Géopolitique de la donnée - Benjamin Bayart

Benjamin Bayart est expert en télécommunications et ancien président de la FDN, French Data Network, le plus ancien fournisseur d’accès à internet indépendant et associatif, coprésident de La Quadrature du Net, militant de la neutralité du Net, et des logiciels libres.

Présentatrice : Tout d’abord je voudrais remercier nos sponsors, Serli, OVH Cloud et Elastic, qui nous permettent, comme chaque année, de maintenir cette conférence gratuite, d’offrir des temps de pause agréables et puis un déjeuner assis qui sera, je l’espère, très bon. N’hésitez pas à aller voir les stands qui sont en bas à côté du buffet ; vous pourrez échanger avec les personnes et puis, potentiellement, prendre quelques goodies.
Les mesures sanitaires. Comme vous le savez maintenant, on a l’habitude, les masques sont obligatoires. On a mis du hydro-alcoolique dispersé un peu partout, donc n’hésitez pas à vous en servir. On essaye de conserver les distances de sécurité et de limiter les entrées/sorties autant que possible, surtout à l’entrée principale. Conservez bien vos bracelets pour montrer que vous avez bien passé les différentes étapes pour le passe et l’entrée de la conférence.
Pour l’organisation de la journée vous avez les programmes papier qui sont à l’entrée du bâtiment. Vous avez aussi le site du Jug Summer Camp où vous vous pouvez retrouver le programme.
Il y a des temps de pause le matin et l’après-midi. À la pause de ce matin, il y aura une animation qui sera faite par OVH sur son stand, donc n’hésitez pas à y aller et cet après-midi c’est Elastic qui fera une animation. Pareil. N’hésitez pas à aller les voir pour participer à ces animations.
Pour le déjeuner c’est la même salle qu’ici mais de l’autre côté, à l’étage, donc vous pouvez vous y rendre, c’est un buffet, chacun se sert et déjeune.
J’ajoute juste petite note pour les speakers de bien parler dans le micro puisqu’on a une captation audio/vidéo. Même s’il n’y a pas énormément de personnes dans la salle et que, du coup, on peut parler et tout le monde entend, c’est quand même important de conserver le micro pour que la captation se fasse correctement.
Je vous remercie tous. Passez une excellente journée et je laisse la main à Benjamin pour la Keynote.
Merci. Bonne journée.

[Applaudissements]

Benjamin BaYart : Je ne sais pas si j’ai le droit d’enlever le masque pour parler. Je vais supposer que je suis à plus d’un mètre de tout le monde, ça fera une bande-son qui sera un peu moins affreuse, on m’entendra moins souffler comme un phoque, mon essoufflement dans le masque.
Souvent, quand je veux présenter ce genre d’exercice, je prépare un support le matin même et puis ce matin c’était un petit peu speed donc non. Je m’excuse auprès de ceux d’entre vous qui ont besoin d’une aide visuelle pour suivre mon propos. L’aide visuelle est là [NdT : Benjamin indique la son passe sanitaire, feuille sur laquelle se trouvent ses notes], elle n’est pas fabuleuse, comme quoi le passe sanitaire sert à tout !
Une difficulté. J’ai choisi comme thème « La géopolitique de la data » parce que je pense que c’est un sujet relativement actuel et pas forcément très enfantin à lire et puis je me suis demandé « est-ce que je fais ça de manière pédagogique, c’est-à-dire que je pars des éléments fondamentaux qui permettent de comprendre puis je développe le propos jusqu’à ce qu’on ait une vision complète ? », ou « est-ce que je fais le contraire ? Je pars de la vision complète qu’on ne comprend pas tous et puis je vais creuser jusqu’à essayer d’extraire les éléments qui me paraissent les plus importants ? ». J’ai décidé de prendre la deuxième approche qui est donc un peu moins pédagogique parce qu’elle me permet de conclure sur les points qui, je crois, sont les plus importants.

