L`E-sécurité au risque de l`externalisation dans la société numérisée

L`E-sécurité au risque de l`externalisation dans la société numérisée

1
L'E-sécurité au risque de l'externalisation dans la société numérisée.
Professeur Jean-Jacques Lavenue1
Directeur de l'IREENAT2
Université de Lille II3
Sommaire
I – E-sécurité et indépendance nationale.
A- Dépendance technologique et souveraineté.
B- La vulnérabilité en période de crise.
II- Privatisation de la sécurité et surveillance dans la société numérisée.
A- La privatisation de la sécurité.
B- La citoyenneté au risque de la privatisation des architectures technologiques
mises en place par l'Etat.
*
La thématique de l'E-sécurité, qu'on la conçoive comme « sécurité dans l'utilisation des
moyens électroniques » ou comme « sécurité par les moyens électroniques » se situe au carrefour de
préoccupations extrèmements différentes, dans un contexte compliqué.
Pour l'administration des Etats, chargée de pourvoir à l'interêt général, à la tranquilité et la
sécurité publique, les nouvelles technologies de la communication, ont très vites été présentées et
perçues comme un formidable moyen de modernisation, d'efficacité, de rationalisation qui allait
leur permettre de rattraper leurs retard et de faire face aux nouveaux défits de la vie moderne.
E-education, e-learning, e-commerce, e-santé, e-administration, e-sécurité furent d'autant plus
mis à l'ordre du jour que des prestataires internationaux se proposaient de leur vendre ces systèmes
clef en main, d'externaliser leurs prestations, leurs services publics. A l'extrème, les Etats pouvaient
1 http://www2.univ-lille2.fr/droit/enseignants/lavenue /
2 http://ireenat.univ-lille2.fr/
3 http://193.51.139.83/w3/
2
envisager d'abandonner une partie de leurs pouvoirs régaliens au nom de la nécessaire réduction du
périmêtre de l'Etat dans un monde mieux géré où l'électronique sécurisée, sécurisante, sécuritaire
favoriserait le libre jeux des lois du marché.
Le triptique e-administration, réforme de l'Etat, adoption des modèles du secteur privé illustre
cet état d'esprit dominant. Le benchmarking et l' externalisation sont les concepts de sa mise en
oeuvre. Le domaine de l'e-sécurité n'a pas échappé à ce processus.
J'ai déjà eu l'occasion à l'Université Saint-Joseph, en décembre 20084, d'évoquer ce phénomène,
et en février 2009, dans le cadre de la LITA 5, de montrer à quel point notre utilisation des TIC était
productrice de données susceptibles de se retourner contre nous. Lorsque je dis « nous » il s'agit des
individus, des citoyens, des administrations et de l'Etat.
Ce que je voudrais évoquer dans le cadre de cette conférence concernera deux choses. Le
problème de l'E-sécurité et l'indépendance nationale, d'une part; la privatisation de la sécurité et de
la surveillance d'autre part.
Le dénominateur commun des problématiques que j'évoquerai étant que, dans tous les cas, la
dépossession de l'Etat entraine la dépossession des citoyens et consacre un effritement de la
souveraineté de l'Etat.
I – E-sécurité et indépendance nationale
Dans un colloque qui s'est tenu à l'Assemblée nationale en France, au mois de juin 2009 6,
Philippe Wolf, de la Direction Centrale de la Sécurité des Systèmes d'informations (DCSSI),
reprenant un article paru en décembre 20087, caractérisait le cyberespace par trois théorèmes que
l'on peut présenter ainsi:
●
●
●
“Toute l'information n'est pas bonne à numériser. Un fichier numérique se clone
parfaitement. L'information peut être dupliquée à l'infini. Quand une information a fuité,
nous n'avons aucune capacité à la retenir. La cryptographie semble capable de protéger
l'information, mais la gestion des clés est un art difficile.
“Le théorème de la confiance: pour pouvoir parler d'informatique de confiance, il faut en
maîtriser les techniques. Nous ne pouvons pas pas avoir confiance en des logiciels que nous
n'avons pas créés. Ni la France, ni l'Europe ne sont maîtres de leurs technologies.
“ Le théorème du virus: la détection du virus est indécidable à la fois par une analyse à
priori ou par une analyse dynamique...les anti-virus...doivent s'accompagner d'une véritable
politique de sécurité “8
Ces “théorèmes” traduisent à nos yeux la prise de conscience de risques qui bien souvent sont
4 J.J.Lavenue, « Partenariat public privé, service public, rôle et réforme de l'Etat: externalisation ou stratégie des
chocs », in colloque « L'externalisation de l'activité administrative et le Partenariat Public Privé», USJ-CEDRELille2, 19 décembre 2008.
5 J.J.Lavenue « Surveillance et société numérisée»,Workshop 4 et 5 février 2009,L.I.T.A., Friedrich Ebert
Stifung,Université Libanaise, Ordre des avocats
6 Colloque “ Souveraineté numérique”, 17 juin 2009,
7 “Jaune - Rouge”, décembre 2008, n° 640, “Trois théorèmes pour caractériser le cyberespace”
8 Repris sur le site de Global Security Mag on Line, http://www.globalsecuritymag.fr/Existe-t-il une
souverainete,200906
3
encore occultés dans le discours euphorisant des apports positifs du monde de l'internet dans lequel
le citoyen, le fonctionnaire, l'usager, la ménagère de cinquante ans, l'écolier, trouveront les
instruments de leur efficacité, de leur culture et de leur distraction.
Big Brother se cacherait-il pour autant derrière les masques de Microsoft , Google, HewlettPackard, Yahoo, IBM? Y aurait-il quelqu'un derriere Big Brother lui-même? L'oeil de Sauron a-t-il
une nationalité? Le réseau serait-il un avatar nouveau de l'hydre de Lerne?
Nous évoquerons ici, selon une approche sans doute un peu impressionniste, quelques situations
pouvant susciter des interrogations quand aux atteintes possibles et aux risques qu'elles peuvent
faire courrir à l'indépendance des individus, des entreprises et à la souveraineté des Etats. Ils se
manifestent dans les comportements les plus courants et pourront prendre une ampleur
insoupçonnée en période de crise.
A- Dépendance technologique et souveraineté.
Il s'agit tout d'abord de mettre l'accent sur un phénomène qui se décline à tous les niveaux
d'une société donnée, des entreprises, des administrations et de leurs personnels. Les implications,
en termes d'indépendance et de souveraineté, de la mise à disposition par des groupes
transnationaux aussi respectables soient ils, Microsoft, Hewlett-Packard, IBM, ou autres, de
technologies informatiques exogènes qui mettent à la disposition de leurs clients des systèmes
informatiques clé en mains, des logiciels de gestion d'envergures diverses.
