Dossier

Données personnelles : le casse du siècle

Nos déplacements, nos envies, nos pensées, en intéressent beaucoup. Entreprises, services publics, hôpitaux, etc. : tout le monde traite de données souvent stratégiques. L’enjeu est de savoir comment les protéger et comment les stocker.

  • NUMERIQUE
  • Territoires

Le tour de la question

La data regroupe « toute information, sémantique ou chiffrée, formalisée et susceptible d’être partagée », selon Rémy Mandon et Sonia Bellit dans « Vos données valent-elles de l’or ? » (La Fabrique de l’industrie, 2021). Sans données, le numérique est comme une voiture sans moteur. 

 

Une matière première précieuse

 

 

Avec la multiplication des sources de production de données numériques (smartphones, ordinateurs, outils connectés, etc.), leur volume a explosé, dynamitant les frontières géographiques. Elles sont produites tout le temps quand on se balade sur le web sans que nous en ayons parfois conscience : dans le domaine de la santé (quand on utilise une application de type Doctolib), de la mobilité (GPS), de l’e-commerce, ou encore de la sécurité (la reconnaissance faciale dans les aéroports), et dans beaucoup d’autres secteurs ! 

Le big data est l’équivalent d’une nouvelle industrie dont les données sont la matière brute. Son influence ne se restreint pas au domaine de l’informatique : « C’est un nouvel équilibre social, culturel et économique à trouver » (Antoine Denoix « Big data, smart data, stupid data », Dunod, 2018). Si la data pure ne vaut pas grand-chose en soi - il faut savoir la structurer, lui donner un sens -, elle constitue une matière première très précieuse qui peut se négocier à des millions d’euros. Les données sont considérées par les États comme des éléments de pouvoir et de souveraineté.

 

 

L'auteur aux 50 millions de livres vendus à travers le monde, Marc Lévy, est notre Grand témoin (en visio depuis New York !).

Crédit © Valéry Hache / AFP

Voir l'interview

 

Tout stocker dans un « nuage » 

 

Partout et nulle part à la fois... L’exploitation des données demande un vrai savoir-faire qui a vu l’émergence de nouveau métiers et d’un nouveau vocabulaire. Data mining, scraping (récupérer des données en libre accès sur le web), ou encore cloud computing. Loin de la formation météorologique moelleuse et vaporeuse, le « nuage » numérique (cloud) constitue un ensemble de ressources immédiatement disponibles sur Internet. Il peut aussi bien s’agir de solutions logicielles que de plateformes techniques pour construire des applications ou des machines serveurs permettant d’étendre les capacités de calcul et de stockage. Avec lui, toutes ces ressources sont à portée de main et beaucoup plus facilement utilisables que par le passé.

Auparavant, on avait le serveur de stockage de données en bas de l’immeuble. Aujourd’hui, nous utilisons un tel volume de données qu’il faut penser à mutualiser les solutions de traitement et de stockage.

Antoine Darodes

responsable du département transition numérique à la Banque des Territoires

Les données des acteurs économiques et des consommateurs sont confiées à des plateformes délivrant des services logiciels professionnels, commerciaux (vente en ligne) et/ou de communication (réseaux sociaux). Elles sont alors stockées sur des serveurs hébergés au sein de data centers (ou « centres de données »). Pour une entreprise, « migrer dans le cloud » signifie en général stocker et traiter ses données informatiques sur les serveurs d'un prestataire à distance. Où sont-elles stockées ? Par qui ? Et à quoi servent-elles ? 

Chiffres-clés sur le cloud mondial (2021)
L’état du marché : un fort déséquilibre US vs le reste du monde 
Amazon Web Services (AWS = 30%) + Microsoft Azure (20%) + Google Cloud (8%) = 60% du marché mondial  
Offre européenne existante (Thales, OVH cloud, Orange business service, Dassault systèmes Outscale, SFR, etc.) : 18%

Source : ISG research

Confie-moi tes données, je te dirai qui tu es… 

 

Avec le développement des services publics dématérialisés, la société française connaît une numérisation accélérée. Depuis la crise du Covid-19, l’accent est mis sur le travail hybride, l'accélération de la transformation numérique et la recherche de solutions informatiques rentables. Entreprises et pouvoirs publics doivent s’adapter à ces nouvelles pratiques. La multiplication et l’explosion de la consommation des données dans tous les secteurs d'activité constituent une évolution qui favorise les dépenses liées au cloud. 