En fait, on entend plein de mots ces temps-ci dans l’actualité autour du numérique ou pas très loin du numérique. Vient de se clôturer le FIC [Forum international de la cybersécurité] à Lille, il s’est clôturé hier je crois. On a parlé cybersécurité, l’armée s’intéresse beaucoup à ce qui se passe dans le numérique, la gendarmerie aussi dans tous les pays du monde. On entend beaucoup parler de notions de cloud souverain, de souveraineté sur la donnée ; donc on entend quand même pas mal de bêtises sur tous ces sujets-là.
De quoi on parle-t-on quand on parle de ces sujets-là ? Quand on dit il y a la cyberguerre entre les cyber-Russes et les cyber-Américains, les cyber-Chinois ne font rien que cyber-squatter tout un tas de choses, en fait on parle de puissance, on parle d’un rapport de domination, on parle de quel pays est capable, s’il en a envie, de tordre le bras de quel autre sur quel sujet.
On peut être tenté d’y voir des choses très compliquées il ne faut pas. Moi je trouve qu’il y a un exemple qui est extrêmement lisible, qui est l’alimentation électrique de l’île de Jersey, je sais pas si ça vous parle, dans l’actualité relativement récente. Vous avez suivi que la Grande-Bretagne est sortie de l’Union européenne, vous avez dû en entendre parler, ça a fait un petit peu de presse ces derniers temps. Dans le cadre de cette sortie, les Britanniques ont signé des accords avec les Européens ; le respect de ces accords n’est pas systématique. Un des grands volets ce sont les accords de pêche : qui a le droit de pêcher où entre la France et l’Angleterre et puis les Anglais ont décidé qu’ils n’étaient pas trop d’accord avec ce qu’ils avaient signé, les Français étaient d’avis qu’ils allaient continuer à pêcher dans les eaux anglaises. Donc on a reconnu des choses qu’on n’avait pas vues depuis une trentaine d’années, mais moi je me souviens de quand j’étais petit puisque je suis un peu vieux maintenant, la barbe commence à blanchir. On a revu des bisbilles entre pêcheurs britanniques et pêcheurs français, au point qu’on se dise que ce ne serait pas plus bête que deux ou trois bateaux de la marine nationale, d’un pays ou de l’autre, regardent un peu comment tout ça se passe, jusqu’à ce que ça devienne un peu crispé et que les Anglais disent « on va vraiment envoyer des bateaux de guerre et puis, s’il faut, on va virer les Français de là. » Du coup la France a dit : « Si vous continuez vos conneries, on coupe l’électricité à Jersey. L’île de Jersey, territoire britannique, est alimentée électriquement depuis la France, donc si vous faites chier on coupe. »
Voilà, c’est ça la puissance ! La notion de géopolitique c’est ça, c’est « si vous faites chier, on coupe ! ». Donc on parle bien d’un rapport de domination où, en fait, se mettre sous la dépendance de quelqu’un sur le plan économique, que ce soit pour l’alimentation électrique ou pour l’hébergement des données dans un datacenter : pendant longtemps ça a l’air d’être un choix technique, c’est-à-dire qu’est-ce qui était techniquement le plus raisonnable entre tirer un câble entre Jersey et la Grande-Bretagne où entre Jersey et la France ? Est-ce que EDF vendait l’électricité plus ou moins cher que tel autre fournisseur ? Quelles étaient les durées l’engagement des contrats ? C’est toute la réflexion de DSI [Directeur des Services Informatiques] que vous voyez tous dans toutes vos entreprises tous les jours et puis il y a un moment où la question c’est la puissance. C’est quand ce sera la merde et qu’un État dira « on arrête ! », qui aura les moyens contre qui ? De qui est-on devenu dépendant et où se situe le rapport de domination ?
En fait, quand cette question-là se posera, savoir si tu payais le kW⋅h 32,7 centimes ou 33,8, ce n’est plus le sujet, c’est devenu autre chose !
