Pourquoi il faudrait construire une doctrine des données

1 semaine ago
98

Interview de Claude REVEL, Présidente du GIE France Sport Expertise

Claude Revel

 

Laurent Hercé (LH) : Bonjour Madame Revel. Pouvez-vous vous présenter ?

Claude Revel (CR) : Bonjour. Après une carrière publique et privée toujours marquée par l’international, mes dernières fonctions avant les actuelles étaient déléguée interministérielle à l’intelligence économique auprès du Premier ministre de 2013 à 2015 puis conseillère-maître en service extraordinaire à la Cour des Comptes jusqu’en fin 2019.

Aujourd’hui, je suis notamment présidente du GIE (Groupement d’Intérêt Économique) France Sport Expertise qui regroupe à ce jour trente-six entreprises liées au sport. Des grandes comme Décathlon, ou des plus petites très expertes dans tous les domaines du sport et pour les marchés internationaux.

LH : Nous allons aborder avec vous la question de la gestion des données, notamment dans les organismes que vous avez nommés et pour lesquels vous avez eu l’occasion de travailler…

CR : Effectivement, je me suis occupée du numérique très tôt, à une époque où l’on s’en préoccupait relativement peu. Lorsque j’étais déléguée interministérielle, j’ai vraiment essayé de travailler sur la notion de données sensibles.

Evidemment, pour les données de défense nationale, mais aussi pour les données économiques sensibles. C’était un peu difficile et je pense qu’il y a encore pas mal de choses qu’il faudrait faire. Aujourd’hui tout le monde parle du numérique, de la protection des données, tout cela devient presque une tarte à la crème.

En réalité, sur le fond, il y a quelques aspects qui restent problématiques. La donnée, il faut le garder en tête, est une nouvelle matière première ou nouvelle énergie, comme on veut. Elle est présente partout donc, il faut savoir la traiter partout.

On voit toujours la donnée comme de l’informatique, du numérique, des start-up. Mais la donnée est partout, y compris dans des domaines très traditionnels. Par exemple dans le sport.

Je travaille avec des entreprises du monde du sport. Il existe des gisements de données dans les billetteries, les inscriptions, les voyages pour les grands événements sportifs, évidemment les athlètes de haut niveau et les sportifs en général de haut niveau. On a de la donnée nominative, individuelle, absolument partout. On ne se rend pas compte que c’est une des richesses des entreprises de ce secteur, que d’en posséder autant.

A partir du moment où l’on s’en rend compte, on doit faire beaucoup plus attention aux marchés publics. Quand l’État passe des marchés, par exemple pour les Jeux Olympiques… avec une très grande société américaine, je ne suis pas sûr qu’il ait pris en considération l’énorme gisement de données auxquelles ces entreprises vont avoir accès.

Bien sûr elles ne vont pas forcément faire du mal, ce n’est pas le but. Mais je pense qu’on ne se rend pas bien compte des conséquences. Quand il s’agit de données individuelles par définition sensibles, ou de données qui peuvent concerner les entreprises, je pense que l’État qui est un très gros attributaire de marchés en France, devrait beaucoup plus prendre en compte la dimension possession, captation possible de données, etc.

On y pense quand on parle du Pass sanitaire, mais il n’y a pas que ça. Donc, je me répète la donnée est partout et on devrait la traiter en tant que telle, notamment dans les marchés. C’est le premier point.

LH : Donc, nous parlons bien de données qui au départ ne sont pas forcément numériques, qui peuvent être sous d’autres formes ?

CR : Oui. Mais qui ensuite, à un moment, le deviennent. Maintenant tout ce qui est billetterie, inscription, etc, est de plus en plus numérisé. Ces données qui avant n’étaient pas forcément numériques le deviennent. Donc, il est urgentissime de les traiter, d’en avoir conscience et de savoir éventuellement les isoler lorsqu’il s’agit de données sensibles. Deuxième point, il n’y a pas au sein de l’Etat une réelle doctrine (comme on dit chez les militaires), une doctrine d’emploi et une stratégie qui envisage la donnée sous tous ces aspects.

LH : Vous qui avez à la fois un pied dans le public et dans le privé, est-ce que vous constatez une différence de traitement ou de maturité dans le traitement de la donnée ?  

CR : J’ai l’impression que quelque part, les entreprises privées y font plus attention. Parce qu’elles commencent à avoir conscience de ça. Il faut dire aussi que les entreprises privées sont soumises à beaucoup de réglementations. Par exemple, la possession de fichiers par la CNIL, le respect du RGPD, etc.

