La CFE-CGC a récemment été auditionnée à l’Assemblée nationale dans le cadre d’une mission d’information sur le thème « Bâtir et promouvoir une souveraineté numérique nationale et européenne ». Quels en sont les enjeux ?
La pandémie de Covid-19 a montré la vulnérabilité de l’Europe et de la France dans le secteur clé de la santé. S’agissant du numérique, on a pu voir notre forte dépendance aux outils et plateformes américains. Les objectifs de cette mission parlementaire sont de redéfinir des moyens afin de trouver, à terme, une autonomie dans le domaine technologique en France et en Europe.
Il faut imaginer le numérique comme un nouveau territoire à conquérir. Comme tout territoire, celui-ci doit être administré et sécurisé par l’État. Cela se traduit, au niveau du numérique, par la gestion et la sécurisation des infrastructures, des outils et des données des citoyens. Être « souverain », c’est donc être autonome en ayant la pleine capacité de ses choix technologiques et ainsi éviter d’être dépendant des produits Google ou Microsoft. Enfin, garantir notre souveraineté numérique, c’est assurer la pérennité de notre développement économique actuel, donc des emplois qui en dépendent, comme par exemple pour la filière de la 5G.
Quels sont les points de vigilance mis en avant par la CFE-CGC ?
Nous sommes partis d’un diagnostic objectif de nos forces et de nos faiblesses avant de faire des préconisations aux députés. La France possède aujourd’hui de nombreux atouts : les compétences de nos ingénieurs sont reconnues et nous avons des entreprises de taille suffisante pour devenir de futures licornes. Autre exemple : nous possédons un patrimoine de données de santé très riche et très structuré qui attire les convoitises étrangères… Par ailleurs, l’Europe a réussi à imposer un Règlement général de la protection des données (RGPD), devenu un étalon mondial. Comme point faible, on peut notamment citer la non exemplarité de l’État sur certains projets comme le Health Data Hub, qui héberge des données de santé françaises sur Azure, le cloud de Microsoft !
Les propositions de la CFE-CGC tournent autour de la mise en place d’un État stratège dans ce domaine. Celui-ci doit montrer l’exemple, mobiliser les commandes de l’État et l’investissement public vers nos entreprises, s’inscrire dans une souveraineté européenne et garantir la sécurité des données des citoyens. Il ne faut pas se fermer au reste du monde, mais mettre en place des règles qui assurent un équilibre et une saine concurrence pour nos entreprises.
À la traîne face à l’hégémonie des GAFAM, comment la France et l’Europe peuvent-elles combler leur retard ?
Il y a deux stratégies dans l’innovation. La première, c’est l’innovation dite de rattrapage, où l’on investit afin de combler un retard significatif. C’est la plus complexe à gérer et à financer car les écarts peuvent continuer à s’accentuer sans fin. On le voit avec le Cloud : environ 90 % de nos données sont hébergées par des fournisseurs américains sans espoir de les concurrencer sur ce terrain…
La seconde stratégie d’innovation, dite de rupture, permet quant à elle de financer les technologies de demain. Je pense à la 6G, l’intelligence artificielle ou le calcul quantique. Ces grands plans d’investissement doivent se faire au niveau de l’Europe et c’est ce qui est prévu par la mise en place d’un Conseil européen de l’innovation, doté de dix milliards d’euros sur la période 2021-2027. C’est une course : la Chine a déjàdéposé 35 % des brevets mondiaux autour de la technologie 6G, se plaçant devant les États-Unis et l’Europe…
Former nos militants en entreprise sur la protection des données personnelles »
Trois ans après l’entrée en vigueur du RGPD dans les entreprises, quelle doit-être l’approche du comité social et économique et des élus du personnel ?
Les prérogatives du CSE et de ses élus sont celles qu’ils s’attribuent en fonction de leur compétence. Il faut donc former nos militants afin d’être pertinents sur ces sujets complexes. La Charte éthique et numérique RH de la CFE-CGC, élaborée avec le Lab RH, était un premier niveau pour sensibiliser aux enjeux de la donnée dans l’entreprise. Nous avons ensuite, à destination de nos adhérents et militants, publié deux fiches sur la protection des données personnelles pour se poser les bonnes questions dans l’entreprise. Deux fiches complémentaires seront prochainement disponibles pour accompagner les élus lors des consultations d’introduction de nouvelles technologies. Il faut s’en servir, ce sont des outils performants.
Comment répondre aux enjeux de protection des données personnelles associés aux technologies de reconnaissance faciale et de traitement de données biométriques, de plus en plus utilisées ?