Nos politiciens nous mettent de la data là-dedans et nous mettent du numérique et du digital selon la façon dont ils ont envie de le formuler. Eux parlent puissance parce que c’est ce qui leur parle. Mais quand on creuse un peu, on va retrouver derrière d’autres notions, par exemple cette notion de macroéconomie que j’aime beaucoup. Je vous parle de choses extrêmement avancées, de choses extrêmement modernes en économie, qu’on a découvertes à la fin du 19e siècle, que les économistes, pour le moment, n’ont toujours pas bien intégrées. Les économistes en restent à peu près à Adam Smith et à Jean-Baptiste Say, donc plutôt début du 19e siècle.
Cette notion de macroéconomie est un truc très simple, c’est vachement simple !
Quand vous importez quelque chose vous faites monter le chômage, quand vous exportez quelque chose vous faites baisser le chômage. Point. Quel que soit ce que vous importez, quel que soit ce que vous exportez.
Quand vous importez pour un euro vous faites monter le chômage, quand vous exportez pour un euro vous faites baisser le chômage.
Le corollaire de ça c’est que n’importe quel produit de très mauvaise qualité que vous payez beaucoup trop cher, mais qui est produit en France, fait baisser le chômage. Alors qu’avec n’importe quel produit d’excellente qualité, que vous payez beaucoup moins cher, qui fonctionne beaucoup mieux, mais que vous faites venir d’ailleurs, vous faites monter le chômage.
On explique ça dans les manuels d’économie sérieux depuis la fin du 19e siècle. Vous trouverez ça dans Karl Marx Le Capital, chapitre 1. Tout le monde croit que Le Capital c’est la définition du communisme, ce n’est pas le cas ! Ce n’est pas le Manifeste du parti communiste, ce n’est pas le même livre même si c’est le même auteur. Le Capital est un bouquin d’économie et le chapitre 1 du Capital est extrêmement instructif en matière d’économie, c’est le premier bouquin sérieux en matière d’économie dans l’histoire contemporaine. Et ça se comprend très bien. Je vais reprendre le type d’exemples que cite Marx, donc d’époque : vous achetez au marché des vêtements que vous avez importés, la seule plus-value qui est sur votre territoire c’est la plus-value du marchand. Tout le reste c’est ailleurs.
Si, au lieu d’importer des vêtements, vous importez du tissu et que le tailleur fabrique le costume et ensuite le costume est vendu au marché, la plus-value du tailleur est sur votre territoire et la plus-value du marchand est sur votre territoire.
Si, au lieu d’importer le tissu, vous importez du fil, eh bien vous aurez la plus-value du tisserand, la plus-value du tailleur et la plus-value du marchand sur votre territoire.
Si, au lieu d’importer du fil, vous importez de la laine ou du coton et que vous filez cette laine et ce coton chez vous, alors vous aurez sur votre territoire la plus-value de la filature, la plus-value du tisserand, la plus-value du tailleur, la plus-value du marchand.
Si, en plus, vous élevez les moutons et vous faites pousser le coton sur votre territoire au lieu d’importer, là vous avez toute la chaîne de plus-value qui est chez vous, donc toute cette chaîne de plus-value non seulement procure du travail mais procure des revenus, crée de la richesse, paye des impôts.
Ça c’est de la macroéconomie élémentaire que normalement tout le monde connaît et que tout le monde feint d’oublier. C’est-à-dire qu’un smartphone de très mauvaise qualité mais fabriqué en France fait baisser le chômage. Importer un smartphone de très bonne qualité, pas cher, fabriqué ailleurs, fait monter le chômage. C’est simple !
Donc quand nous, dans le numérique, on finit par représenter une part non négligeable de l’économie – il y a 30 ou 40 ans tout le monde était persuadé que l’informatique c’était négligeable, c’était dans l’épaisseur du trait, c’était dans les fournitures bureautiques de la boîte, c’était à côté des machines à écrire et des blocs de post-it –, maintenant ce n’est plus le cas. La part de tout ce qui est digital dans nos vies est suffisamment grande pour que ça représente un gros volume de l’économie. Donc savoir si on importe tous nos services informatiques ou si on les produit nous-mêmes c’est une question de macroéconomie qui n’est pas qui est pas négligeable.