 

Un marché en très forte croissance 

+23% par an 
Les dépenses mondiales en matière de services cloud devraient approcher les 600 Md$ US en 2023 (+20,7%) 
fin 2022 elles atteignaient 482 Md$ contre 408 Md$ 313 Md$ en 2020.

(source : Gartner)

Les grandes compagnies nord-américaines sont devenues incontournables dans le cloud notamment pour de nombreux acteurs français, comme les entreprises de télécommunications, les sociétés de data centers, les éditeurs de logiciels… Il est grand temps de rééquilibrer le rapport de force vis-à-vis des ultrapuissants « hyperscalers » américains !
Les dérives engendrées par cette presque hégémonie ont abouti en France à la présentation d’un projet de loi de régulation et de sécurisation de l'espace numérique qui vise en premier lieu à rétablir la confiance des citoyens dans le numérique. Car la transformation numérique du pays est un des grands enjeux des années à venir. Le texte aborde à la fois le phishing (tentative d’arnaque par des pirates informatique), le cyberharcèlement, l'accès à la pornographie par les mineurs ou encore la concurrence sur le marché du cloud. La maîtrise technologique du cloud figure également parmi les investissements prioritaires de France 2030

Pourquoi vouloir sécuriser les données ? 

Le site internet du Sénat français inaccessible en mai, celui de l’Assemblée nationale, en mars, tous deux victimes d’un piratage : deux épisodes d’une longue série. Afin d’éviter le risque d’ingérences extérieures, l’application chinoise TikTok a, entre autres, été interdite sur les téléphones professionnels des 2,5 millions agents de la fonction publique d'État. Le gouvernement français emboîte ainsi le pas de la Maison Blanche, de la Commission européenne et des gouvernements canadien et britannique qui en ont limité l’accès avant lui. Les autorités estiment que ces applications dites récréatives présentent « des risques en matière de cybersécurité et de protection des données des agents publics et de l'administration. » 
 

On ne peut pas laisser des plateformes, si innovantes et sympathiques soient-elles, réguler ce qui est devenu un véritable espace démocratique.

Cédric O

ancien secrétaire d’État au numérique

Crédit © Petica

Partager aveuglément nos données, c'est prendre le risque qu'elles soient exploitées par des acteurs non soumis aux règles européennes.

 

En confiant nos données à des entreprises privées, parfois étrangères, on prend le risque qu’elles soient consultées (et exploitées) par des acteurs non soumis aux règles européennes. Aux États-Unis, par exemple, le « Patriot act » donne aux autorités un accès à certaines données dans des conditions qui ne remplissent pas toutes les garanties offertes par la loi européenne. Il s’agit donc de protéger au mieux les individus. Les acteurs publics ont une responsabilité et une urgence à agir pour garantir la souveraineté des données les plus importantes de leur territoire et également pour protéger les citoyens d’abus possibles concernant leurs données personnelles.

Le régulateur agit. Ainsi, les nouveaux règlements européens tels que le Digital Markets Act (DMA) et le Digital Services Act (DSA) imposent aux puissants du numérique toute une série de nouvelles règles en matière d’abus de position dominante ou de régulation des contenus problématiques. 

Un peu d'Histoire...

Le RGPD, Règlement général sur la protection des données, encadre le traitement des données personnelles sur le territoire de l’Union européenne depuis 2018. Ce règlement européen s’inscrit dans la continuité de la Loi française dite « Informatique et Libertés » du 6 janvier 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite de leurs données. Il permet aux professionnels de développer leurs activités numériques dans un cadre juridique unique en se fondant sur la confiance des utilisateurs. Le RGPD est au cœur du fonctionnement d’internet tel que nous l’utilisons quotidiennement, des nouveaux services, mais aussi de technologies – toujours plus poussées – de surveillance des populations. L’enjeu est de permettre les nouveaux usages de la donnée tout en protégeant les libertés fondamentales qui vont avec. Cela représente une rupture fondamentale par rapport au droit nord-américain. En Chine, les données personnelles sont captées par l’État et des entreprises privées ; le droit de l’individu sur ses données y est quasiment inexistant.