L'attraction d'une solution compléte et immédiate aux problèmes susceptibles d'être résolus par
l'informatique occulte bien souvent la prise de conscience des dépendances qu'elle induit. On pourra
y ajouter aussi , comme en corollaire, les conséquences nécéssaires qu'elle impliquera en termes de
fournitures, de maintenance des matériels et de formation des personnels destinés à gérer les
systèmes en question.
Naturellement les choses ne seront jamais totalement manichéennes, et le curseur entre
dépendance et recours aux technologies numériques nationales sera positionné de manière très
variable d'un Etat à un autre. Mais il faut avoir clairement conscience que les conséquences des
choix opérés dans ce domaine ne relèvreont pas de la catégorie des simples épiphénomènes.
Quelques exemples nous permettront d'en saisir l'enjeu.
a) Suprématie informationnelle ou souveraineté numérique.
La mise en place d'un mode de gestion informatisé dans une entreprise, une administratio
implique l'acquisition d'une “culture”. Ainsi que l'écrivait, pour la France par exemple, Pierre de la
Coste, dans son rapport sur l'Hyper-République: “l'é-administration ne se généralisera pas sans
une prise de position forte du politique, sur le plan national, mais aussi au niveau régional ou
local”9. Cela sera plus vrai encore en matière d'e-sécurité.
La culture d' entreprises transnationales, qu'il s'agisse de “Microsoft” ou de Thales, Eads n'est en
effet pas nécessairement celle de l' Etat-client, et celle-ci variera aussi naturellement d'un Etat à un
autre. En terme d'indépendance le choix du fournisseur devra être politique en ce sens que toutes les
conséquences induites du choix du système retenu devront être prises en compte et assumées. La
9 http://www.ladocumentationfrancaise.fr/rapports-publics/034000010/index.shtml
4
neutralité technologique est bien loin d'être démontrée. Le décideur devra en avoir conscience au
moment du choix.
Le choix qui consiste au niveau d'un Etat à externaliser son informatique, pourra ainsi bien
souvent correspondre à une volonté de rattrapage à marche forcée et a une volonté de se
positionner rapidement sur le terrain de l'e-gouvernance. Doit-elle être la seule à devoir être prise en
considération ?
Nous pouvons, relever de nombreux exemples de ce type de démarche. Si l'on se réfère ainsi aux
bulletins de veille stratégique du département Poste-Télécommunications Nouvelles technologies
(DEPTNT) du gouvernement marocain10 en juin-juillet 2009, on peut lire:
–
–
IBM aide l'Arabie Saoudite à améliorer son gouvernement11
Microsoft France, nouveau partenaire de l'Université Paris Descartes.
Coopération entre la Tunisie et Microsoft.
Si l'on approfondit ce dernier exemple et analyse le discours développé par les différents
partenaires de cette opération, on relèvera que le ministre des technologies et de la communication,
Mr. El Hadj Gley, explique qu'il s'agissit “de booster la coopération entre la Tunisie et Microsoft
International dans le domaine des TIC et surtout dans les domaines relatifs à la mise en place du
réseau de l'administration électronique”12. Il souligne que le projet permettra, notamment à travers
un Microsoft Innovation Center de développer une industrie logicielle à l'échelle nationale et à
favoriser le partenariat entre le secteur privé, l'université, et les pépinières d'entreprises actives dans
le secteur des TIC.
A ceux qui s'interrogeront sur l'opération 13 en faisant remarquer que la Tunisie ayant fait le
choix il y a quelques annéees du logiciel libre au point de créer un “Secretariat d'Etat
d'Informatique, de l'Internet et des Logiciels Libres”, il y aurait une sorte de contradiction dans
l'accord avec Microsoft; il sera répondu par l'argumentaire classique de la stratégie de l'alliance du
libre et du commercial, de la cohabitation nécessaire des technologies, de la complémentarité
harmonieuse, etc...Nous avons pris l'exemple tunisien mais qui dans nos pays n'est pas confronté à
des situations similaires?
Le phénomène est parfaitement banal. Il n'en est pas moins révélateur d'une vérité
incontournable: celle de la dépendance technologique et des inévitables vulnérabilités qui en
découlent14.Et ceci tant sur la fourniture du software et du hardware, qu'au niveau de la formation
des personnels à quelque degré que ce soit... Et ce n'est pas le fait, par exemple, que Microsoft ou
IBM proposent de “donner accès aux codes sources des principaux produits Microsoft...ou la mise
en place d'un centre d'excellence pour le développement d'une industrie locale du logiciel”15, qui
10 http://www.septi.gov.ma/Fiche_pdf/veille/OUVERTURE-Egov_2.pdf
11 “Le projet pluriannuel e-gouvernement du Service Bus (GSG) propose l'infrastructure de communication et de
sécurité de base pour le programme Yasser dont l'objectif est de moderniser tous les services gouvernementaux du
royaume”. http//www.boursier.com/vals/US/ibm-aide-l-arabie-saoudite-a-ameliorer-son -administration-news336181.htm
12 Http://www.tunisiait.com/article.php?article=3745
13 Http://maghrebinfo.actu-monde.com/archives/article304.html
14 Ainsi que le rappelle Georg C.F. Greve, président de la Free Software Foundation Europe (FSFE):”dans l'univers
propriétaire, qui est toujours la norme dans de nombreux gouvernements, un seul fournisseur est capable de livrer
le logiciel capabe de lire et traiter les données. Donc dans les faits, la plupart des administrations publiques et des
procédures gouvernementales dépendent de logiciels contrôlés par un seul fournisseur sur lequel le gouvernement
n'a aucune prise”. http://fsfe.org/projects/igf/sovsoft.fr.html , p.9.
15 Http://www.soussi.org/faouzi.htm
5
lèvera cette dépendance et fera que l'accord mis en place soit “gagnant-gagnant”.
Le fournisseur, sur le plan technologique gardant la maitrise totale de celle-ci, restera toujours
en mesure d'en contôler l'utilisation sous toutes ses formes. Il pourra imposer, sous peine
d'inefficacité provocable, des modifications d'abonnements, de hausses de tarifs, des nécessités de
formations complementaires, des changements de logiciels, pour ce qui est du plus bénin.
Il pourra aussi, le cas échéant, fournir aux services publics de son Etat, l'accès aux données des
services, des entreprises, des circuits d'information d'un Etat étranger qu'il a équipé. Le logiciel
espion, la back door préinstallée sur des ordinateurs16 ne sont pas uniquement des concepts
fantasmatiques utilisés par les hachers et la police. A l'extrème, le fournisseur d'un Etat sera aussi en
mesure de le rendre sourd, aveugle et impuissant.
