Ce travail a fait l’objet d’une publication scientifique en octobre dernier et est accessible en ligne («Digital Sovereignty in Switzerland: the laboratory of federalism»). «La notion de souveraineté numérique est fréquemment utilisée, sans pour autant bénéficier de définition harmonisée, explique Yaniv Benhamou. Cela rend difficile toute cohérence aux niveaux décisionnel et opérationnel. Notre travail a donc consisté au départ à cerner le concept pour lui attribuer une définition complète et synthétique.»
D’abord reprise par les cantons latins, cette définition s’impose peu à peu dans les milieux concernés. Elle décrit la souveraineté numérique comme «le développement d’une autonomie stratégique en matière de numérique». Ce qui se caractérise par «le droit et la capacité des entités politiques à pouvoir utiliser et contrôler de manière autonome (i. e. de manière indépendante et/ou autodéterminée) les biens matériels et immatériels et les services numériques», les auteurs précisant que ces derniers ont une portée très large et «impactent significativement la démocratie, l’économie et la société».
Multidimensionnelle
«La souveraineté numérique est trop souvent perçue de manière limitée à sa dimension technologique (en particulier logicielle et matérielle), alors qu’elle est beaucoup plus vaste, poursuit Yaniv Benhamou. Elle doit, par exemple, inclure la souveraineté des données, qui désigne la capacité à contrôler et à utiliser de manière autodéterminée ces dernières. On peut également tenir compte de la souveraineté énergétique et économique, qui prévoit des moyens financiers suffisants et une économie assez solide pour qu’un État s’émancipe et devienne indépendant numériquement. Ou encore de la souveraineté informationnelle qui assure, dans les différents réseaux, une information de source fiable.»
Le niveau de souveraineté numérique d’un État peut se quantifier (de faible à très fort) en recourant à des modèles standardisés ou index, mais, pour le moment, aucun modèle de ce type n’existe pour la Suisse. On sait, cependant, qu’en ce qui concerne la technologie, le pays est très dépendant: 90% des systèmes d’exploitation employés y sont américains (Microsoft, Apple et Google) et 85% des équipements sont fabriqués en Chine (Apple et Samsung). Quant aux services numériques et informationnels, ils reposent principalement sur les GAFAM, les cinq géants du net américains (Google, Apple, Facebook, Amazon et Microsoft). «L’évolution d’Internet risque encore de renforcer cette dépendance, prévient Yaniv Benhamou. Alors que depuis trente ans, on vivait une mondialisation du Web, ces dernières années, nous sommes entré-es dans une nouvelle ère qui se caractérise par une fragmentation d’Internet. Chaque région essaye de créer son espace pour gagner en indépendance, à tel point qu’on parle de «split-ternet» (pour Internet splitté), voire de militarisation du cyberespace. Plutôt que de choisir vers quel Internet splitté se tourner, la Suisse doit donc anticiper et agir pour gagner en indépendance.»
Gagner en indépendance
Pour ce faire, l’État est invité – de la Commune à la Confédération, en passant par les cantons – à adopter des stratégies politiques et réglementaires en la matière. Les auteurs encouragent également les autorités suisses à entreprendre un travail concerté à l'échelle européenne, la voie purement indigène étant trop coûteuse et difficile à suivre de manière autonome. Les auteurs recommandent également d’analyser les différents usages du numérique sous l’angle de leur criticité. Si les usages sont critiques, mais simples à mettre en œuvre, il est conseillé de développer des solutions locales garantissant une souveraineté maximale. Lorsque les usages sont critiques et complexes, il est souhaitable de développer des solutions locales pour assurer une souveraineté pleine, mais celles-ci peuvent s’avérer très onéreuses et difficiles à mettre en œuvre. Dans ce cas, il est donc important de limiter les risques par le biais de mesures de protection ou en sélectionnant soigneusement les entités avec lesquelles s’associer.
Enjeux juridiques
«Nous considérons comme essentiel d’assurer un contrôle sur les données, que celles-ci soient hébergées en Suisse ou à l'étranger, précise Yaniv Benhamou. Afin de conserver la souveraineté sur les données stockées au-delà de la frontière, il est possible, par exemple, d’étendre l’application du droit suisse à l'étranger, non seulement par le biais de lois extraterritoriales, mais aussi par le biais de mesures techniques et contractuelles renforçant le contrôle sur les données.» Les administrations publiques sont également exhortées à catégoriser le type de données pouvant être hébergées à l’étranger, comme les données non personnelles, et celles devant rester sur le territoire suisse, telles que les données sensibles ou confidentielles. Elles sont de plus incitées à veiller aux formulations adoptées lors d’un appel d’offres sur les marchés publics, afin que celles-ci n’excluent pas d’office des solutions indigènes, comme ce fut le cas pour le cloud de la Confédération.
Le rapport souligne encore l’importance de la cybersécurité à laquelle tout État doit se préparer. À l’échelle internationale, des solutions globales pourraient être envisagées, comme l’idée de soumettre les GAFAM et autres grosses entreprises du numérique, dont les attributs sont souvent comparables à des États-nations, au droit international humanitaire. Celles-ci devraient alors s’assurer qu’aucune cyberattaque militaire ne provienne de leur réseau, de la même manière que les États doivent garantir qu’aucune attaque militaire ne provient de leur territoire. Une autre évolution possible serait d’accorder le statut d’ambassades à certains data centers hébergeant des données très sensibles. Ces centres, appelés data embassies, acquerraient ainsi une immunité internationale inviolable et ne pourraient faire l’objet d’aucune cyberattaque par un État ou un groupe.
«Gagner en souveraineté est une bonne chose, mais il faut toutefois garder à l’esprit que cela peut aussi avoir des effets négatifs, relève Yaniv Benhamou. Plus les États vont s’émanciper, plus ils vont participer à la fragmentation du cyberespace et à la non-interopérabilité de l’Internet, avec le risque de freiner l’innovation et le partage des données au service du bien commun. Dans ce contexte, il nous semble que la Suisse a un rôle fondamental à jouer, en particulier la Genève internationale qui accueille de nombreuses conférences internationales lors desquelles les questions de souveraineté numérique devraient être systématiquement soulevées et concertées. Les spécificités de la Confédération font par ailleurs de son écosystème un laboratoire intéressant. Les enseignements tirés pour la Suisse pourraient ainsi enrichir la réflexion pour la stratégie d’autres pays ou régions.»