La signature électronique, un premier pas vers la souveraineté numérique française
Cloud souverain, marchés publics orientés vers des solutions françaises et européennes… de nombreuses pistes sont régulièrement évoquées lorsqu’il s’agit de trouver le moyen de reconquérir notre souveraineté numérique.
Mais il en est une autre dont on parle moins, qui pourtant constitue un point de départ essentiel : la signature électronique.
Explications.
Les GAFAM ont colonisé l'écosystème numérique français
La puissance économique des GAFAM (Google, Amazon, Facebook, Apple et Microsoft) et leur cortège de conséquences néfastes en matière d'abus de position dominante, de concurrence fiscale et monétaire, de cybercriminalité et de terrorisme, nous rappellent chaque mois dans l'actualité l'absence criante de souveraineté numérique de notre pays.
Et pourtant, avec le plan calcul du Général de Gaulle, la carte à puce et le Minitel, nous étions bien partis ! Mais en deux décennies, tous les espoirs de souveraineté numérique de la France se sont progressivement évaporés.
Avec les développements fulgurants de la micro-informatique, de l'Internet et des smartphones, les GAFAM ramènent nos efforts de construction d'une souveraineté numérique nationale à ceux d'un village gaulois qui veut réinventer la roue, protéger ses entreprises de la concurrence étrangère ce qui, au final, le prive des meilleures technologies et bride ses propres capacités d'innovation. Le projet de cloud franco-allemand Gaia-X comme le moteur de recherche français Qwant n’arrivent pas à dissiper ces apparences.
Alors, la partie est-elle perdue d'avance ? Sommes-nous déjà une colonie numérique des USA comme l'affirment le philosophe Éric Sadin1 ou la sénatrice Catherine Morin Desailly2 ? Une commission d'enquête du Sénat sur la souveraineté numérique a certes réaffirmé dans son rapport en octobre 2019 son caractère stratégique et a formulé des recommandations en matière de gouvernance, de protection accrue des données personnelles, d'aides à l'innovation, de réglementation de la concurrence, etc.
Mais en attendant de voir sur notre écosystème numérique les possibles effets d'une réglementation toujours plus complexe, n'est-il pas indispensable et urgentissime de mettre en place des mesures simples qui produisent des effets rapides et efficaces ?
Garantir la territorialité de nos actifs numériques
Prenez par exemple votre identité numérique définie par votre compte impots.gouv.fr, les données personnelles de votre dossier santé, les contrats de votre entreprise avec ses clients ou encore les résultats de vos derniers travaux de recherche. La garantie de souveraineté de ces informations doit vous apparaître comme une indispensable évidence, et ce de manière plus critique à bien des égards que les photos de vos dernières vacances, vos derniers posts sur la page Facebook de votre star préférée ou votre achat d'un grille-pain pour le cadeau de Noël de votre belle-mère !
Le premier défi à relever est donc d'adopter des technologies et des pratiques qui vont permettre d'asseoir la territorialité de nos actifs numériques. Car la souveraineté numérique commence d'abord par la capacité de «géolocaliser» au plan juridique nos données, nos programmes, nos inventions, nos œuvres, nos comptes bancaires, etc.
Pourquoi employer spécifiquement le terme de territorialité ? Parce qu'en cas de litige, il faudra déterminer où doit être jugé le conflit et réaliser les expertises en conséquence.
Alors, bien évidemment, la localisation des données en question est de toute première importance. Dès lors qu'elles ont un caractère confidentiel et stratégique, il est absolument capital qu'elles soient localisées sur le territoire français. Afin d'échapper à une réglementation étrangère qui serait en mesure de divulguer ces données à des personnes mal intentionnées. Ou plus simplement de les rendre accessibles à des attaquants que vous ne seriez pas en mesure de poursuivre. Sans compter l'absence totale de recours dans l'éventualité où un conflit aurait lieu dans le pays hébergeant le datacenter qui contient vos données.