La souveraineté numérique, la souveraineté technologique seront les moyens évoqués par ceux
qui craignent les effets néfastes de cette dépendance pour apporter une réponse à un risque que nous
courrons tous. Il s'agira alors au niveau national de garantir la maitrise de ses réseaux et systèmes
d'information par des moyens techniques, poltiques et organisationnels. La création en France, le 7
juillet 200917 de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) 18 est une
traduction de cette demande.
Le discours lénifiant à usage marketing est souvent bien loin de ce que doivent être les
préoccupation fondamentales du service public, de la sécurité de l'Etat au sens premier du terme. La
nouvelle technologie du “cloud computing” peut nous en fournit un exemple.
b) Les risques du “cloud computing”.
Le “Cloud computing”, l'informatique dans le nuage (ou dans les nuages, selon l'office
quebecois de la langue française)19, est un concept qui, ainsi que l'évoque Guillaume Serries “ fait
référence à l'utilisation de la mémoire et des capacités de calcul des ordinateurs et des serveurs
répartis dans le monde entier, et liés par un réseau, tel internet. Les utilisateurs du nuage
pourraient alors disposer d'une puissance informatique considérable et modulable”20.
Dans cette nouvelle configuration , les entreprises, externalisent les ressources numériques
qu'elles stockaient dans les serveurs de sociétés tierces mettant à leur disposition des capacités de
calcul, du stockage21, des logiciels de messagerie électronique, qui seraient accessibles grace à un
système d'identification, via un PC et une connexion à internet.
Il s'agit, selon le livre blanc de la SOGETI 22 “d'une informatique distribuée où les echanges
sont gérés et centralisés par des serveurs distants, les applications étant stockées non plus sur le
poste de travail, mais sur un “nuage” (cloud) de serveurs, accédées par une connexion Internet et
16 Cf. http://www.securityvibes.com/brador-pda-acz-news-275.html ;http://www.securityvibes.com/hp-portableactivex-faille-hpinfodd-acz-news-877.html ;
17 Décret n° 834 du 7/7/2009
,http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000020828212&dateTexte=
18 http://www.ssi.gouv.fr/site_article17.html
19 Http://www.oqlf.gouv.qc.ca/ressources/gdt.htm
20 “Le cloud computing, l'informatique de demain?”, http://www.journaldu net.com/imprimer/solutions/systeme-reseau
21 = Hardware as a service
(HaaS).http://www.google.fr/webhp?hl=fr&tab=iw#hl=fr&source=hp&q=SOGETI%2C+Livre+blanc+cloud&btnG
=Recherche+Google&meta=&aq=f&oq=SOGETI%2C+Livre+blanc+cloud&fp=2da48a14dbd324b8
22 Livre blanc “ Cloud Computing”, mars 2009,p.3.
6
un navigateur web”. Comme le souligne Cecile Ducoutrieux23:”L'intérêt du “cloud est évident. Au
lieu d'acheter des services et des logiciels, qui ne sont pas utilisés à 100%, les entreprises les
louent et ne peient que pour l'usage qu'elles en font24. Elles peuvent aussi, en quelques minutes
accéder à des capacités de stockage et de calcul supplémentaires, auxquelles elles n'auraient, dans
le cas des PME, jamais pu prétendre”. La mutualisation du matériel25 permettrait ainsi d'optimiser
les coûts par rapport aux systèmes conventionnels et d'accélérer la vitesse de développement des
applications partagées.
L' étude qui en a été faite faites par le Journal du Net26 montre ainsi que:
“Amazon a été une des premières entreprises à proposer par l'intermédiaire de ses outils S3
(Simple Storage Service) et EC2 (Elastic Compute Cloud) du stockage et de la puissance de calcul
tirée de son infrastructure informatique pour des clients. Le journal le New York Times est par
ailleurs client d'Amazon et utilise le S3 pour ses archives en ligne.27
“Google est le grand champion du cloud computing. L'entreprise a débuté ses activités dans ce
domaine avec le projet Google 101, et ce de manière à créer un réseau entre des universités à des
fins de recherche. Aujourd'hui, le projet de cloud computing, réalisé en partenariat avec IBM, tend
à créer des centres de calculs, appelés clusters, d'une puissance jamais atteinte jusqu'alors..28
“IBM, dans le cadre de son programme Blue Cloud annoncé en novembre 2007, est en train
d'ouvrir des centres continentaux de cloud computing (celui pour l'Europe est basé à Dublin en
Irlande). Trois centres existent aux Etats-Unis, un autre est également installé en Chine et un
second est en préparation.
“D'autres devraient prochainement être réalisés au Brésil, en Afrique du Sud, en Inde, dans la
péninsule arabique, au Vietnam et en Corée. Il s'agit en fait d'immenses centres de données, que
l'on appelle aussi data fields, à destination d'utilisateurs extérieurs à l'entreprise, qui seront
facturés sur l'usage des ressources informatiques mises à leur disposition.
“Et certaines grosses entreprises du monde de l'informatique se sont décidées à sauter le pas.
Sun Microsystem vient d'annoncer que d'ici à 2015, l'ensemble des centres de calcul de l'entreprise
seront virtualisés chez des tiers dans le cadre d'un cloud.
“D'autres acteurs, tels EMC Corporation, acteur des logiciels d'infrastructure, s'engagent dans
des stratégies de rachat et de croissance externalisée pour mettre au point des offres de cloud
computing. EMC vient par exemple de racheter Pi Corporation, un jeune éditeur de solutions de
gestion d'informations personnelles en ligne, basé à Seattle.”
Ce concept, qualifié, par les uns, de révolutionnaire, de produit marketing par les autres 29, est
censé induire un changement complet de modèle économique (location contre vente de logiciels et
23 “ Le “cloud computing” bouscule l'informatique”, Le Monde, 25 août 2009.
24 = Software as a service (SaaS): les applications sont consommées et payées à la demande et non plus acquises par
l'achat de licences.
25 L'association du HaaS et du SaaS donne le Platform as a service (PaaS) qui permet à la fois la fourniture d'une
puissance informatique et de diverses applications permettant aux entreprises de creer une structure informatique
personnalisée.
26 http://www.journaldunet.com/solutions/systemes-reseaux/analyse/le-cloud-computing-l-informatique-dedemain.shtml
27 Amazon revendique 94 millions de clients à son offre “cloud”(cf. Cecile Ducoutrieux, op. Cit. “Le Monde” du
25/8/2009).
28 Selon Google, environ 3000 PME adoptent chaque jour les services de Google Apps (cf. Cecile Ducoutrieux, op.
Cit. “Le Monde” du 25/8/2009).