Et puis, il y a du droit de l’Union européenne qui est venu s’en mêler. Je suppose que vous êtes tous, comme moi, des grands fans des arrêts de la Cour de justice de l’Union européenne et que vous lisez ça le soir pour vous endormir. Il y a quelques arrêts, ces cinq/six dernières années, de la Cour de justice de l’Union européenne qui sont très intéressants, il y en a quelques-uns sur le numérique. En particulier, pour ceux qui n’auraient pas suivi, il y a la récente invalidation du Privacy Shield [1] et, un petit peu avant, l’invalidation du Safe Harbor Act [2].
Je présume que tout le monde, dans la salle, voit ce que c’est que le Safe Harbor Act. Nickel, on l’a tous. Non ! Il y en a deux trois qui… Oui, parce que les cours de droit que tu as eus en fac d’informatique datent un peu. OK. On va rafraîchir.
Quand l’Union européenne s’est intéressée au droit des données personnelles et a dit qu’on n’avait pas le droit de faire n’importe quoi avec, que les données des gens étaient protégés – ce n’est pas le RGPD [3], ce sont les directives e-Privacy autour de 1992/1994 –, on s’est trouvé face à un problème qui était l’essor de la bulle internet et où on voyait bien que tout ça allait circuler dans le monde. Il y avait un problème : OK, c’est protégé en Europe mais qu’est-ce qui se passe ailleurs ? Donc on a dit « il y a des pays qui ont un droit suffisamment protecteur et puis il y a des pays où ce n’est pas le cas. » Je ne sais pas, l’Ouzbékistan, par exemple, n’a pas de loi sur les données personnelles donc ce n’est pas assez bien. Aux États-Unis il y a des lois sur les données personnelles donc ça doit être assez bien.
Donc le Safe Harbor Act c’est cette décision de l’Union européenne qui dit « les États-Unis et l’Europe ont une protection des données personnelles qui, sans être vraiment exactement identiques sont suffisamment proches, donc ça représente un havre sauf, un port sauf, puisque ce qui est à La Rochelle doit avoir un sens comme terme, Safe Harbor en bon anglais, donc on peut assez librement transmettre des données entre la France, entre l’Europe et les États-Unis parce que les deux droits sont raisonnablement protecteurs de la même manière.
Et puis il se trouve qu’un petit peu après il y a des avions qui sont encastrés dans des tours à New-York, vous avez dû en entendre parler, on fête les 20 ans ces jours-ci, et les États-Unis ont pris des lois anti-terroristes extrêmement sévères. Du coup, quelques années plus tard, une quinzaine, une vingtaine d’années plus tard, vers 2016, quand la Cour de justice de l’Union européenne a été amenée à s’intéresser à ce Safe Harbor Act, elle est arrivée à la conclusion que non, le droit américain n’est pas assez protecteur parce que dans le CLOUD Act, dans le PATRIOT Act, dans tout un tas de morceaux législatifs américains, le gouvernement, en particulier la NSA et beaucoup d’agences gouvernementales américaines, peuvent aller mettre leurs doigts dans les données personnelles des gens avec un niveau de contrôle qui n’est pas conforme au droit européen, qui n’est pas suffisant. Vous n’avez pas de droit de recours, vous avez tout un tas de libertés fondamentales qui sont garanties aux citoyens européens sur leurs données personnelles qui ne sont pas présentes.
Ça, ça avait suscité à la Commission européenne une panique dont vous vous souvenez peut-être. Le mot d’ordre était Data Must Flow. On s’inquiétait que Facebook s’arrête du jour au lendemain, qu’on soit obligé d’éteindre Google en Europe, ça faisait un peu paniquer tout le monde. Donc l’Union européenne avait décidé de signer un deuxième accord international qui a été négocié en quelques semaines, la décision doit être de novembre et les premiers drafts de l’accord international de février. Je sais pas si vous voyez : pour négocier un texte international, trois mois c’est comme un projet qu’on pourrait livrer en huit jours ! Ça n’existe pas !
Ça c’est le Privacy Shield qui a été invalidé, lui aussi, par la Cour de justice de l’Union européenne il y a à peine un an, avec exactement le même argumentaire qui dit que le CLOUD Act, le PATRIOT Act et tout ça, sont des textes de portée internationale, les États-Unis s’autorisent un certain nombre d’accès dans les données personnelles sans contrôle. Ce n’est pas conforme au droit européen.
Du coup, on arrive à ce qu’émerge à nouveau ce vieux mot qui avait été lancé par Nicolas Sarkozy et son orchestre il y a une dizaine d’années de cloud souverain. Dans sa tête, cloud souverain c’était du cloud où la police avec ses godillots et ses matraques pouvait intervenir, plutôt que de se retrouver exclue parce que ça se passe en Californie ou en Russie, et là on a changé. Du coup, on nous parle de cloud souverain, ce n’est plus la même chose ; c’est le même mot mais ce n’est plus le même concept.
Je fais une petite digression sur cloud souverain. Faites attention, il y a toujours trois concepts cachés derrière et il faut faire attention : duquel des trois est-on en train de parler ?
Il y a celui que je viens d’évoquer qui est OK, est-ce que le droit applicable c’est le droit européen ou est-ce que c’est le droit américain ? Si c’est le droit américain, on est sur une zone où c’est le droit américain qui s’applique. Si c’est le droit européen on est sur une zone où le droit européen s’applique. Il faut faire attention parce que les deux droits ne sont pas étanches, ils bavent, ils dépassent des frontières ou ils dépassent des zones évidentes.
Typiquement, le droit américain s’impose à toutes les entreprises américaines et depuis, une jurisprudence très récente de la Cour suprême américaine, il s’impose à toute entreprise qui fait du business en dollars où qu’elle soit dans le monde. Donc Amazon Paris est soumise au droit américain. La question de savoir si OVH est soumise au droit américain n’est pas claire, parce que ça n’est pas une entreprise américaine, mais elle fait un petit peu de business en dollars aux États-Unis. Donc est-ce que c’est juste la filiale américaine qui est soumise au droit américain ou est-ce que le droit américain peu déteindre jusqu’à la maison-mère en Europe ?, ce n’est pas clair, ça bave.
De la même manière le droit européen, par exemple le RGPD, s’applique pour toute personne en Europe. Ce n’est pas que les citoyens européens. Le RGPD protège les données personnelles du touriste américain qui vient acheter une petite tour Eiffel en plastique. Donc l’acteur américain, entièrement Américain, entièrement basé aux États-unis, qui traite les données personnelles du touriste américain qui est sous la tour Eiffel, est soumis au RGPD pendant le temps que ce touriste américain est en Europe. Vous voyez, ça bave. La frontière entre les deux est extrêmement floue.
Ça c’est est la première notion : cloud souverain au sens de quel est le droit qui s’applique.