Il faut y répondre de manière forte par l’interdiction de ces outils tant que nous ne sommes pas capables d’en garantir une utilisation respectueuse de nos valeurs démocratiques. Un moratoire est la première chose à faire, comme l’a demandé en juin 2020 le CEPD, l’autorité des CNIL européennes, afin d’évaluer et de mesurer les risques de ces technologies intrusives sur l’espace public. Aujourd’hui, l’instance préconise une interdiction des technologies d’identification biométrique à distance, car leur utilisation présente « d’extrêmes et hauts risques d’une intrusion profonde et non démocratique dans la vie privée des individus ». Je rejoins leurs conclusions.
Développer une vraie culture de la cybersécurité dans les entreprises »
Les entreprises françaises sont de plus en plus touchées par les cyberattaques. Comment s’en prémunir ?
On voit se développer des rançongiciels qui sont un chantage à la data. Les collectivités locales et les hôpitaux en sont des cibles privilégiées, mais aussi les entreprises qui tentent de rester plus discrètes pour une question d’image. Ces logiciels malveillants sont une réalité avec laquelle nous devons composer. Il faut donc développer une vraie culture de la cybersécurité dans les entreprises, car la sécurité est l’affaire de tous. Par quels moyens ? Sensibiliser les salariés à une politique de mot de passe et de confidentialité, former les décideurs à gérer une attaque et faire monter en compétence les équipes informatiques. Cela doit devenir la priorité des entreprises.
Depuis deux ans, le gouvernement français développe une stratégie nationale pour développer la blockchain, une technologie de stockage et de transmission d’informations. Quelle analyse en faites-vous ?
On connaît surtout la technologie blockchaincomme l’architecture informatique sur laquelle repose la monnaie virtuelle Bitcoin. Il y plein d’autres applications possibles, par exemple la certification de contrat B2B ou de la propriété intellectuelle… C’est une technologie puissante, fiable, mais qui pose des questions en termes environnementaux car trop énergivore. La stratégie nationale lancé depuis 2019 a pour but de créer une vraie filière industrielle, fondée sur un écosystème guidé par la direction générale des entreprises. La régulation est complexe car elle dépend de cas d’usages très hétérogènes…
Quid de la Plateforme des données de santé (PDS), instaurée par le législateur afin de favoriser la recherche ?
Pour dire cela simplement, mutualiser les données de santé des citoyens à des fins de recherche est important, mais cela doit s’appuyer sur des principes forts et intangibles en termes de souveraineté des données. Faire reposer l’ensemble sur une infrastructure Microsoft est facile et rapide pour la mise en place, mais incompatible avec une vraie vision politique sur ces enjeux. La CFE-CGC s’en est émue à l’Assemblée nationale, appelant de nos vœux un réveil rapide de l’État.
Outre les enjeux de compétitivité industrielle, dans quelle mesure le déploiement de la 5G comporte-t-il des risques en matière de sécurité des données ?
La véritable 5G, dite autonome, ne sera opérationnelle en France qu’à l’horizon 2025. C’est surtout dans cette perspective que les risques sont importants et les conséquences potentiellement graves. En effet, cette technologie permettra de virtualiser l’ensemble du réseau télécom physique alors qu’il s’appuie aujourd’hui sur des logiciels issus de l’open source ou du propriétaire. Il n’y a pas encore de normes ou de régulation même si l’Union européenne y travaille afin d’homogénéiser les pratiques.
Ne pas nous retrouver managés par des robots… »
La Commission européenne a présenté, le 21 avril dernier, un projet de réglementation des systèmes d’intelligence artificielle (IA). Qu’en pensez-vous ?
C’est une bonne chose. C’est la troisième voie européenne, un modèle pour une intelligence artificielle basée sur la confiance, qui se différencie du modèle mercantile américain ou étatique chinois. Les usages de l’IA sont encadrés en fonction de leur niveau de risque et, de cela, découle un certain nombre d’obligations pour les responsables de ces systèmes algorithmiques. Plusieurs applications de l’IA ont été considérées comme à bannir car inacceptables, dont la reconnaissance faciale dans l’espace public. Toutes les applications qui concernent le travail ont été identifiées comme étant à haut risque, c’est-à-dire avec des obligations strictes pour leurs créateurs. Ils devront, s’ils souhaitent vendre leurs applications, donner des informations claires et adéquates à l’intention de l’utilisateur ; permettre un contrôle humain approprié pour réduire au minimum les risques ; définir un niveau élevé de robustesse, de sécurité et d’exactitude.
En revanche, tout est fondé sur du déclaratif et de l’autoévaluation, et nous avons peur d’une minimisation des risques par leurs propriétaires sur l’impact réel pour les salariés. En ne voulant pas brider l’innovation, l’Europe propose un texte qui, à l’instar du RGPD, responsabilise les créateurs d’outils mais qui ne donne pas les moyens de vérifier la documentation produite. C’est un point de vigilance important et nous allons continuer à militer, afin de ne pas nous retrouver managés par des robots…
Propos recueillis par Mathieu Bahuet
Source : site confédéral CFE-CGC