29 http://marie.bruno.free.fr/index.php/le-cloud-computing-revolution-ou-simple-effet-marketing/
7
de matériels). Sera-t-il la panacée qui mettra demain l'informatique à la portée de toutes les bourses
et offrira des possibilités considérables de calcul et de stockage mutualisé ou, sous prétexte de
modernisation incontournable, nous mettra-t-il à la merci de nouveaux prédateurs?
Le problème de la sécurité des données dans le “cloud” n'est pas dissociable du concept lui
même. Sécurité des données stockées chez un tiers; sécurité des données liée à la nature juridique
qui leur sera reconnue sur le territoire où à un moment donné le serveur d' hébergement sera
positionné.
En dehors de ce que l'on peut qualifier d'incidents de fonctionnements dont on pourra donner
quelques exemples ( panne du service de messagerie de Google-Gmail laissant plusieurs millions
d'utilisateurs en plan, défaillance du service Google docs, extinction de la beta de Windows Azure
pendant une journée entière30, que d'aucuns attribuent selon le cas au rodage des systèmes et à une
irréductible marge de défaillance31, les véritables questions porteront sur la sécurité des données.
Certains problèmes de sécurité seront liés à l'externalisation de l'informatique elle même hors de
l'entreprise et au désaisissement de ce qui jusqu'alors était géré en interne (= la revanche des DSI?):
–
Confidentialité des données une fois externalisées. Qui disposera des accès administrateurs?
Quels seront les recours en cas de faille de sécurité? Droit applicable?
–
Intégrité des données externalisées et risques d'altération? Responsabilité?
Cécile Ducourtieux, dans le Monde32 évoquant le piratage de données confidentielles se
rapportant aux affaires de Twitter hébergées par les services de Google Apps33 pose la question des
données stratégiques des entreprises dès lors qu'elles sont stockées par une société tierce. Là encore
se pose la question du porteur de la responsabilité et du droit applicable.
Par ailleurs, ainsi que le rappelle le Gartner Group si l'utilisation de sites de stockage multiples
fait partie des points forts du “cloud computing”, il en constitue aussi le point faible.
En effet, écrit-il “la dématerialisation touche à ses limites lorsque l'on s'intéresse au lieu où se
trouve implanté un site de stockage. Les donnéees qu'il contient relèvent alors du régime juridique
local. Autant savoir sous quel cadre réglementaire peuvent se trouver ses données”34.
Comment par exemple pourra-t-on faire appliquer les règles relatives à la protection des données
personnelles? Un prestataire américain sera-t-l assujetti à la loi de 1978 “Informatique et libertés”?
Comment s'assurer, par exemple que Google, comme il l'affirme, si ses clients l'exigent hebergera
bien les données confiées sur un site en France.35
Par ailleurs, souligne François Lambel36:”Une architecture en “cloud computing” ne doit pas
30 Exemples cités pat David-Julien Rahmil, in “Le risque du Cloud Computing”http://windowsitpro.itpro.fr/Dossierspar-Theme/2009/3/31/050503543-Les-risques-du-Cloud-Computing.htm
31 Google rappelant que son taux de disponibilité est de 99,9%.
32 http://abonnes.lemonde.fr/technologies/article/2009/08/24/le-cloud-computing-bouscule-linformatique_1231357_651865.html
33 http://securite.reseaux-telecoms.net/actualites/lire-piratage-des-google-apps-utilisees-par-l-equipe-de-twitter20541.html
34 http://www.gartner.com/technology/home.jsp ; citébpar Réseaux-Télécom.net,http://securite.reseauxtelecoms.net/actualites/lire-les-sept-risques-du--cloud-computing-18483.html
35 Cité par SOGETI, Livre blanc Cloud Computing, mars 2009,p.19.
36 http://securite.reseaux-telecoms.net/actualites/lire-les-sept-risques-du--cloud-computing-18483.html
8
empêcher de répondre aux injonctions de la justice, que ce soit pour des raisons fiscales ou d'ordre
juridique. La tracabilité de l'accès aux données, en particulier, peut être une gageure pour le
fournisseur. Un accord contractuel voire, dans l'idéal, la démonstration qu'il a été répondu
facilement aux demandes lors d'une précédente enquête, s'imposent”.
Ces interrogations prendront une dimension encore plus alarmante en période de crise, dans la
mesure où l'utilisateur-dépendant de technologies étrangères et d'une informatique distribuée se
trouvera de facto a merci et sera obligé d'en venir à rescipicence. Il suffira de “fermer le robinet” de
distribution!
Pour certains l'arme pourra aussi être à double tranchant. Cela pourra être le fait, par exemple,
de certains gouvernements ayant recours à cette fin à l'aide de grandes entreprises
étrangères(censures37). Le logiciel Smartfilter, fabriqué par une société américaine de Silicon
Valley, Secure Computing, permet le filtrage de l'Internet en Arabie saoudite, au Soudan, au
Sultanat d'Oman, aux Emirats Arabes Unis. Mais précisément le logiciel est dans la main des EtatsUnis.
A l'extrème, cela pourra être également la possibilité qu'auront les Etats-Unis de couper les
serveurs racines qui sont principalement sur le sol américain. Que resterait-il alors de
l'informatique, de l'e-administration, de la gestion des banques, des assurancesn des entreprises, du
traffic aérien, féroviaire etc...de la plupart des pays. La réponse est simple: rien. Ce risque sera
naturellement plus grand en période de crise politique majeure.
B- La vulnérabilité en période de crise.
Partant du principe qui veut que “qui peut le plus peut le moins”, il suffira d'évoquer quelques
exemples pour mesurer la vulnérabilité de ceux qui ne sont qu'utilisateurs des technologies
informatiques.
De l'invocation des risques de “guerres cybernétiques”, à la volonté d'écarter un concurrent sur
un marché important, de nombreuses failles pourront être exploitées par ceux qui aurons la maitrise
de l'accès aux serveurs, aux codes sources, aux données.
Dans certaines circonstances: conflits, lutte contre le terrorisme, poursuites pénales...ces
interventions pourront être considérées comme parfaitement légales. Les exigences de la loi
territoriale des Etats où se trouverons serveurs, et les données de tout genre qui y sont hébergées, les
mettront d'autant plus à la merci de cet Etat qu'il seront les titulaires, voire les concepteurs, des
technologies sur lesquelles reposent nos sociétés numérisées.
“Pearl Harbor électronique”,”11 septembre numérique”, “cybergeddon”, “guerre
cybernétique”, nombreux sont les médias à évoquer ces concepts et à s'interroger sur les entreprises
menés par les Etats en ce domaine.
L'Estonie, pays pionnier en matière d'internet, a été le premier pays de l'OTAN touché par de
37 Yahoo et Microsoft (MSN) ont signé un “pacte d'autodiscipline” avec la Chine à travers lequel ils s'engagent à ne
pas diffuser des “messages illégaux et erronés” et à “protéger les intérêts de l'Etat et du public chinois”. Ce pacte
encourage aussi les hébergeurs à identifier les blogueurs. Cf. “Le Monde”29/août 2007,p.22.