Certes, toutes vos données n'ont pas nécessairement un caractère confidentiel et stratégique, et pour autant, qu’elles soient localisées en France ou à l'étranger, comment allez-vous prouver que le lien que vous entretenez avec ces données est bien celui d'auteur, de témoin, d'inventeur, de client, de fournisseur, d'actionnaire, d'avocat, d'employé, etc. ? Comment allez-vous prouver que ces données sont intègres et bien d'origine ?
La signature électronique au secours de la souveraineté numérique
C'est pour apporter une réponse à ces questions que la signature électronique prend tout son sens, véritable potion magique qui va produire de nombreux effets bénéfiques :
- Elle garantit l'intégrité et l'authenticité des données ; elle vous protège de la falsification des documents et des atteintes à votre réputation ;
- Dans le cas d'un acte juridique, elle garantit sa non-répudiation ;
- Elle garantit l'identité du signataire, personne physique ou personne morale ; elle vous protège de l'usurpation d'identité et des arnaques en tout genre ;
- Elle garantit la territorialité associée à la nationalité de l'autorité de certification qui assure l'identité du signataire. En cas de problème, c'est cette entité qui a enregistré et authentifié le signataire qui devra justifier de son identité.
Le règlement européen eIDAS de 2014 propose aux États membres une feuille de route pour mettre en place une signature électronique simple, avancée ou qualifiée : trois niveaux de sécurité dont les deux derniers permettent de garantir, en fonction des risques, la souveraineté numérique des documents signés. On ne peut que regretter le retard pris par la France dans son application et dans le développement de ses usages qu'il s'agit d'encourager davantage. Aujourd'hui quelques réglementations seulement l'imposent, dans les domaines des marchés publics ou de la dématérialisation des factures, et il faudrait pouvoir la généraliser plus largement.
Si le chemin vers la souveraineté numérique nationale s'annonce long et parsemé d'embûches, une signature électronique Made in France offre aux entreprises et aux administrations qui l'adopteront un raccourci rapide à mettre en place, avec en prime les économies et les gains de productivité de la dématérialisation.
Chez Lex Persona, par exemple, notre focus sur la signature électronique nous a amené à intégrer cette problématique de souveraineté numérique grâce à l’hébergement des données dans des datacenters situés en France, et jusque dans l'architecture même de nos solutions. Au niveau des identités numériques, notamment, nous avons monté notre propre infrastructure de gestion de clés, auditée par le laboratoire agréé LSTI. Nous produisons des certificats numériques générés « à la volée » qui permettent de garantir l'identité des signataires de manière adaptée aux risques et aux pratiques métier de nos clients. Les certificats peuvent également être produits sur la base d'une identification France Connect ou être fournis par un PSCE (Prestataire de Service de Certification Électronique). Dans tous les cas de figure, les signatures produites sont au niveau avancé ou qualifié eIDAS.
La signature électronique, en mode «sovereignty by design», constitue le premier pas à envisager dans la reconquête de notre souveraineté numérique.
1 La siliconisation du monde : l’irrésistible expansion du libéralisme numérique, Paris, éd. L’échappée, 2016, p. 24.
2 L’Union européenne, colonie du monde numérique ? Rapport d’information, commission des affaires européennes du Sénat, 2013, n°443.
Article promotionnel. Les contributeurs experts sont des auteurs indépendants de la rédaction d’Appvizer. Leurs propos et positions leur sont personnels.
Ingénieur diplômé de l’École Nationale Supérieure des Mines de Saint-Etienne, François Devoret débute sa carrière dans les années 80 avec une première expérience entrepreneuriale dans le développement et la commercialisation de logiciels pour mainframes. Il évolue ensuite dans le domaine technico-commercial et les services professionnels pour de grands éditeurs de logiciels américains tels qu’Oracle, Netscape et Lotus/IBM.
Début 2005, il fonde avec Julien Pasquier l'entreprise Lex Persona qui conçoit des logiciels et opère des services permettant de signer, faire signer et cacheter électroniquement tout type de document avec des certificats numériques adaptés aux besoins des clients.
Investi au sein de plusieurs associations professionnelles, François Devoret œuvre pour le développement de la confiance numérique et de la dématérialisation à valeur probatoire.