpés par des personnes étrangères, il est possible de voir qui s’est connecté.
D.K. : D’après toi, les dirigeants sont-ils sensibilisés aux enjeux de la souveraineté numérique ?
R.C. : Ils en entendent parler, mais je ne suis pas sûr que beaucoup d’entre eux se sentent directement concernés, et surtout ils ne la priorisent pas. La notion est assez nouvelle pour le grand public et elle recouvre plusieurs choses.
D.K. : Pour Pauline Türk, professeur de droit public à l’université de Nice-Côte d’Azur, la souveraineté numérique, c’est « s’autodéterminer dans l’espace numérique ». Elle définit le concept selon trois approches : la souveraineté des Etats (approche juridique), la souveraineté des opérateurs économiques (approche politique et économique) et la souveraineté des utilisateurs (approche libérale). Quelle approche concerne le dirigeant d’entreprise ?
R.C. : Les trois ! En tant qu’utilisateur, il est dans une approche libérale de la souveraineté numérique. Il va devoir prendre des mesures techniques et organisationnelles pour maîtriser et protéger ses données.
Il a aussi une responsabilité par rapport aux opérateurs qu’il va choisir. Et ses choix ne sont pas neutres : lorsqu’il opte par exemple pour la solution Office 365, il accepte de « remettre » ses données à Microsoft et accorde de ce fait les conditions de la souveraineté à l’opérateur économique.
Enfin, plus largement, il doit avoir conscience de son choix de stocker ou non ses données en Europe, s’il veut participer, voire militer, pour une souveraineté numérique européenne. Il faut savoir qu’en confiant ses données à un opérateur hors Union Européenne, il sort du cadre législatif européen et n’a aucun recours possible en cas de crise politique entre les Etats.
D.K. : Alors qu’Internet a aboli les distances et les frontières, la localisation physique des serveurs qui hébergent les données devrait quand même être un critère de choix. Mais lorsque les dirigeants passent par un opérateur économique, savent-ils vraiment où se trouvent leurs données ?
R.C. : Non, parce qu’ils ne connaissent pas les sous-traitants et les partenaires avec lesquels les opérateurs travaillent et qui ont eux-mêmes des sous-traitants. Les dirigeants savent à qui ils confient leurs données, mais ne savent pas où elles sont stockées physiquement, et d’ailleurs cela revêt assez peu d’importance pour eux. Le cloud est assez nébuleux et c’est une belle échappatoire : on met les données dans les nuages, sans savoir où elles se trouvent concrètement.
D.K. : Coraxis propose des solutions d’hébergement sur sa propre plateforme qui est basée à Strasbourg. La localisation des données sur le territoire français est-elle un critère de choix pour les clients Coraxis ?
R.C. : Ce qui importe aux clients, ce n’est pas le fait que leurs données soient localisées en France parce que c’est la France. Ce qui compte, c’est la maîtrise. Coraxis gère directement les données de ses clients sans passer par un intermédiaire, et ses serveurs sont basés à quelques kilomètres de la société pour pouvoir y accéder et agir rapidement en cas de problème. C’est cela que le client recherche : la proximité et la réactivité.
Les clients ne se posent généralement pas la question de la souveraineté numérique au niveau étatique. La localisation sur le territoire français reste donc un critère tout à fait secondaire. En revanche, depuis que le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur en mai 2018, les dirigeants sont plus sensibles à la nécessité d’héberger leurs données en Europe et de savoir ce qu’ils font avec leurs données.
D.K. : Quel est l’intérêt pour un dirigeant d’héberger les données de son entreprise en Europe plutôt qu’à l’étranger ?
R.C. : L’Europe a fait le choix de protéger ses citoyens et leurs libertés, en imposant la contrainte du RGPD. Toutes les entreprises y sont soumises. Dès lors que les données sont stockées sur des serveurs européens, le cadre légal peut être appliqué et respecté, ce qui est moins le cas lorsque les données se trouvent hors Union Européenne.
D.K. : En dehors du fait qu’il est plus difficile de se conformer au RGPD, y a-t-il des risques pour une entreprise à héberger ses données hors de l’Europe ?
R.C. : Déposer ses données à l’étranger, c’est prendre le risque de ne plus pouvoir y accéder s’il y avait un différend politique. Je vais prendre un exemple concret. Lorsqu’une entreprise utilise la Suite Office 365 et sa plateforme d’hébergement OneDrive, elle dépose ses données sur des serveurs américains. Ce n’est pas la solution Microsoft qui pose problème, mais le fait que les données sont régies par des entreprises américaines. Et c’est précisément ce qu’il faut surveiller, car les données entrent alors dans le cadre du Patriot Act. Un Patriot Act, c’est une perquisition massive des données, dans un état de guerre, qui permet à l’Etat américain de s’approprier les données présentes sur son territoire. Certes, une telle situation peut paraître improbable, mais qui aurait pu imaginer la pandémie mondiale du Covid-19 et de ses conséquences économiques et politiques, il y a seulement deux ans ? Tout peut arriver.