9
telles attaques. Entre avril et mai 2007 les réseaux informatiques des banques 38 , des ministères, des
administrations et des partis politiques du pays ont ainsi essuyé durant trois semaines une intense
offensive électronique. L'Etat balte s'est retrouvé à certains moments presque totalement
“déconnecté”. Ainsi que l'évoquait le Spiegel39:”à l'époque, l'Estonie était en pleine crise
diplomatique avec la Russie voisine, si bien que ses dirigeants ont suspectés Moscou d'orchestrer
ces offensives”.
On évoquera la même “patte” dans l'offensive cybernétique contre la Georgie, moins
informatisée que l'Estonie, en août 2008 et dont l'impact a été beaucoup moins inportant40.
La Chine s'est également vue montrer du doigt, depuis 2007, à l'occasion de tentativesd'intrusions
menées contre les Etats-Unis41, l'Allemagne42, la France43, la Nouvelle Zélande44, susceptibles de
préluder à de plus importantes entreprises.
Ainsi que l'a déclaré , début 2009, Shawn Henry, directeur adjoint de la division informatique du
FBI:”la menace qui pèse sur notre infrastructure, nos services de renseignement et nos systèmes
informatiques est immense”45. Lorsque les représentant du FBI disent cela, que doivent dire les
représentants des Etats où tout ce qui est important est lié, voire contrôlé par les ordinateurs et
logiciels qu'ils ont importés et dont ils ne maitrisent ni les codes sources ni la technologie sur
lesquels ils reposent. Dans le jeu d'echec stratégique qui oppose les grandes puissances, les EtatsUnis, la Chine, la Russie, l'Allemagne, la France, tendent à mettre en place des stratégies de
protection. Mais avec quelle éfficacité? Et qu'en est-il pour ceux qui n'en ont pas les moyens?
En allant plus loin, qu'adviendra-t-il, alors, si à cette vulnérabilité sécuritaire doit être ajouté le
fait, amplificateur du désastre annoncé , d'une privatisation antérieure des systèmes de surveillance
et de la sécurité étatique? Une deuxième forme d'externalisation s'ajoutant à celle que nous venons
d'évoquer ajouterait-elle un second niveau de vulnérabilité de la souveraineté nationale.
II- Privatisation de la sécurité et surveillance dans la société numérisée.
38 Le 10 mai, Hansapank; le 15 et 16 mai SEBEesti Uhispank (Le Monde du 28 juin 2007), alors que 99% des
transactions bancaires se font en Estonie par Internet.
39 Repris par Courrier International n°957, du 5 mars 2009, p.38.
40 Cf. art. Isabelle Mandraud: “Internet, l'autre champ de bataille russo-georgien”, Le Monde, 16 septembre 2008.
41 Le bureau de l'industrie et de la sécurité (BIS) du département américain du commerce (DoC) a été victime d’une
attaque massive de pirates qui ont utilisé des serveurs installés en Chine. Les hackers auraient tenté de voler des
données sensibles sur le réseau de l'agence gouvernementale. Le BIS est chargé de l’exportation de technologies
américaines de pointe civiles et militaires. Son objectif principal est de préserver la sécurité nationale, la politique
étrangère et les intérêts économiques des États-Unis.http://cyberpolice.over-blog.com/article-4118639.html
42 En 2006 l'Office Fédéral de protection de la Constitution a informé le gouvernement Allemmand que des serveurs
informatiques de la province de Lanzhou avaient attaqué les réseaux informatiques de plusieurs ministères et celui
de la chancellerie fédérale au moyen de logiciels malveillants conçus pour récupérer des informations sensibles. Der
Spieegel repris par Courrier International n°957 du 5 mars 2009, p.38.
43 Selon GNT ces attaques qui ont eu lieues en septembre 2008 ” ont visé le ministère des Affaires étrangères, et
plus particulièrement les diplomates en poste en ambassade. " Ces attaques se présentaient sous la forme de
messages anodins, en relation avec l'actualité ou les centres d'intérêt des destinataires. La pièce jointe était
susceptible d'installer sur l'ordinateur visé un programme forgé spécifiquement, et donc non détectable par les
protections habituelles, dans un but de récupération et de transfert des informations vers un serveur étranger ". Le
rapport laisse entendre que ces attaques ont été l'oeuvre de groupes organisés et peut-être de services de
renseignement chinois, même si l'Empire du Milieu a démenti toute implication, se disant également victime de
telles attaques”. http://www.generation-nt.com/defense-cyberattaque-chine-france-actualite-120101.html
44 Cf. Le Monde, 5 octobre 2007, p.3.
45 Cf. Le Monde.fr, 7 janvier 2009.
10
“Laissez faire par les autres ce que vous ne savez pas faire”. Cette philosophie, que l'on expose
dans l'argumentaire en faveur de l'externalisation des fournitures informatiques, se retrouvera
totalement dans la présentation de l'externalisation de la surveillance et la mise en oeuvre des
technologies de la sécurité dans la société numérisée. Les conséquences de leur mise en
oeuvreseront du même ordre mais à une echelle qui pourra être considérable. Le prestataire, dans la
mise en oeuvre des services externalisés, outre la mairise technologique, sera en mesure d'entrer en
possession des données et de contrôler le service public externalisé lui même46.
Il s'agit alors de mesurer ici les effets convergents que peut avoir la combinaison:
–
du discours libéral sur l'externalisation nécessaire des services publics de l'Etat et de son
recentrage sur ce qui serait son “coeur de métier”;
–
et de la réduction au coeur même de ce “coeur de métier”, de sa souveraineté qui conduira, au
nom de la lutte contre le terrorisme par exemple, à confier au secteur privé des prestations qui
relèveront du secteur régalien de l'Etat.
Combinées aux risques de dépendance et de vulnérabilité, que nous avons évoqués dans la
première partie de cet article, ces circonstances nous amènent à penser qu'elles font courrir un
risque majeurs aux Etats qui s'en remetteraient trop facilement aux solutions techniques
d'externalisations à première vue avantageuses. Naturellement ce processus et le rytme de sa mise
en place sera variable selon les pays concernés.
A- La privatisation de la sécurité.
Dans son éditorial du journal Libération du 28 mars 2009, Laurent Joffrin écrivait « Big Brother
a été privatisé...Encore faut-il que l'Etat de droit s'applique. L'enfer moderne, c'est la transparence.