Il y a une deuxième notion, qui est celle que j’expliquais avant, qui est de macroéconomie. En fait, on se fout un peu de la nationalité des gens. Il y a où a lieu la plus-value, quel est le bassin d’emploi qui profite de la croissance économique et où est-ce qu’on paye des impôts ? Typiquement Amazon n’est pas tellement américain ou européen, c’est amazonien, eux ne payent pas d’impôts ! Vous voyez, c’est ce genre de notions.

Et puis il y a une troisième notion qui est souverain au sens régalien, qui est avec quelle police allez-vous coopérer, pour quoi faire ? Est-ce que vous allez coopérer avec la police quand il y a des enquêtes criminelles ? Est-ce que vous allez coopérer avec la police quand il y a des enquêtes civiles ? Est-ce que vous allez coopérer avec la police quand il y a des enquêtes politiques ? Chez nous, il n’y a jamais d’enquêtes politiques, jamais personne ne fait d’enquête sur les opposants, on ne fiche pas les gens qui font chier en manifestant dans la rue ! Mais, dans des pays non civilisés, ce sont des choses qui arrivent, donc là il y a une notion de souveraineté. C’est par exemple ce qui a empêché, il y a une dizaine d’années, Google de travailler en Chine parce qu’ils n’étaient pas tout à fait assez coopératifs avec le gouvernement chinois et pourtant ils étaient prêts à le faire. Ils avaient dit à la Chine : « Si vous voulez on fiche qui vous voulez, tranquille, on respecte les lois du pays. Vous savez qu’on est très légalistes, tout ça ». La Chine a répondu : « Non, en fait tu nous fais chier, on va faire notre moteur de recherche, toi tu vas bosser à Taïwan, casse-toi ! ». Et plutôt que de rester avec 0,7 % de parts de marché et de perdre de l’argent là-bas, Google s’est drapée dans le drapeau américain en disant « liberté, principes fondamentaux, droits de l’homme, nous ne pouvons pas travailler en Chine, nous ne pouvons pas coopérer ! ». Tiens, mon cul ! Ils étaient prêts à coopérer à tout. Le gouvernement chinois les a juste envoyés chier en raison de la macroéconomie et puis voilà !
Donc on a toujours trois notions : quel est le droit qui s’applique ? Où va la plus-value ? Et le souverain au sens régalien, c’est-à-dire est-ce que, par exemple si l’armée de l’air utilise des serveurs pour piloter ses radars, le jour où on sera en guerre contre quelqu’un, si ce quelqu’un a sur son territoire nos serveurs, eh bien il éteint, on n’a plus de radars, on n’a plus d’armée de l’air ! Fini ! Ça c’est du souverain. C’est le souverain au sens de l’île de Jersey. Ils ont choisi le contrat d’alimentation électrique le plus raisonnable. Si un jour ils se retrouvent en guerre ou en semi-guerre ou en tension diplomatique internationale avec la France, le fait qu’ils aient signé un contrat avec un acteur économique français peut leur poser des problèmes ; c’est bien aussi un des trois sens du souverain, c’est celui j’appelle le régalien.