Les entreprises y font attention. Au sein de l’État c’est très éparpillé. Vous avez évidemment les services du numérique qui y prêtent attention, l’ANSSI (agence nationale de sécurité des systèmes informatiques) qui fait un excellent travail, mais la culture du traitement de la donnée n’est pas répandue. Je pense qu’on est moins avancé dans le public que dans le privé.

Des gens vont dire “ce n’est pas vrai, pour tout ce qui est traitement des données de santé, on fait très attention, etc”. Je ne dis pas le contraire, mais je dis qu’on constate des marchés étonnants et donc qu’on peut s’interroger sur le degré de conscience de ces questions chez les décideurs.

LH : Nous parlons là de l’aspect simplement traitement et exploitation de la donnée ? On ne parle pas de l’aspect éthique pour l’instant ?

CR : Exactement.

LH : Pensez-vous que dans le public il y a une exploitation moindre de la donnée ?

CR : Oui. À tous les niveaux de l’exploitation, c’est-à-dire à la fois la manière dont on la traite en amont et ce que l’on pourra en faire. Il y a un autre point, c’est le fait qu’on parle beaucoup de la protection et de l’exploitation de la donnée, mais sans se demander à quel moment, par qui et comment elle est collectée. C’est un peu plus technique, mais c’est très important.

En France, on dit toujours que l’on va protéger les données : CNIL, RGPD, etc. Mais s’il n’y a pas eu dès le début une définition très précise des gens qui ont accès aux données, une fois qu’ils y ont accès, il devient très difficile d’aller contrôler la protection.

Cette idée-là est d’Edward Snowden, donc je ne pense pas qu’elle soit complètement idiote. C’est-à-dire qu’il faut en amont interdire l’accès à la donnée. Je reprends l’exemple des billetteries, il faut que les personnes et les organismes qui y ont accès soient extrêmement cadrées. C’est au moment de la collecte de la donnée qu’il faut cadrer les choses. Une fois qu’un certain nombre d’organismes ont eu accès aux données (les ont collectées), c’est très difficile d’aller vérifier qui les protège.
C’est très important, ça fait partie aussi d’une doctrine qui n’existe pas ou peu et qu’il faudrait mettre beaucoup plus en place.

LH : Est-ce que cet encadrement doit se faire au niveau législatif ou est-ce qu’il peut se faire au niveau inférieur, au sein des organismes ?

CR : Je pense qu’il faut de grandes lignes. Soit au niveau législatif, mais on a déjà tellement de loi. Mais au moins, au niveau réglementaire. Des décrets peuvent tout à fait organiser ça. En tout cas, il doit y avoir de grands principes, c’est certain.

Mettre en avant de bonnes pratiques serait déjà très bien. Et ce n’est pas le cas aujourd’hui. Quand je parle d’accès à la donnée et donc de la collecte de la donnée en amont, je vise aussi les organismes qui peuvent y avoir accès. Un exemple, on a beaucoup parlé de l’attribution du marché du Health Data à Microsoft et de l’utilisation d’Amazon Web Services pour l’hébergement des données des entreprises qui ont reçu des aides de l’État au moment de la Covid. Cela a été confirmé, puis confié à des entreprises, c’est fini, la collecte est faite.

Il faudrait réfléchir en amont à qui l’on autorise la collecte de toutes ces données hypersensibles. Après, il est toujours possible de demander à les protéger, ils le feront certainement. Mais c’est très difficile de contrôler. C’est en amont qu’il faut intervenir, au moment de la collecte.

LH : Cela pose finalement deux problèmes : la question de protection des données, mais aussi la question d’exploitation par des entreprises qui sont sous des législations différentes. Donc, quelque part, il faudrait mettre un petit peu de souveraineté dans tout cela ?

CR : Exactement, je voulais en venir à ce mot. On en arrive aux questions sur la notion de souveraineté et aussi de compétition, de faculté à créer des entreprises françaises et européennes fortes dans ce secteur-là. Car la donnée est une source de richesse économique et de puissance politique.

On en parle beaucoup. Là encore, cela me fait un peu rire, parce qu’avec un certain nombre de gens, nous parlions de ces questions de souveraineté il y a très longtemps. On nous rétorquait que c’était du protectionnisme, du repli sur soi.

Je suis très attachée au commerce international. Mais comme tous les pays un peu sensés, dont les États-Unis, il faut savoir promouvoir les entreprises qui traitent les données sensibles. Il faut avoir des entreprises nationales à qui l’on peut confier des exploitations de données sans avoir peur qu’un jour elles ne se retrouvent soumises à des lois extra territoriales. Et cela, aujourd’hui, c’est assez peu fait.

Pourtant ce n’est pas faute de talent. Nous avons des talents, nous avons des scientifiques extraordinaires, mais ils vont travailler dans des sociétés américaines. Ou bien, en sens inverse, on demande à des entreprises américaines ou chinoises de venir investir ici, y compris dans des secteurs très sensibles.