C’est une volonté de l’Etat de gagner une certaine indépendance numérique et les entreprises ont leur rôle à jouer dans la construction de cette souveraineté. Déposer ses données en France, c’est participer à la souveraineté numérique de l’Etat.
D.K. : Quelles recommandations donnerais-tu aux dirigeants qui veulent maîtriser leur souveraineté numérique ?
R.C. : La souveraineté numérique pour un dirigeant est d’assurer la maîtrise de ses données, c’est-à-dire de les gérer, de les contrôler, et par conséquent d’en assurer la sécurité.
Le choix de l’opérateur est déterminant. Il est primordial de savoir ce qu’il fait de vos données et quelle est l’étendue de ses services. Les dispose-t-il sur ses propres infrastructures ? Où se trouvent les serveurs ? Assure-t-il un service d’infogérance ? Que met-il en œuvre pour sauvegarder les données ?
Car la sauvegarde ne devrait pas être une option. Que ce soit à titre personnel ou professionnel, chaque utilisateur doit stocker ses données en double, dans des lieux, voire des régions, physiquement différents. Si l’opérateur ne propose pas de sauvegarde, c’est à l’utilisateur d’en prendre la responsabilité.
Le dirigeant travaille avec plusieurs prestataires et doit avoir un lien direct avec chacun d’eux. Il doit savoir qui fait quoi, et surtout avoir les moyens d’intervenir en cas de problème. Mais c’est loin d’être le cas. Pour exemple, certaines mairies font appel à un auto-entrepreneur qui dépose les noms de domaine et héberge les données chez un hébergeur. Si l’auto-entrepreneur disparaît dans la nature, la mairie perd la maîtrise de ses données et noms de domaines.
D.K. : Les utilisateurs ont-ils bien conscience des risques qu’ils prennent ?
R.C. : Très souvent non. Il y a un manque de conscience et aussi un manque de clarté. De nombreux utilisateurs ne savent pas ce qu’est réellement le cloud, ils ne pensent pas que derrière un téléphone, il y a des serveurs qui tournent. On manque certainement de pédagogie et d’accompagnement pour sensibiliser les dirigeants et leur faire prendre conscience des enjeux et des risques. La souveraineté numérique (ou l’indépendance numérique) est pourtant une question essentielle que tout dirigeant doit se poser.
Rémi Caspar,
fondateur de Coraxis
Rémi Caspar a fondé la société Coraxis en 2002. Ses missions : gérer des parcs de données sur site (infogérance) et héberger des données à distance (solutions internet). Sa ligne de conduite : produire des solutions numériques locales et entretenir des relations de qualité et de proximité avec ses clients.
Coraxis compte aujourd’hui plus de 600 clients, parmi lesquels de belles références locales, telles que la Communauté d’agglomération de Haguenau, Bretzel Burgard, l’Agence Régionale du Tourisme Grand-Est ou encore le Parc Naturel Régional des Ballons des Vosges.
Aller plus loin
Dossier
« Comprendre la souveraineté numérique », Cahiers Français, n°415, mai-juin 2020, La Documentation française. Voir
Rapport
Le devoir de souveraineté numérique, Rapport n°7 de Gérard Longuet, Sénat, octobre 2019. Lire Tome 1, Tome 2 (comptes-rendus)
Site web
Institut de la souveraineté numérique. Voir le site
Articles
Nextcloud : on va pouvoir reprendre le contrôle de nos données, Fabrice Fetsch. Lire
Participer au groupe de réflexion
Ethique & Digital
L’automatisation du digital n’est qu’un moyen technique et non une fin en soi. Si le progrès technologique représente une opportunité pour les entreprises, la transformation numérique ne doit cependant pas se faire au détriment des personnes.
« La vitesse imposée par le numérique aujourd’hui inhibe une grande partie de notre réflexion et donne bien plus de poids à la masse statistique qu’à l’introspection. »
Cette citation extraite du livre de Yannick Meneceur, dans son ouvrage L’intelligence artificielle en procès (éd. Bruylant, 2020), nous a encouragé à créer un groupe de réflexion sur l’Ethique et le Digital.
Pour participer au groupe de réflexion sur l’Ethique et le Digital, nous vous invitons à vous préinscrire ci-dessous.
Désolé, le formulaire de commentaire est actuellement clos.