Ce qui m’intéresse là-dedans, c’est que ce rapport de puissance et ce rapport de macroéconomie, si on regarde son fondement juridique actuel, c’est la protection des données personnelles. Ça c’est quand même balèze. On ne l’avait pas vu venir. D’habitude on traite ça vraiment en régulation économique, on traite ça de manière propre, à la Donald Trump. Non, ne déconnez pas, c’est un des trucs propres qu’il a faits : quand il a dit qu’il voulait une guerre économique contre la Chine, il a sorti des armes de guerre économique et il s’en est très bien servi. Le mec a l’air con comme un prunier, mais il y a des morceaux qu’il faits de une manière vaguement raisonnable, au moins on comprend ce qu’il fait.
Donc le traditionnel de la guerre économique, qu’on nous met en tête, c’est le tarif douanier et puis on baisse les barrières douanières quand on est plutôt en paix économique, ce qui est une façon de faire la guerre aux entreprises les plus faibles, ou bien on monte les barrières douanières quand on veut faire du protectionnisme économique chez soi.
Et on a oublié, parce que les médias n’en parlent plus, mais il y a une deuxième forme de ce protectionnisme économique qui est le protectionnisme réglementaire, qui est d’avoir des réglementations très particulières qui peuvent empêcher l’accès à un marché. Le grand classique c’est la prise électrique. La prise électrique n’est pas la même dans tous les pays du monde, donc, quand vous êtes fabricant de grille-pains, si vous les fabriquez en France avec des prises françaises, quand vous allez dans un pays qui n’a pas le même format de prise électrique, il faut vous adapter ; alors ce n’est pas le format de la prise, c’est plus que ça, c’est la réglementation sur la longueur du cordon, le type de cordon, l’âge du capitaine, tout ce qu’on veut. Quand cette réglementation change régulièrement, en fait les seules entreprises qui arrivent à suivre sont celles qui sont sur votre territoire parce qu’elles suivent bien vos réglementations. Pensez, par exemple, aux discrètes réglementations sur les règles sanitaires actuellement. Elles changent tous les huit jours ! Une entreprise qui ne comprend pas les annonces du Premier ministre, elle est morte. C’est ce qu’on appelle du protectionnisme réglementaire, c’est faire une réglementation que les pays étrangers n’arriveront pas à suivre.
En fait, il y a toute une réglementation sur les données personnelles en Europe qui a cet effet-là. Il y a le RGPD, il y a la neutralité du Net [4], il y a tout un tout un tas de règlements comme ça qui ont cet effet. Ce sont des réglementations qui ne parlent pas d’économie, qui parlent de règles qui, d’habitude, s’appuient plus sur la protection des libertés, et les entreprises américaines ne peuvent pas respecter ce droit. Ce n’est pas « ne veulent pas », je ne vous parle même pas du fait que Facebook ce sont des malfaiteurs, elles ne peuvent pas. Ce que nous dit la Cour de justice de l’Union européenne c’est que même si elles voulaient elles ne pourraient pas puisque la loi américaine les oblige à coopérer avec la NSA, avec une forme de contrôle qui n’est pas compatible avec le droit européen, elles n’y peuvent rien. Une entreprise qui va vous signez un contrat, Facebook qui vous signe un contrat disant qu’elle ne va pas respecter le droit américain, ça ne va pas bien se passer à la maison ! Quand on signe un contrat entre plusieurs personnes, que l’objectif du contrat est de ne pas respecter la loi, c’est la définition même d’une association de malfaiteurs, couramment on appelle ça une mafia. Ces textes-là ont un effet protecteur.

D’où sort cet effet protecteur de textes sur la vie privée, les données personnelles, en Europe et pas aux États-Unis ? D’où vient cet écart ? En fait, le fondamental c’est qu’on n’a pas la même compréhension de ce que c’est. Pour faire simple, les Américains considèrent que les données personnelles c’est quelque chose qui vous appartient, donc qu’on peut monétiser, qu’on peut monétiser à votre insu – ça s’appelle Facebook – ou qu’on peut monétiser avec votre accord. Et en droit européen ça ne marche pas pareil. En droit européen on s’appuie sur des concepts philosophiques qui ne sont pas les mêmes.
Pour vous expliquer pourquoi les données personnelles c’est important, je vais utiliser trois concepts qui sont non triviaux, mais que vous m’avez peut-être déjà entendu raconter en interview.

