Inutile de dire que j’attendais avec impatience le rapport du Conseil fédéral en réponse au postulat Z’Graggen demandant une « définition de la souveraineté numérique pour la Suisse, [l’]appréciation [du Conseil fédéral] de la situation actuelle en la matière et la stratégie globale qu’il compte déployer pour renforcer la souveraineté numérique de notre pays ». Ce postulat adopté en mars 2023 par le Conseil des Etat avait déjà donné lieu à la publication d’une étude de la HES bernoise, qui s’était malheureusement cantonnée à des considérations techniques, n’envisageant la souveraineté numérique que sous l’angle du contrôle des données, des logiciels et des infrastructures. Un défaut récurrent du débat sur la souveraineté numérique en Suisse, dont j’ai abondamment parlé dans mon livre sur le sujet.
J’ai donc lu ce nouveau rapport avec beaucoup d’intérêt. J’en conclus que, s’il contient de très bonnes choses et fait vraiment évoluer le débat dans la bonne direction, ses conclusions n’en sont pas moins décevantes. Très décevantes même. Et certainement pas à la hauteur des risques que la révolution numérique fait peser sur notre souveraineté.
- (Enfin) une vision large de la souveraineté
Premier constat positif : le Conseil fédéral élargit le débat et ne se contente pas, comme il l’avait fait jusqu’à présent, d’examiner uniquement le contrôle des données, des logiciels et des infrastructures (notamment le cloud). Il prend conscience que la révolution numérique n’influence pas seulement les choix techniques des collectivités publiques, mais impacte leur droit, la façon de l’élaborer et de l’appliquer. Rien ne sert en effet d’avoir un cloud helvétique hébergé en Suisse si ce sont les USA ou les GAFAM qui fixent les règles.
2. Une définition utilisable
La définition de la souveraineté numérique proposée par le Conseil fédéral va dans le même sens : « Les acteurs chargés d’exécuter les tâches étatiques en Suisse disposent de la capacité de contrôle et d’action nécessaire dans l’espace numérique pour pouvoir s’acquitter de cette mission ». Cette définition va dans le même sens que celle des cantons latins, qui avaient fait œuvre de pionniers en 2023 déjà : « La souveraineté numérique désigne la capacité des autorités à maintenir leur autonomie stratégique, soit à pouvoir utiliser et contrôler de manière autonome les biens matériels et immatériels et les services numériques qui impactent l’économie, la société et la démocratie ». Elle s’écarte de celle de la HES bernoise (« La souveraineté numérique d’un État ou d’une organisation comprend obligatoirement la capacité à contrôler complètement les données enregistrées et traitées, et à décider en toute indépendance qui a le droit d’y accéder. Elle comprend aussi la capacité à développer de manière autonome des composantes technologiques et des systèmes, à les modifier, à les contrôler et à les compléter »), bien trop étriquée et à mon avis pas à la hauteur des vrais enjeux.
3. Une réflexion sur le transfert de tâches au privé
Le Conseil fédéral pointe un vrai danger pour la souveraineté : le transfert rampant de tâches publiques aux privés, notamment d’élaborer de nouvelles règles ou de faire appliquer les règles en vigueur, généralement en dehors de toutes les garanties de l’Etat de droit. Contrairement à une privatisation formelle et sciemment voulue (ce qui est une mauvaise idée, mais pas uniquement pour des raisons liées à la souveraineté), la révolution numérique pousse les Etat à tolérer l’application de règles crées par des privés dans leur seul intérêt ou leur confie tacitement la tâche de faire respecter les lois. Combien de fois nos autorités ont-elles toléré des publications illégales sur des réseaux sociaux, que ceux-ci avaient jugé « conformes aux standards de la communauté », dans le cadre d’une procédure opaque et sans voie de recours ? De telles pratiques sont contraire à l’idée même de souveraineté.