La menace cyber 

 

Comme toute matière première, les données font envie ! Elles peuvent être la cible de captation, de détention malveillante, voire… de vol. Et la pratique est très répandue : en 2022, une entreprise française sur deux a été victime d’une cyberattaque. Les modes opératoires des cybercriminels consistent le plus souvent à demander une rançon après avoir verrouillé ou volé des données et à les revendre sur le « dark web » au plus offrant. Pour cela, la technique du « phishing » (hameçonnage) par mail est la plus répandue auprès des particuliers, les entreprises étant plutôt victimes de « ransomware » (attaque contre paiement d’une rançon).

La lutte contre la cybercriminalité s’organise afin de réagir aux attaques numériques qui se multiplient contre les serveurs d’organisations mal protégées, en premier lieu dans le secteur public, comme en attestent les récentes cyberattaques contre les mairies de métropoles telles que Lille ou Angers, ou de communes plus petites, comme à Reyrieux dans l’Ain ou Chaville dans les Hauts-de-Seine, et les attaques répétées contre des hôpitaux à Brest, Bourg-en-Bresse ou Corbeil-Essonnes, etc. La liste est longue. Ces attaques mettent à mal toute l’organisation de ces établissements, qui ne peuvent plus recourir à l’informatique pendant un temps donné. La qualité du service en est affectée. En 2021, dans le cadre du plan de relance, le gouvernement a mis en place un programme de cybersécurité destiné plus particulièrement aux grandes collectivités, administrations et établissements hospitaliers. Depuis son lancement en mars 2022, 60 000 plaintes ont été déposées sur la plateforme Thésée, dédiée aux arnaques sur Internet.

 

L’Agence nationale de la sécurité des systèmes d’information (Anssi) préconise 5 solutions préventives prioritaires contre la cybercriminalité destinées aussi bien aux professionnels qu’aux particuliers.

 

144

c'est le coût moyen d’une donnée volée en 2021 (source : IBM Security)

Crédit © Petica

Le contrôle des données et des infrastructures d’hébergement est devenu primordial pour les États.

La souveraineté à tout prix

 

Sécurité et confidentialité (« privacy ») constituent les deux pôles de la souveraineté numérique.

La souveraineté numérique désigne « l'application des principes de l’exercice du pouvoir sur une zone géographique et sur la population qui l'occupe au domaine des technologies de l'information et de la communication ». Pour résumer, c’est la capacité d’un pays à réguler son cyberespace. Celui qui a le contrôle des infrastructures de stockage dispose également de l’accès aux données. L’Estonie a ainsi récemment obtenu de la part de l’Union européenne la reconnaissance d’une e-ambassade pour lutter contre l’influence de son voisin russe sur le net. Concrètement, cet État balte ultra-connecté a installé un data center délocalisé au Luxembourg pour héberger et répliquer ses données publiques. 

Les parties prenantes européennes investissent dans le cloud pour améliorer leur gouvernance et leur sécurité, en conformité avec les lois sur la confidentialité des données, la conformité réglementaire et les exigences de la législation numérique. Cela permet aux organisations (entreprises et administrations publiques) d'être dans une meilleure position lorsqu'il s'agit de répondre aux exigences réglementaires.

Face à l’hégémonie américaine, l’Europe tente de s’organiser. Parfois d’ailleurs sans pouvoir se passer des GAFAM... Plusieurs nouveautés en partie françaises sont attendues dans les années à venir : Orange et Capgemini travaillent à la sortie de « Bleu » en collaboration avec l’Américain Microsoft, un cloud situé sur le sol français ; Thalès et Google s’associent dans S3NS et Amazon envisagerait de créer son cloud avec Atos. Les offres 100 % françaises de cloud de confiance disponibles aujourd'hui se limitent soit à l'infrastructure (3DS Outscale, OVHcloud et Cloud Temple), soit aux logiciels applicatifs (Oodrive et Worldline).

Le Grand témoin : Marc Lévy

 

Il ne s'agit pas d'être paranoïaque, il s'agit d'être méfiant.

 

L’auteur aux plus de 50 millions de livres vendus s’attaque aux géants du numérique dans la trilogie « 9 » (éditions Versilio) et se place en défenseur des données personnelles, qu’il considère comme « l’or noir du XXIe siècle ».  