Cette notion de souveraineté impacte énormément le numérique. La souveraineté numérique tout le monde en parle, c’est devenu banal. Mais après ?
Je ne crois pas qu’une seule personne puisse tout faire. Il faut qu’il y ait une doctrine. Doctrine, cela veut dire des principes, des critères (“quand prend-on des boîtes étrangères ou non ?”, “quel niveau de sécurité demande-t-on ?”, etc.)…

“Doctriner” des critères, cela se fait dans certains ministères. On me dit que le ministère de la Santé, par exemple, gère bien les applications actuelles. Je veux bien le croire, mais à ce moment-là, qu’on le fasse partout dans l’administration, qu’on essaie de confier les marchés sensibles à des entreprises françaises ou européennes et qu’on tire parti de l’exploitation de la donnée pour l’intérêt de notre pays.

Rappelons que Google, Microsoft… sont des entreprises qui ont été fortement soutenues à leur origine par les pouvoirs publics. Pas par des subventions comme chez nous, mais en leur donnant des marchés publics lorsqu’elles étaient toutes petites, pour les faire pousser.
Il ne faut pas dire que l’État n’est jamais intervenu, c’est tout le contraire.

LH : Oui, tout à fait. Nous avons eu l’occasion d’en discuter lors d’un débat organisé sur la souveraineté numérique il y a trois mois. J’avais remarqué un point que semble confirmer ce que vous dites : le domaine privé semble plus sensible à l’aspect souveraineté. Il semble plus désireux de mettre des règles, et de modifier la commande publique notamment, que le domaine public. 

CR : Je suis d’accord avec vous. Comme je le disais précédemment, il y a une sensibilité sur ces questions-là qui devient forte dans les entreprises privées. Il faut aussi dire que les petites et moyennes entreprises, comme celles qui ont été récompensées aux “Cas d’Or”, y sont évidemment sensibles parce qu’elles sont directement concernées.

Elles se disent qu’elles respectent bien les règles françaises et européennes et qu’il pourrait y avoir comme dans d’autres pays des systèmes qui contribuent à les promouvoir. Et  elles ne comprennent pas pourquoi, notamment sur les marchés sensibles, on prend des étrangers quand il y a des Français parfaitement aptes.

C’est peut-être pour cela qu’elles sont plus sensibilisées que du côté public. Le problème est qu’il y a une idéologie qui règne au sein de la commande publique, en tout cas de ceux qui la dirigent. Cette l’idéologie est de dire que l’on est en mondialisation, qu’il ne faut surtout pas donner l’impression que l’on peut favoriser des Français.

Pour les Jeux Olympiques en 2012 à Londres les Britanniques ont donné 90 % des marchés à leurs propres entreprises, personne n’a rien dit, ils l’ont fait sans aucun problème et ils ont trouvé ça normal. Ici en France, pour les JO 2024, je ne sais pas quel sera le pourcentage, mais il part pour être très très nettement inférieur.

La principale crainte des maîtres d’ouvrage aujourd’hui, c’est de dire “Attention, il ne faut pas pratiquer de favoritisme”. Il est hors de question de le faire mais on peut aussi en plaçant des normes intelligentes à la fois favoriser la protection de l’environnement par des circuits courts et la responsabilité sociale, tout en permettant aux entreprises locales de se développer.

LH : Comment peut-on expliquer justement ce phénomène ? Est-ce dû à des offres qui seraient meilleures, niveau coût notamment, de la part des entreprises étrangères ? Où le doit-on à d’autres aspects, un peu de négligence, un manque d’attention ?

CR : Les deux. Souvent, les entreprises étrangères, qui ont de bonnes capacités  d’intelligence économique, peuvent proposer des prix plus bas afin de s’installer sur des marchés. Beaucoup d’entreprises américaines ont joué à ce jeu-là depuis plusieurs années (je ne citerai pas de noms) au sein des marchés publics.

Elles peuvent faire des offres sur lesquelles elles ne gagnent rien, voire perdent de l’argent. Puis bien sûr se rattrapent largement quand elles ont des marchés cadres ou récurrents ou captifs. C’est le cas de certains grands cabinets de consultants anglo-saxons, cela revient au même. Donc, on fait des offres d’équipement gratuit, qui permettent de s’installer dans la place, dans le ministère, dans l’établissement public, etc. Ensuite, on va démarcher et on gagnera bien sa vie, voire très bien. Peut-être que les Français ne savent pas le faire.

Au début, quand elles ne sont pas assez grosses, il faut que l’État comprenne et ait le courage de soutenir les entreprises qui ne sont pas forcément les moins chères, avec la même qualité. Il ne s’agit pas de faire du favoritisme du tout. Il s’agit de comprendre cela et de permettre aux petites entreprises d’émerger comme l’ont fait les États-Unis avec leurs entreprises à eux il y a 50 ans.