Nous ne pouvons vivre sous l'oeil des barabares, seraient-ils branchés, technologiques et
interactifs. La philosophie des Lumières en actes doit ménager aux peuples une part d'obscurité. Il
faut donc combattre avec énergie les dérapages des nouveaux Big Brothers. Par la vigilance et par
la loi, nous devons conserver la liberté de vivre sans laisser de traces ».47 Comme dans une
composition en abîme l'enjeu sera de savoir ( et avec quels pouvoirs) qui observe et qui est en
mesure de contrôler celui qui observe.
Dans le domaine qui nous préoccupe, l'après 11 septembre 2001, la montée du terrorisme, de
l'insécurité, de la petite délinquance ont donné une vigueur nouvelle au phénomène d'externalisation
dont les arguments de promotion tenaient jusqu'alors aux possibilités de contournement des
restrictions budgétaires et à un savoir faire présumé bien meilleur que celui de l'Etat48.
Aux Etatx-Unis, les forces de police ont été ainsi amenées à abandonner certaines de leurs
missions au profit du secteur privé. Le même phénomène tend, bien que dans un contexte
institutionnel différent, à se développer en France et en Europe. Selon un cheminement classique on
46 Cf. effet d'une grève du personnel d'un service de contrôle aérien externalisé par exemple.
47 “Libération », 28 mars 2009, p.2.
48 Cf. J.J Lavenue:”PPP, service public, rôle et réforme de l'Etat:...” http://droit.univlille2.fr/fileadmin/user_upload/enseignants/lavenue/PPP_service_public.pdf
11
observera alors qu'il passera, dans un premier temps, par un processus de délégation de service
public, y compris dans le champ des activités régaliennes, puis, dans un deuxième temps à ce que
l'on peut analyser comme une véritable répartition des compétences sur un “marché de la sécurité”
au nom, par exemple, d'une “complémentarité” entre police étatique et police privée49.
Le processus d'externalisation commencera ainsi par les services périphériques (logistique,
instruction, formation, entretien d'infrastructures, parc immobilier, intendance). Ils pourront
s'étendre progressivement aux missions régaliennes jusqu'à ce que l'on se pose la question, ainsi que
le fait Jean Marguin50:”les grands industriels de l'armement et des services sauront-ils en
association avec les banques d'affaires, proposer aux Etats des solutions clés en main fiables et
moralement acceptables pour les décharger de lourds investissements et de tâches
“périphériques”? Seront-ils assez réactifs pour ne pas être distancés par leurs concurrents anglosaxons qui, pour certains d'entre eux, sont déja en place”.
Dans le domaine de la sécurité, si l' on distingue les activités à base d'intervention humaine
(surveillance et gardiennage, télé-surveillance, vidéo-surveillance) de celles qui relèvent de
l'ingénierie et de production de matériels de sécurité (sécurité informatique, systèmes de contrôle
d'accès), les zônes de franchissement possibles de la frontière des pouvoirs régaliens sont
nombreuses. Surveillance des espaces publics, des gares et aéroports, des communication, des
prisons.
Les transports publics, la SNCF et la RATP par exemple développent en interne des forces de
sécurité importantes pour lutter contre la fraude et l'insécurité dans les trains. Ils mettent également
en place des systèmes de vidéosurveillance, de télé surveillance, d'audio surveillance 51. Le projet de
loi dit LOPPSI 2 52, qui sera examiné d'ici la fin de 2009, prévoit dans ses articles 17 et 18 d'étendre
les finalités pour lesquelles il peut être recourru à la videoprotection, de permettre aux personnes
privées d'installer des systèmes de vidéoprotection filmant ,otamment les abords de leurs batiments
se situant sur l'espace public et d'envisager des délégations de compétences à des partenaires
privés.53
Le développement des technologies de l'”intelligence ambiante “ permet d'envisager des
systèmes complexes de surveillance d'ensembles immobiliers, de lieux de communications pouvant
être gérés par des sociétés de surveillance et de maintenance.
S'agit-il d'atteintes aux libertés publiques, à la vie privée, aux pouvoirs régaliens de l'Etat? Pour
la France, la réponse sera :”pas encore”. Mais l'évolution se dessine et l'on peut se demander si le
modèle d'évolution anglo saxon sera évitable dans un contexte de crise grave ou de résurgence
d'actes terroristes? Que deviendront alors les données collectées par des partenaires externalisés?
Quels seront les pouvoir de contrôle des organes de l'Etat, des particuliers, des juridictions? Les
déclarations faites par les partisans d'une redéfinition a minima du rôle de l'Etat montrent que ce
49 A terme la privatisation de la violence pourra être considérée soit comme l'annonce de la fin de l'Etat républicain,
soit du retour aux formes les plus anciennes de la monarchie et l'emploi qu'elle faisait des “Grandes Compagnies”,
des régiments Allemands, Ecossais, Irlandais et Suisses sous contrats des différents monarques.
http://guyrenaud.free.fr/monarchie_etrangers.htm
50 Cf. “La privatisation des forces armées: une évolution ineluctable?”? Fondation pour la recherche
stratégique.http://www.euro92.com/acrob/marguin.pdf , p.10
51 En France 60 000 cameras surveilleront les rues d'ici à 2011, contre 20 000 aujourd'hui (+ 280 000 dans les banques
et commerces et 50 000 dans les transports). Au Royaume Uni 4 millions de caméras, dont 400 000 à Londres. Cf.
Le Monde Magazine, 26 septembre 2009, p.14.
52 Loi d'Orientation et de programmation pour la performance de la sécurité intérieure.
53 Cf. Le Monde, 25 juillet 2009; projet LOPPSI 2 http://www.assemblee-nationale.fr/13/projets/pl1697.asp
12
type d'évolution n'est pas à exclure.
Dans une étude de la Fondation pour l'innovation politique, think thank libéral créé par l'UMP,
le Pr. Frédéric Rouvillois54 montre ainsi que si, en France, la “police ne se délègue pas”55, (encore),
”Cependant, l'attitude consistant à s'arc-bouter désespérément sur ces positions s'avère en pratique
de moins en moins tenable, y compris en matière d'ordre public-la puissance publique ne suffisant
plus à une tâche de plus en plus lourde et complexe (du fait de la diversification des modes de
délinquance), mais aussi de plus en plus pressante, en raison du niveau d'exigence grandissant des
citoyens en matière de sécurité. Face à un droit positif en décalage croissant avec les besoins des
citoyens et de la Cité, vont donc apparaître des pratiques audacieuses, tendant à envisager une
participation, voire à externaliser des missions se situant aux marges du régalien- et pratiquement
indispensable à son accomplissement”56.
L'adjectif “audacieuses” précisément peut susciter une certaine réserve dans un contexte ou déjà
l'externalisation se manifeste dans le champ du pouvoir régalien . Qu'il s'agisse de la police, des
prisons, de la défense ou de la fiscalité entre autres.