4. Une réflexion sur le contrôle et la capacité d’action des collectivités publiques
Le rapport évoque les problématiques numériques qui restreignent la liberté d’action des collectivités publiques, comme l’enfermement propriétaire (vendor lock-in). Il se penche aussi sur les ingérences d’autres Etats, voire l’application extraterritoriale d’autres droits sur notre sol, notamment lorsque des Etats prononcent des sanctions numériques basées sur leur propre droit et au mépris du nôtre. Le cas des juges de la Cour Pénale Internationale privés de tous accès à des technologies américaines y compris dans leur propre pays (voir le cas du procureur français Nicolas Guillou) est un exemple assez éclairant. Et glaçant. Toutefois, aucune mesure concrète n’est pour l’instant prévue.
5. Cybersécurité et débat démocratique
Autre bon point, le Conseil fédéral admet que la cybersécurité et le bon fonctionnement du débat démocratique sont des marqueurs essentiels de la souveraineté (notamment face à la déferlante de manipulations de l’opinion via les réseaux sociaux). Malheureusement, il ne prévoit pas de mesures concrètes pour l’instant et se contente de ce qu’il fait déjà (même si, en matière de cybersécurité, il y a eu récemment de gros progrès).
6. Déception : des mesures vraiment insuffisantes. Et peu concrètes.
Comme je le disais en introduction, les bonnes choses contenues dans ce rapport ne suffisent pas à éviter une grosse déception face au peu de mesures concrètes. Le Conseil fédéral se contente en effet de « prise de conscience » à tout va (dans 3 objectifs sur 4 !). Ok. Mais prendre conscience que quelque chose est important n’est pas encore une solution.
Ensuite, on nous annonce qu’un groupe de travail interdépartemental (waouh !) va être chargé de définir et mettre en œuvre des « mesures ciblées », notamment une « stratégie ». Or, l’élaboration d’une stratégie était justement la demande du postulat Z’Graggen. Nous en sommes donc à peu près au stade : « notre stratégie est d’élaborer une stratégie ».
Parmi les mesures concrètes, une seule intervention législative : la modification de la loi sur les télécommunications pour réduire les risques géopolitiques en matière d’infrastructures numériques…, qui a déjà lancée en 2023 (et repose sur un autre rapport…). Les autres mesures concrètes sont à saluer (promotion des logiciels libres), mais semblent furieusement copiées-collées de ce que fait l’Allemagne… ou ont déjà été mise en œuvre (comme la nouvelle e-id sûre et souveraine).
7. Toujours pas de politique industrielle
Le débat sur la souveraineté numérique en Suisse est d’abord parti d’un projet de cloud public de la Confédération, attribué à des géants du numérique américains et chinois (Amazon Web Services, Microsoft, IBM, Oracle et Alibaba) suite à un appel d’offre qui ignorait des acteurs locaux parfaitement capables de fournir ces prestations made in Switzerland, comme Infomaniak ou Exoscale. Mais pour que notre pays soit souverain en matière de technologie, il faudra bien des acteurs privés capables de fournir les prestations. Or, leur émergence et leur essor ne sera pas possible sans aides publiques (les GAFAM n’auraient jamais eu autant de succès sans un soutien massif des pouvoirs publics, leurs concurrents chinois non plus). Mais le rapport n’aborde pas cette question. Dommage.
8. Une autre grande absente : la régulation des plateformes
La défense de la souveraineté numérique passe par une meilleure régulation des grandes plateformes numériques. En effet, celles-ci-se permettent de plus en plus de violer sciemment nos lois, p. ex. en vendant et en faisant la promotion de produits illégaux comme Shein ou Amazon, en ne respectant pas notre droit de protection de l’honneur comme Facebook ou X/Twitter, notre droit fiscal, du travail et des assurances sociales comme Uber, notre droit d’auteur comme la plupart des grands modèles d’IA ou encore en ne collaborant pas avec nos autorités de poursuites pénales. Or, le Conseil fédéral a mis en consultation un projet de loi fédérale sur les plateformes de communication et les moteurs de recherche. Malgré ses quelques défaut (que j’ai commenté ici), ce projet serait un grand pas pour la défense de notre souveraineté numérique, mais il est curieusement absent de ce rapport sur la souveraineté numérique. Dommage. Serait-ce déjà un premier effet des pressions du gouvernement des USA, qui piétine notre souveraineté en voulant nous interdire de réguler les technologies selon nos propres règles démocratiques ?