 

VOIR L'INTERVIEW

 

En action !

 

La prise de conscience est générale : l’Europe doit se doter d’infrastructures techniques propres (physiques et virtuelles) pour préserver sa souveraineté. Celle-ci est devenue un impératif récent par rapport au besoin de performance et d’innovation qui constituaient auparavant les critères principaux des investisseurs.

L’hébergement et le stockage des données, notamment sensibles, est un des points clés de la souveraineté numérique. Le modèle des data centers, ces centres de stockage « physique » de valeurs numériques, évolue. Des structures qui tentent de relever le paradoxe du défi écologique se développent, même si l’activité numérique elle-même pollue. L’idée aujourd’hui est d’équilibrer le coût de cette technologie sur l’environnement. 

 

Zoom sur... plus vert mon data center !

 

À Aubergenville, dans les Yvelines, visite du centre de données de l'entreprise Thésée. Ce service fait partie des nouvelles infrastructures de proximité et accompagne la transformation numérique des entreprises en créant un écosystème favorable à la numérisation. Un investissement Banque des Territoires qui favorise le développement économique du territoire.                                                  

Si vous souhaitez continuer et lire nos vidéos,
vous devez nous donner votre accord en cliquant sur le bouton ci-dessous.

Crédit © Groupe Caisse des Dépôts

Un cloud souverain 100% français

 

La stratégie doit être mise sur les besoins du secteur public, qui manipule des données ultra sensibles, et qui est la cible privilégiée des cybercriminels. Les opérateurs du secteur de la santé, les collectivités territoriales ou les institutions financières doivent être en mesure de maîtriser le destin de leurs données et de choisir à qui les confier. Ce besoin se décline dans la confidentialité des données (« privacy »), mais aussi dans la garantie de la continuité de service et dans l’immunité contre l’extraterritorialité de certaines lois. Le contexte est favorable à la création d’un cloud « souverain ». 

C’est dans ce contexte que Docaposte, fleuron numérique du groupe La Poste, la Banque des Territoires, Bouygues Telecom et l’industriel Dassault Systèmes ont entrepris de compléter l’offre existante avec une réponse 100% française : NumSpot. Cette offre se base sur le meilleur de la technologie européenne et propose la meilleure réponse qui soit pour se prémunir des conséquences de l’extraterritorialité des lois.
 

L’ambition est de muscler un écosystème français et européen qui a énormément de potentiel scientifique, technologique, pour le faire passer à l’échelle industrielle afin de transformer les administrations.

Sébastien Massart

directeur de la stratégie chez Dassault Systèmes.

Annoncée fin 2022, la première offre devrait voir le jour à peine un an plus tard. NumSpot cible particulièrement les secteurs publics règlementés ou stratégiques appelés OIV (opérateurs d’importance vitale). Ces organisations, dans le domaine de la santé, de l’alimentation, de l’énergie, des communications, des activités civiles et militaires, ont été identifiées par l’Etat car leur activité est considérée comme indispensable à la survie de la nation. On dénombre 12 secteurs d’activité d’importance vitale (SAIV) en France. NumSpot fournira une solution technologiquement et commercialement compétitive, fiable et sécurisée répondant aux besoins d’hébergement régulés conformément aux standards SecNumCloud. Cette certification, créée par l’Anssi, est octroyée aux fournisseurs de services de cloud garantissant le meilleur niveau de sécurité. Sans elle, pas de « cloud de confiance ».

Grâce à la robustesse de son actionnariat 100% français, l’offre propose d’assurer une stabilité et une pérennité aux clients. NumSpot promet des services aux meilleurs standards du marché en termes de performance, de sécurité, de prix et de responsabilité environnementale. L’offre vise un développement commercial sur le marché européen avec l’ambition de devenir l’offre de référence du cloud de confiance. Le but ? Sceller un « pacte de confiance » avec les clients, et donc avec les clients des clients que sont les citoyens… 


Crédit © Petica

72 % des Français disent avoir conscience de divulguer des informations personnelles lors de leur navigation (baromètre Kantar 2023 « Les Français et leur vie privée » pour Qwant, Proton, Olvid et Murena).