Le domaine de l'exécution des peines est également un secteur dans lequel sera perceptible
l'évolution annoncée. La mise en place de la gestion mixte puis privée, et de la surveillance
électronique en sont deux exemples.
L'administration pénitentiaire pour des raisons d'urgences liées à la surpopulation carcérale et au
retard considérable pris par l'Etat en matière de gestion de l'incarcération a été l'un des premiers
services de l'Etat à s'engager dans une démarche de partenariat avec le secteur privé. Pour autant
elle n'a pas été aussi loin que le souhaitait à l'origine celui que l'on peut considérer comme
l'initiateur de cette réforme: le ministre de la justice Alain Chalandon.
Le texte de l'article 1er du projet de loi qui fut déposé sur le bureau du Sénat , le 19 novembre
1986, illustre en effet une ambition qui n' a pas été atteinte par ses successeurs. La dernière ayant
été Rachida Dati qui le présenta comme son mentor.
L'article premier du projet de 1986 disposait:” Le service public pénitentiaire est assuré
parl'Etat. Celui-ci peut, dans les conditions prévues par la présente loi, confier à des personnes
morales de droit public et privé habilitées à cet effet l'exécution de tout ou partie des prestations
permettant d'assurer cette mission. Ces prestations peuvent comprendre la conception, la
construction, le financement, l'aménagement et la prise en charge du fonctionnement courant des
établissements pénitentiaires, ainsi que la garde et la détention des personnes incarcérées”..
Les rétiscences soulevées par le projet initial eurent pour conséquence une rédaction plus
édulcorée de la loi de juin 198757. La dernière séquence relative à “la garde et la détention”
disparaissant notamment. L'idée de la supériorité des modes de gestion privé subsistant néanmoins
plusieurs projets de partenariats furent développés à la suite de la loi de 87. Sur 188 établissements
de détention, le rapport de la Cour des comptes de 2007 établissait à 14,4% des établissements (27)
hébergeant 25% des personnes incarcérés la part de la gestion mixte utilisée par l'administration
54 F. Rouvillois:”L'externalisation ou comment recentrer l'Etat sur ses compétences essentielles”
55 “Dès lors qu'elle s'exerce sur la voie publique, une activité de surveillance ou de télésurveillance ne peut faire
l'objet d'aucune délégation, et doit être prise directement en charge par l'autorité de police municipale”.TA Nice
SA VigitelC/Commune de Fréjus, 22 décembre 2006, AJDA, 27 juillet 2007, conclusions F. Dieu
56 Op. cit. p.16.
57 Loi n°87-432 du 22 juin 1987,
http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006071199&dateTexte=20091012 Evoqué
13
pénitentiaire dans des Etablissements pénitentiaires a gestion déléguée (EPGD)58.
C'est aux Etats-Unis que l'on retrouvera le plus grand nombre de prisons appartenant à des
entreprises privées, construites et gérées par celles-ci. On en trouve également au Royaume-Uni, en
Allemagne, en Australie et au Canada. La question que l'on pourra se poser sera celle de savoir
jusqu'où pourra aller cette privatisation. Des employers du secteur privé peuvent-ils y être autorisés
à employer la force? Jusqu'à quel point? Peuvent-ils emettre des avis concernant les libérations
conditionnelles ou appliquer des mesures disciplinaires qui pourraient affecter les possibilités de
libération?
La mise en oeuvre de la surveillance par “bracelet electronique” constitue un autre domaine où
pourra s'exercer le partenariat public privé entre l'administration et le secteur privé. Ainsi que le
rappelle le rapport de la Cour des Comptes , évoqué officiellement pour la première fois en 1989, le
placement sous surveillance électronique (PSE) a été consacré comme modalité d’exécution des
peines privatives de liberté huit ans plus tard par la loi n° 97–1159 du 19 décembre 1997. Pour
préciser les modalités de sa mise en oeuvre, un décret d’application n’est intervenu que le 13 avril
2002, soit après un délai de cinq ans. En outre, l’autorisation, donnée par la loi du 15 juin 2000 sur
la présomption d’innocence, d’utiliser le PSE à la place de la détention provisoire a été supprimée
par la loi d’orientation et de programmation n° 2002-113 du 9 septembre 2002 (LOPJ), qui en a fait
une modalité d’exécution du contrôle judiciaire.
Cette loi, dont le décret d’application est paru le 17 mars 2004, prévoyait, en outre, la
généralisation du dispositif pour parvenir, à échéance de 5 ans, au placement de 3 000 personnes
sous surveillance électronique59.
Le Conseil d'Etat ayant refusé que la pose et la dépose des bracelets soient confiés à un
prestataire privé60, à l'heure actuelle l'externalisation se limite à la location et à la maintenance du
matériel. Mais un contrat devrait être prochainement passé par le ministère de la justice pour confier
ue partie de la surveillance et du suivi informatique au prestataire.
Aujourd’hui, treize centres de surveillance sont en fonctionnement et le PSE peut intervenir dans
l’ensemble des directions régionales. Pour rationaliser sa démarche, l’administration pénitentiaire a
envisagé la passation d’un marché national afin de couvrir les besoins de l’ensemble des sites. Mais
ce marché n’a pas été conclu et les directions régionales ont dû continuer à s’approvisionner
localement auprès des fournisseurs qu’elles avaient elles-mêmes sélectionnés. En 2003 et 2004,
l’ensemble des marchés passés par les directions régionales a représenté un montant total de,
respectivement, 0,9 M€ et 2 M€. Au 31 décembre 2004 le nombre de placements sous surveillance
électronique accordé depuis le débute de l'expériementation était de 4361 sur l'ensemble du
territoire, et pour un parc de bracelets disponibles de 1495 bracelets, seuls 714 étaient utilisés.61
58 Dans le système français la délégation de gestion de certaines fonctions à des entreprises privées n'est pas
considérée comme une privatisation.
59 Le PSE est actuellement géré par la seule administration pénitentiaire qui a commencé à le mettre en oeuvre à partir
de 2000.S’inspirant d’exemples étrangers, elle a défini les modalités techniques du dispositif et décidé de recourir à
une expérimentation sur quatre sites pilotes volontaires : Agen, Aix en Provence, Grenoble et Lille. Chacun
d’entre eux a choisi les logiciels et les appareils de surveillance lui paraissant les mieux adaptés localement et a
déterminé ses propres procédures. C’est également de manière dispersée que les quatre directions régionales
concernées ont signé les marchés publics nécessaires pour disposer des équipements informatiques et des appareils de
surveillance requis. L’éclatement de la démarche n’a pas été remis en cause lorsque l’expérimentation a été étendue à
cinq nouveaux sites (Angers, Béziers, Colmar, Dijon et Osny-Pontoise) en novembre 2001. Rapport de la Cour des
Comptes, p. 102. http://www.ccomptes.fr/fr/CC/documents/RPT/RapportGestionPrisons2.pdf
60 Art. R57-19 du Code de Procédure Pénale.
61 Rapport de la Cour desComptes, p. 102 et
14
On observera enfin que lee domaine de la défense, domaine régalien par essence et expression
d'une souveraineté détentrice exclusive du monopole de la violence légitime, est celui qui a subi la
plus forte évolution. L'abandon du service militaire obligatoire62, l'externalisation de certaines
activités ont fait qu'ainsi que l'écrit Ramu de Bellescize63,”des activités précédemment considérées
comme typiquement régaliennes ont pu...recevoir un statut hybride, à la fois public et privé, et civil
et militaire, sans que ce boulversement ait suscité une réelle opposition”.