Le deuxième point, c’est une notion un peu idéologique. Il s’agit de l’idéologie européenne, la compétition totale, la concurrence.

Soutenir les petites entreprises parce qu’on pense qu’à l’avenir ce sera bon pour le pays, ce n’est pas une notion qui domine aujourd’hui. La souveraineté pour l’instant, ce n’est pas une notion qui rentre en ligne de compte.

Pourtant la souveraineté ce n’est pas seulement donner de l’argent aujourd’hui, c’est pour que les petites entreprises se développent, pour qu’à terme dans 5 ans, 10 ans, on soit au top des savoir-faire, que l’on soit autonome, que l’on soit capable de ne pas dépendre totalement de l’étranger, qu’on maintienne et crée des emplois utiles.

Bien sûr, on ne peut pas vivre en autarcie, mais pour les données sensibles, pour les choses sensibles, il serait logique que l’on ne dépende pas de l’étranger. Pour cela il faut faire des efforts en amont et il faut aider les petites entreprises, très pointues, qui sont issues de la recherche, qui ont déjà été financées par l’État. Il faut les soutenir au début par des marchés et pas par des subventions pour qu’elles arrivent à se développer.

LH : Pensez-vous que le fait de favoriser la concurrence au sein même de l’Europe se traduit par une concurrence exacerbée au niveau mondial ? Ne sommes-nous pas en capacité pour le moment de favoriser la concurrence au sein de l’Europe, tout en fermant un peu les marchés à l’extérieur ?

CR : Il s’agit d’avoir une politique subtile, il ne s’agit pas de fermer les marchés. Mais il s’agit de savoir préparer l’avenir, les 10 ans à venir, de garder nos savoir-faire, de garder nos emplois, etc. Donc, il faut de temps en temps soutenir un peu plus les entreprises qui peuvent nous permettre cela.

C’est l’idée. Et aujourd’hui, cette idée commence à percer, même en Union européenne. La Commission commence à en parler. Avec des initiatives sur l’ordinateur quantique, etc. qui sont discutées par le commissaire européen, apparemment dans ce sens-là.

Mais c’est très subtil parce qu’on ne peut pas se fermer non plus. Je le répète, à mon sens il faut une doctrine, il faut savoir ce que l’on garde, ce sur quoi on porte l’effort pour soutenir, et ce qu’on laisse dans le marché ouvert à la compétition. Cela s’appelle l’intelligence économique !!!

Je voudrais rajouter une chose sur l’éthique. Quand on parle de l’éthique de la donnée, je pense que c’est la chose la plus importante. Il ne faut pas réduire cet aspect à la sécurité uniquement, la protection des données, le rgpd, etc.
C’est important, mais ça n’est pas que cela.

L’éthique de la donnée se situe aussi dans la façon de l’utiliser (à qui on laisse l’accès) et dans le fait de savoir dans quel but social on va l’utiliser. Aujourd’hui on donne des fichiers de personnes non vaccinées à des médecins généralistes, à des pharmaciens, on laisse l’accès à des QR codes à beaucoup de monde. On ne sait pas trop comment ils vont traiter les choses. Vous ne savez pas ce qu’il adviendra de ces données.

Il faut d’urgence que la France et l‘UE se penchent sur ces questions. Ils n’ont pas besoin de faire de nouveau rapport de commission : il en existe déjà, il y a des conseils de l’éthique, il y a des textes qui ont été écrits, très intelligents, mais qui ne sont pas mis en œuvre.

On traite parfois la question de l’éthique sous un angle technique, technologique, sécurité, cybersécurité c’est très important, mais ça n’est pas l’essentiel. L’essentiel, je dirais que c’est un peu philosophique, citoyen, politique.
Jusqu’où veut-on pousser le contrôle numérique des citoyens ?

C’est ça le fond du problème, et à chaque fois que l’on fait de nouveaux fichiers, demande de constitution de nouveau fichier, il faudrait se poser cette question là.

LH : Tout à fait. D’où l’intérêt des organismes comme la CNIL ?

CR : Oui, mais il faut qu’elle aille plus loin. Il faut que la CNIL aille plus loin que la sainte protection de la donnée. La CNIL n’est pas assez forte aujourd’hui. Et pas seulement sur le contrôle, mais sur la question éthique. Parce qu’il me semble qu’au niveau des ministères, des ministres, ce n’est pas un sujet qui a l’air d’être prioritaire aujourd’hui.

LH : Madame Revel, je vous remercie.

 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Contribuer ou publier sur Tech Ethic