Un contrat de confiance

 

Tout est une question de confiance : les citoyens sont en général attentifs à ce qui est fait de leurs données personnelles, même si paradoxalement ils sont parfois plus prompts à laisser les GAFAM que leur gouvernement faire ce qu’ils veulent avec leurs données personnelles ! 

Si les Français ont plutôt confiance dans le respect de leur vie privée et dans l’utilisation qui peut être faite de leurs données par les acteurs publics, à plus forte raison de proximité, cela n'est pas le cas dans les autres pays. La Poste, qui fait partie du groupe Caisse des Dépôts, est en pointe sur le sujet, entre autres grâce à Docaposte, l’entreprise de services du numérique du groupe, spécialisée dans la confiance numérique. Ses atouts sont nombreux autour d’un service numérique de confiance du quotidien qui concerne entre autres l’identité numérique ou encore le coffre-fort électronique. En acquérant récemment Idemia, Docaposte est ainsi devenu le leader français de la signature électronique. Il s’agit d’un véritable nouveau service au public autour de l’identité numérique. 

Cette confiance que les Français ont dans la Poste dans le monde physique, ils l’ont et ils l’auront dans le monde numérique. 9 millions de Français ont déjà un coffre-fort numérique chez nous parce qu’ils ont confiance en nous pour respecter leur intimité.

Philippe Wahl

PDG de la Poste (France Inter « On n’arrête pas l’éco », mars 2023)

La Caisse des Dépôts dispose, à travers ses activités de mandat pour l’Etat, d’un grand nombre d’applications comprenant des données sensibles de citoyens et de l’État français. Nous avons donc une responsabilité sur ces données. Mon Compte Formation, par exemple, comprend de nombreuses informations personnelles nécessaires à la gestion des parcours de formation. Nous ne pouvons pas prendre le risque que ces données soient utilisées par des États ou des entreprises ne respectant pas le droit européen ; et ce qui est vrai pour Mon Compte Formation l’est pour toutes les autres activités sensibles du Groupe, comme les retraites ou encore Ciclade.

La data bien exploitée peut servir à transformer le pays, notamment écologique. C’est pourquoi la Caisse des Dépôts a lancé le 30 mars à Station F son TechSprint pour un numérique éthique et sobre. Le Techsprint cherche à appuyer le développement de solutions souveraines Cloud-Data-IA (InfraTech) en favorisant le passage à l’échelle des cas d’usages liés à la transformation écologique. Le groupe Caisse des Dépôts soutiendra les meilleurs d’entre elles.

Et maintenant ? 

 

La question de la donnée doit être considérée comme une formidable source d’opportunités : opportunité de se réinventer, de casser des silos, pour une plus grande efficience dans la gestion quotidienne, pour l’innovation territoriale, pour de nouveaux services aux citoyens. 
Dans un monde équitable, l’intérêt général doit être la priorité dans la collecte, le traitement et l’utilisation des données. Afin d’éviter de se voir imposer des solutions venues de l’extérieur qui les mettent en danger, les acteurs publics, trop longtemps passifs face à un système qu’ils ne comprenaient pas, doivent développer une expertise en interne. La solution au problème de souveraineté doit passer par des outils européens.
 

Les Grands dossiers précédents

Crédit © Adobe stock

MARS 2023

Où va l’argent des retraites ?

Aboutissement d’une vie de travail, la retraite est avant tout un sujet démographique. Le nombre d’actifs progressant moins vite que celui des retraités [...]

> Lire la suite

Crédit © ptnphotof / Adobe stock

JANVIER 2023

Mobilités : la fracture rurale

Dans les petites villes ou dans les zones peu denses, les enjeux de mobilité sont profondément liés au bien vivre des habitants [...]

> Lire la suite

Crédit © oles_photo/ Adobestock / Julien Rodiet

NOVEMBRE 2022

Handicap : plus simple la vie?

Qu’il soit visible ou invisible, le handicap est la 1ère source de discrimination en France. [...]

> Lire la suite

 

 

Vous aimez nos Grands dossiers ?

Épargne, logement, santé, formation, éducation… Tous les deux mois, retrouvez un dossier complet sur une thématique clé pour l’avenir de notre pays.

 

Découvrir nos dossiers

S’abonner