Historiquement, en France, l'externalisation dans le domaine de la défense va apparaitre comme
le corollaire de la professionalisation de l'armée à partir de la fin des années 1990. L'une des
question qui se posera sera de savoir si l'on risque de passer de l'externalisation des prestations
périphériques à une privatisation de la défense elle même?
L'expérience irackienne des affaires liées à Halliburton 64 et à Blackwater (devenue Xe)65 sont là
pour nous montrer comment le cheminement peut s'opérer.
Les Société militaires privées (SMP)66, le Mercenariat Entrepreneurial67 nous annoncent ils
l'avenir de la privatisation du monopole de la violence légitime et du pouvoir régalien?
Odoacre est-il en route? La souveraineté à l'encan nous annoncera-t-elle l'arrivée de ces barbares,
dont parlait Laurent Joffrin, dans des Etats en pleine décadence? La réponse à ces question sera liée
à la fiabilité du ou des partenaires externalisés. Or à ce niveau tout pourra dépendre des intérêts et
des circonstances. Lorsque dans un spectacle le dompteur met sa tête dans la gueule du lion, on peut
se demander qui est véritablement le maître du jeu. Ladépossession de l'Etat, l'effritement de la
souveraineté entrainera la dépossession du citoyen.
B- La citoyenneté au risque de la privatisation des architectures technologiques mises en
place par l'Etat.
Ainsi que le déclarait, en France, Alex Türk, président de la Commission Nationale Informatique
et libertés (CNIL) « Si l'on accepte sans rien dire de se laisser tracer et profiler, sur le Net, dans les
leux publics comme les aeroports ou cette boite de nuit en Espagne où les jeunes se font incruster
des puces RFID sous la peau, si l'on laisse les bases de données et fichiers de police ou autres
proliférer, le réveil sera très douloureux. Même si l'on n'a rien à cacher, toutes ces données
pourront être utilisées contre vous si elles ne sont pas encadrées68. Le droit à l'oubli, à l'anonymat,
au silence des puces, c'est la seule garantie d'un avenir viable.” On peut également s'interroger sur
la possibilité que ces données soient récueillies par des entreprises privées, des organismes publics
étrangers, et transférées dans un pays tiers?
103.http://www.ccomptes.fr/fr/CC/documents/RPT/RapportGestionPrisons2.pdf
62 Loi du 28 octobre 1997.
63 Ramu de Bellescize:” Les services publics constitutionnels”, LGDJ, 2005, p.184-185.
64 http://www.irishtimes.com/newspaper/opinion/2009/0213/1233867934795.html
65 http://fr.wikipedia.org/wiki/Xe
66 http://www.theatrum-belli.com/archive/2009/08/25/la-problematique-des-societes-militaires-privees-denouveau.html
67 http://doc-iep.univ-lyon2.fr/Ressources/Bases/Somrev/sommaire.html?ID=195
68 J.J. Lavenue & G. Beauvais :« L'externalisation de la gestion des données produites dans le cadre de
l'administration électronique: rationalisation ultralibérale ou tentative de hold-up?», Revue Terminal, n°99-100,
pp.55-69, juin 2007.
15
Reprenant le propos du président de la CNIl, la question qui se pose est de savoir si un Etat dans
un contexte de dépendance technologique aura encore le pouvoir d'imposer le silence aux puces en
question et de s'interroger sur le fait de savoir si les puces ont une nationalité?
Lorsque Microsoft, Yahoo ou un autre groupe gére l'informatique d'un ministère, de l'Etat, ses
communications, ses fichiers, lorsqu'il installe des systèmes de surveillance d'internet, du trafic
routier, des aéroports; lorsqu'il gére et/ou forme les responsables informatiques de la police, des
douanes, de l'armée, mais aussi des banques, des assurances, des chemins de fer, des transports
aériens, des hopitaux, du service des traitements etc... peut on croire un seul instant que ces
systèmes soient imperméables et étanches à ceux qui les ont conçus, installés et mis en oeuvre?
La facilité du recours à l'externalisation, au partenariat public privé, voire à la privatisation, qui
peut représenter une économie immédiate et permettre une modernisation rapide de la gestion du
service publique ne doit pas se faire aux dépens des capacités de contrôle de l'Etat. Or bien souvent
la réduction du périmêtre de l'action de l'Etat, le conduira à supprimer jusqu'aux services de contrôle
et de développement dans les domaine transférés. A l'étiolement de la compétence de l'Etat
correspondra alors l'étiolement de sa souveraineté.
La disparition de l'expertise de l'Etat dans la mise en place et la gestion de certains projets, par
exemple, peut avoir pour résultat une atteinte à la protection des individus, des citoyens et à la
limite de l'Etat lui même. Ce sera le cas lorsque l'on verra un Gouvernement dans le cadre de la
mise en place d'un projet de carte d'identité électronique, ou de passeport du même type, consulter à
travers sa Direction de la Sécurité des Services Informatiques, un expert qui sera un employé de
l'entreprise candidate à la réalisation du projet.
En terme de protection des données personnelles dans l'élaboration des projets mixte de
recherche pour la mise au point de systèmes de surveillance (video, audio, multitechniques): on
s'interrogera de même sur le discours tenu par de grandes entreprises privéees sur la nécessité de
faire sauter « les verrous juridiques ». Verrous juridiques qui préciséments auront pour finalité de
protéger les citoyens, de reconnaître une valeur spécifique aux données, personnelles les
concernant, d'interdire le transfert automatique de données, dans des succursalles à l'étranger ou de
les mettre à la merci de services pouvant un jour devenir malveillants.
Il est donc extrêmement important , et ce sera ma conclusion, que l'enthousiasme pour les
nouvelles technologies soit accompagné par la pratique d' une vertu antique permettant de voir au
delà même du progrès immédiat : la prudence. Après tout rappelons nous comme une Cassandre
post moderne que le Cheval de Troie existe dans le monde des technologies de l'information et de la
Communication, et qu'il peut conduire la cité à sa perte.