Autonomie et souveraineté numerique

Le texte suivant a été écrit en collaboration avec Michaël Ferrec d'Inspeere. Il a été inspiré par des discussions au sein du groupe de travail sur la souveraineté numérique d'ENTER, le pôle de compétitivité Excellence Numérique au service des Transitions Environnementales et Responsables en Nouvelle Aquitaine. Il tente justement de proposer une définition du terme sous-jacent aux travaux du groupe.

Définition et terminologie

La notion de souveraineté s'applique strictement a un état ou un territoire. Pour une organisation (entreprise, collectivité, administration) ou un individu, il convient de parler plutôt d'autonomie: la capacité de faire des choix sans interférence extérieure et de les faire évoluer dans le temps. La résilience face aux chocs extérieurs en fait partie. Dans les deux cas, il s'agit d'un axe, pas d'un état binaire. Cet axe va de la dependance totale à la souveraineté idéale, théorique et inatteignable. Ce qui définit la position d'un acteur sur cet axe, c'est sa capacité à identifier, mesurer et gérer ses risques de dépendance. L'autonomie n'est pas une fin en soi: elle s'évalue en regard des objectifs et des moyens disponibles.

Principe fondateur: On ne peut pas déléguer son independance. Confier sa souveraineté à un tiers, c'est y renoncer par définition, quelle que soit l'etiquette apposée sur le service.

Les enjeux selon l'échelle

Au niveau de l'organisation

• Continuité opérationnelle: un fournisseur racheté ou soumis à une juridiction étrangere peut interrompre l'activité du jour au lendemain.
• Risque juridique: l'hébergement par un acteur soumis au Cloud Act ou FISA expose à des accès non maîtrisés.
• Dépendance économique: la captivité technique réduit la capacité à négocier et à migrer, et génère une hausse structurelle des couts.

Au niveau du territoire

À cette échelle, les enjeux sont géostratégiques. La dépendance technologique n'est plus seulement un risque opérationnel: c'est une vulnérabilite nationale en cas de crise.

• Autonomie décisionnelle: en situation de crise géopolitique ou militaire, une nation dépendante d'acteurs étrangers sur ses infrastructures critiques ne peut plus décider librement.
• Rapports de force: la dépendance technologique est devenue un levier de pression diplomatique (sanctions, restrictions d'exportation, décisions unilatérales).
• Développement industriel: externaliser massivement vers des acteurs extra-européens revient a financer des filières étrangeres. La commande publique orientée filière est le principal levier correctif.

Les dimensions d'analyse

Sept dimensions permettent de mesurer la position sur l'axe. Elles sont cumulatives et interdépendantes.

Logiciel

L'autonomie logicielle est étroitement lieé aux libertes du logiciel libre: liberté d'exécuter, d'adapter, de redistribuer.

• Je suis autonome si j'utilise un logiciel libre développé en interne.
• Je suis moins autonome si j'utilise un logiciel libre développé par d'autres, ou un logiciel propriétaire développé en interne.
• Je suis moins autonome si j'utilise un logiciel propriétaire développé par un tiers.

Données

L'autonomie se mesure par l'utilisation de formats ouverts et interopérables. La nature des logiciels disponibles pour traiter les données entre egalement en jeu.

Matériel

L'essentiel du materiel numérique etant concu et fabriqué à l'étranger, la question se rapproche de celle de la souveraineté et pose le probleme de la résilience des chaînes d'approvisionnement.

• Je suis autonome si j'emploie du matériel de ma propre conception, fabriqué en Europe.
• Je suis moins autonome si j'emploie du matériel standard disponible chez un grand nombre de fournisseurs en compétition.
• Je suis moins autonome si j'ai besoin de matériel dedié, fabriqué en petites series, ou concu comme boite noire non modifiable.

Infrastructure et hébergement

Il s'agit de l'endroit ou logiciels et données sont mis ensemble, pour un usage interne ou externe.

• Je suis autonome si j'héberge mes logiciels et données sur mon propre matériel (on premise).
• Je suis moins autonome si j'héberge chez quelqu'un d'autre (datacentre tiers).
• Je suis moins autonome si mes données sont hébergees et traitées par des logiciels tiers en ligne (cloud).

Juridique

Le cadre juridique peut limiter l'autonomie ou la garantir. On est plus autonome dans un état de droit liberal et dans sa propre juridiction.

• Je suis autonome si j'opère mes activités numériques en Europe.
• Je suis moins autonome si j'opère dans un état de droit hors Europe.
• Je suis moins autonome si j'opère dans un régime juridique opaque ou instable.

Connaissances

L'autonomie augmente si l'on choisit des solutions bien documentées pour lesquelles il existe un grand nombre de personnes formées.

• Je suis autonome si j'emploie des solutions largement répandues, enseignées et bien documentées.
• Je suis moins autonome si j'emploie des solutions ilôt pour lesquelles il y a un monopole sur la connaissance.

Économique

La finitude des ressources limite l'autonomie. L'absence de concurrence peut entraîner une dépendance vis-à-vis d'un fournisseur et rendre des choix difficilement réversibles.

• Je suis autonome si je choisis des solutions compatibles avec mes moyens, sur un marché concurrentiel.
• Je suis moins autonome si je dépends d'un fournisseur unique qui à le monopole sur la solution.

La limite de la délégation

Une organisation ne peut pas être spécialiste de toute son infrastructure. Il est légitime de confier l'exploitation à un tiers. La question est de savoir à quel moment cette delegation devient une perte de maîtrise. La distinction fondamentale: on peut déléguer l'exploitation, pas la maîtrise. La question n'est pas "est-ce que je gère moi-même?" mais "est-ce que je peux reprendre la main?"

Quatre critères permettent d'évaluer si une délégation est saine ou si elle constitue une perte de contrôle :

• Réversibilité: puis-je partir et récuperer mes données dans des formats exploitables?
• Criticité: ce composant est-il central à mon activité ou périphérique?
• Transparence: sais-je ce qui se passe sur mes données? Un audit est-il possible?
• Concurrence: existe-t-il des alternatives crédibles, ou suis-je face à un monopole de fait?

Conclusion

La souveraineté parfaite n'existe pas, ni pour une organisation ni pour un territoire. L'objectif n'est pas l'indépendance absolue mais la maîtrise consciente de ses dépendances: connaitre sa position sur l'axe, comprendre les risques associés, et progresser méthodiquement sur les dimensions les plus critiques. L'absence de politique assumée à ce sujet est elle-même un choix, dont le coût ne devient pleinement visible qu'en temps de crise, quand les rapports de force s'exercent et que la dépendance se transforme en vulnerabilité.