Le premier concept qui, pour le coup, m’intéresse beaucoup parce que je parle, je crois, à une très grande majorité d’informaticiens vu qu’il y a à peu près 95 % de mecs dans la salle et à peu près 80 % de barbus, je me dis que ça doit être plutôt des informaticiens.
Le premier concept c’est l’idée que l’ordinateur est fatal ; pas létal, je vais pas vous faire une injection d’ordinateur pour vous tuer, il est fatal au sens fatalité, fatalitas. La décision de l’ordinateur n’est pas sujette à négociation. Comme admin-sys vous avez l’habitude de vous battre à mains nues contre un ordinateur et, le plus souvent, c’est vous qui gagnez à la fin ou l’ordinateur finit à la poubelle. Ce n’est pas de ça dont je parle, pas tout à fait.
Pour comprendre l’ordinateur fatal : on est en 1970, vous avez une démarche administrative à faire, vous allez au guichet de l’administration, vous prenez le formulaire en papier, vous cochez les cases, vous remplissez en écrivant bien dans les cases comme il faut, et puis votre cas ne colle pas. Le formulaire prévoit bleu, il prévoit vert, or vous, manifestement, vous êtes rouge. À moins d’être daltonien, on voit bien que vous êtes rouge. Vous allez au guichet, vous expliquez à l’humain plutôt sympathique et pas plus bête qu’un autre, qui n’est pas daltonien, donc qui voit bien que vous vous êtes rouge ; vous n’êtes ni bleu ni vert, vous êtes rouge donc vous ne pouvez pas choisir de case. Alors il va se débrouiller. Il va agrafer une note sur le dossier, il va mettre un Post-it, il va appeler son chef, il va se débrouiller pour voir comment on peut faire pour à peu près bricoler un truc.
Puis vous faites ça en 2020. Vous trouvez par une petite recherche sur votre moteur de recherche préféré le formulaire en ligne de l’administration, vous remplissez tout et puis le fameux champ où il faut choisir entre bleu et vert, vous êtes toujours rouge, il y a une petite aide à côté disant « le champ est obligatoire, il faut choisir entre bleu et vert », c’est bon !, j’avais compris. Ça ne marche pas, du coup vous utilisez le chatbot. Vous posez votre question au truc électrique « comment je fais ? » et le machin vous répond « le champ est obligatoire, il faut choisir entre bleu et vert. » OK, ça ne sert à rien. Après vous remplissez le questionnaire de satisfaction sur le chatbot et vous mettez « c’est de la merde ». Et puis vous essayez de trouver un numéro de téléphone, il n’y en a pas, vous finissez par trouver comment prendre un rendez-vous à un guichet. Vous constatez que c’est encore possible, vous bénissez les saints dieux de l’ancien temps. Vous arrivez au guichet, vous trouvez, miracle !, un humain qui n’est pas plus bête que celui d’avant, qui n’est pas moins gentil, il est compréhensif, il voit bien que votre cas c’est rouge et que ce n’est pas prévu. Sauf qu’il a le même formulaire que vous sur l’ordinateur ! Voilà ! L’ordinateur est fatal ! Le modèle de données a décidé qu’il n’existait que bleu et vert. Si vous êtes rouge c’est naze, c’est mort !
On peut croire, quand on est informaticien, quand on est product owner, product manager, tech lead, devops, tout ce que vous voulez, tous les termes modernes, qu’on va rajouter les bonnes couleurs, c’est parce qu’on a foiré le modèle de données. Non, parce que vous allez rajouter, vous allez passer de deux couleurs dans le champ à 180 et déjà ça va devenir chiant parce que tout le monde ne voit pas la différence entre mauve et violet. Ce n’est pas le problème. Et quand il y a des gens qui n’ont pas de couleur ou qui en ont plusieurs ou qui changent de couleur — le matin, ils sont bleus mais une fois qu’ils ont bu un petit peu de vin ils deviennent verts et puis, pour peu qu’ils soient un peu fatigués, ils sont un peu dégradés, arc-en-ciel, clignotants, que sais-je. En fait, la réalité ne rentre pas forcément dans les cases que l’ordinateur a prévues.
Ce que j’appelle l’ordinateur fatal c’est le fait qu’une fois que l’ordinateur a prévu qu’il y avait une case, on ne peut pas en sortir. Le seul moyen qui permettrait d’en sortir c’est qu’il soit prévu qu’un humain puisse intervenir. Avec l’humain tout est négociable. Votre état civil dit que vous vous appelez Stéphane, si vous avez envie qu’on vous appelle Stéphan, ce n’est pas très compliqué. J’ai des copains dont c’est le cas, ils n’aiment pas le prénom Stéphane, ils préfèrent qu’on les appelle Stephan, cool.
Tout est négociable entre humains. Avec un ordinateur tu ne peux rien négocier du tout !

Un autre exemple que j’aime bien, pas très connu du grand public, c’est la norme ISO 8859 [5], que vous connaissez tous, sur le schéma de codage de caractères, que vous connaissez sous le nom ISO Latin-1, ISO Latin-15, ISO Latin-9, etc., donc c’est la norme ISO 8859 de schéma de codage de caractères en 8 bits. La première des n pages de 8859 c’est la page 1 qui définit le codage usuel des caractères latins d’Europe de l’Ouest, qui est, entre autres, celui qui s’applique pour la France. Le mec qui représentait la France au Comité de normalisation n’était pas une très grande vivacité, il a raté son truc, il y a deux caractères qui manquent : il manque le « Ÿ » et il manque le « œ ». Le « œ » c’est quand même embêtant parce que c’est un caractère en français, ce n’est pas une ligature, ce n’est un petit gri-gri graphique, c’est juste pas la même lettre. Et puis le « Ÿ », l’air de rien on s’en sert. Par exemple, les panneaux à l’entrée des villes sont toujours écrits tout en capitale, donc L’Haÿ-les-Roses, comme il y a un tréma sur le « Y » de L’Haÿ-les-Roses, si le schéma de codage de caractères ne le prévoit pas et que le panneau est produit par un ordinateur, c’est niqué. On fait quoi ? On rebaptise la ville pour que ça rentre dans l’ordinateur ? Eh bien oui, si on vient mettre à la main deux petits gris-gris sur le panneau ça marche, sauf que l’état civil qui dit que tu es né à la L’Haÿ-les-Roses il le dit avec une faute d’orthographe, donc sur un nom de ville qui n’existe pas. Est-ce qu’on modifie la réalité pour coller à l’ordinateur, ou pas ?

