Le gouvernement des États-Unis entend bien récupérer « l’espion » Snowden où qu’il se trouve, quitte à bouleverser les relations diplomatiques. Que recouvre ce zèle apparemment disproportionné ? Rien moins qu’une profonde mutation des relations entre les entreprises qui créent la société de l’information et l’État, avec ses services dits de renseignement.

Depuis le 11 septembre, les attentats de Madrid et de Londres, le public attend de l’État la détection et la neutralisation des menaces, quelles qu’en soient la dimension et l’origine. Les gouvernements ont réagi à cette demande sécuritaire en élargissant encore le champ du renseignement, poussé de plus en plus loin dans l’intimité de chacun. Ils font accepter aux citoyens que les abandons de confidentialité dans leur vie privée soient le pendant nécessaire à leur sécurité. Coïncidence remarquable ou hasard délibéré, cette volonté de surveillance a été concomitante avec l’émergence de plates-formes incitant de plus en plus les internautes à mettre en ligne leurs informations. La banalisation de l’usage de l’Internet par les entreprises et les particuliers permet aux services de renseignement d’accéder à des quantités astronomiques d’informations personnelles.

Une fois mis en place les instruments de surveillance, l’usage qui en est fait dépend de leur gouvernance. Ainsi l’arsenal législatif issu du 11 septembre, destiné à lutter contre le terrorisme, a été utilisé dans des affaires relevant du droit commun (trafic d’armes ordinaires, drogue, contrefaçon). La question est donc de savoir quelles sont les données collectées, quel usage en est fait et qui y accède.

Au plan sociétal, la surveillance systématique fait peser sur chacun une épée de Damoclès : se trouver sans recours face à des espions éventuellement malveillants ou stupides. La charge de la preuve se trouve inversée : à chacun de prouver son innocence si les données semblent l’incriminer. Ce mécanisme est d’autant plus pernicieux que la plupart des données collectées sont secrètes, si bien que, faute d’y avoir accès, il est quasiment impossible de les critiquer ou de les questionner pour se disculper, et que même certaines formes de précautions (no fly list par exemple) sont elles mêmes secrètes.

On ne saurait douter de la puissance des outils d’analyse des données dont se sert la NSA. La disponibilité de supercalculateurs pouvant brasser ces masses de données donne un sentiment de puissance qui aveugle les analystes et les rend moins précautionneux. En effet passer trop vite du constat d’une corrélation à la certitude d’une causalité est un travers classique. L’extraction automatique de graphes créant des liens parfois fictifs entre individus, l’analyse discriminante et autres techniques de classification permettent de diviser les personnes selon leur famille d’opinion, puis de focaliser l’attention sur certains individus, enfin d’en faire des cibles. On peut et on doit vraiment tout craindre de leur application aveugle et sans discernement, ainsi un nombre non négligeable d’innocents ont trouvé leur vie bouleversée par le filet trop peu discriminant de la lutte contre le terrorisme, coupables d’homonymie, de « mauvais endroit, mauvais moment », ou d’association.

Pour une entreprise, le risque est de voir ses informations transmises à ses concurrents, aux tiers avec lesquels elle négocie ou à tout autre acteur. Il est permis d’imaginer qu’une information reçue par un pays « ami » soit transmise à un autre qui le serait moins. Ces dernières années la focalisation médiatique sur des activités d’espionnage attribuées à la Chine tend à faire oublier que tout le monde espionne tout le monde, notamment entre partenaires.

Au plan économique, un risque indirect réside dans la perte de confiance. L’Internet est une place de marché, or aucun marché ne peut fonctionner sans confiance. Les risques que fait peser sur chacun l’espionnage systématique sont de nature à stériliser ce marché que l’on regrettera car il est commode et efficace.

Au plan technique, la perte de confiance va frapper l’informatique en nuage (cloud computing) et donc l’ubiquité de la ressource informatique : c’est une importante perte d’efficacité pour l’informatisation.

On constate donc une divergence importante entre pays européens et États-Unis : désormais toute entreprise européenne sait que si elle confie ses données à un hébergeur américain ou qui a un bureau sur le territoire américain, ces données (brevets non encore déposés, plans, délibérations financières confidentielles...), qu’elles soient stockées sur le territoire américain ou ailleurs, sont à la disposition des autorités gouvernementales américaines, qui pourront si elles le jugent utile les transmettre à ses concurrents américains.

Ces révélations peuvent favoriser les activités des opérateurs européens d’informatique en nuage qui n’ont pas d’activité aux États-Unis, comme les entreprises françaises OVH, Gandi ou Iliad. Les entreprises européennes clientes de tels services devraient logiquement se tourner vers ces fournisseurs, plutôt que vers les géants américains. Une telle évolution participerait à une certaine balkanisation de l’Internet, aujourd’hui sous contrôle total du gouvernement américain, en incitant chaque pays à édicter ses propres législations et règles de fonctionnement, ce qui faciliterait le développement d’acteurs nationaux, mais obérerait l’universalité de l’accès au réseau.

Alors que la France possédait déjà des entreprises bien placées sur ce créneau (celles citées ci-dessus), était-il judicieux que le gouvernement français envisage de financer à hauteur de 75 millions d’euros chacun un projet Orange-Thalès et un projet Bull-SFR de « cloud souverain », sachant en outre que chacun de ces projets inclut des partenaires américains ou implantés aux US, et de ce fait soumis au Patriot Act ?

Qui plus est, les activités en nuage d’OVH, Gandi et Iliad reposent sur des logiciels libres, comme d’ailleurs celles des leaders de ce domaine que sont Amazon et Google. Ce n’est pas anodin : c’est une garantie d’indépendance, le logiciel libre constitue aujourd’hui la seule alternative au monopole de leaders tels que Microsoft ou VMware, fournisseurs de logiciels indispensables à l’informatique en nuage.