Un autre exemple que j’aime beaucoup c’est notre ci-devant secrétaire d’État au numérique, Cédric O. Il s’appelle Cédric O de son vrai nom, sans tricher il s’appelle Cédric O. Vous savez combien il y a de formulaires qui disent que pour rentrer un nom de famille il faut au moins deux caractères. Il fait quoi le mec ? Il se rebaptise ? Il décide qu’il va s’appeler « Aux » pour plaire aux informaticiens ? On fait quoi ?
L’ordinateur est fatal c’est ça. Vous ne négociez pas avec un ordinateur. Tout ce que l’ordinateur a décidé comme étant la réalité s’imposera à vous.

Le deuxième morceau que je veux que vous compreniez et qui n’est pas lié à l’informatique c’est que tout fichier est une maltraitance. [Il faut que je fasse gaffe à l’heure parce que je suis en train de dépasser, je m’accorde encore une dizaine de minutes.] Tout fichier est une maltraitance ou, du moins, une maltraitance potentielle.
Par exemple on vous a installés dans la salle. Si je voulais vous demander de changer de place, par exemple dire aux gens du fond de venir s’installer au premier rang pour mieux voir, mieux entendre, parce que les micros ne marchent pas, que sais-je, je vais interagir avec vous, je vais vous le demander et on va être dans une négociation sociale. C’est-à-dire que je vais vous demander de vous rapprocher ; les plus réfractaires vont décider qu’ils vont, au contraire, s’éloigner et se mettre au fond. Les gens que ça fait chier de recevoir des consignes vont décider que c’est l’heure du café. On va traiter ça socialement entre humains.
Quand vous travaillez sur une fiche, par exemple vous faites le plan de table pour votre mariage, vous déplacez des pions sur l’échiquier de votre plan de table pour éviter que le tonton raciste se retrouve à côté de la cousine végane parce que ça va encore faire un drame toute la soirée, mais il faut quand même bien inviter le tonton raciste parce que c’est le tonton, etc.
Quand vous êtes en train de mettre les gens en fiches et que vous traitez ensuite les fiches, quelles que soient les fiches, que ce soit de la fiche bristol de 1930 ou que ce soit du fichier informatique, vous êtes en train de traiter les gens comme des choses. Les psys parlent de réification pour ça, le fait de chosifier quelqu’un.
En fait, cette déshumanisation, cette dé-subjectivation où les gens ne deviennent plus sujet de l’action mais deviennent l’objet d’un traitement, c’est la base de toutes les violences sociales. Vous ne pouvez pas enfermer dans un camp de concentration quelqu’un que vous n’avez pas considéré d’abord comme étant une chose. Tant que vous considérez que c’est une personne vous n’y arriverez pas, vous n’arriverez pas à faire autant de mal, vous n’arriverez pas à lacérer les tentes des migrants que vous considérez comme étant des personnes et qu’elles dorment dehors. Il y a tout un tas de choses que vous n’arriverez pas à faire. Vous n’arriverez pas à radier des listes du chômage quelqu’un que vous considérez comme une personne. Vous n’y arriverez pas, c’est inhumain, ça va vous rendre fou, très vite. Donc, pour permettre tout un tas de mauvais traitements, il faut d’abord transformer les gens en chose.
Le fait de créer des fichiers, le fait de traiter un fichier plutôt que de traiter une personne, le fait de radier d’un listing informatique plutôt que de convoquer quelqu’un pour lui dire qu’il ne touchera plus les allocations chômage et qu’il sera prié d’aller dormir sous les ponts, c’est une maltraitance en puissance, c’est un moyen de réification.

Et puis, la troisième notion que je vais vous amener, c’est que les données c’est la personne. Vous n’avez pas besoin de connaître mon nom réel, à supposer que j’en aie un, vous connaissez le nom sous lequel je me présente publiquement, Benjamin Bayart ; vous savez me décrire – c’est l’autre con à cravate ; vous savez me décrire par ma fiche Wikipédia [6] — je vous jure qu’il y a zéro atome de ma personne dans ma fiche Wikipédia ; en fait vous savez me décrire par mes données personnelles. Si je dis « le monsieur qui habite à telle adresse et qui tous les jours va travailler à telle autre », il n’y a pas mon nom dessus mais c’est moi. Si on dit « celui qui est assis face au public ici », c’est une phrase dans laquelle mon nom n’apparaît pas mais c’est moi. Les données personnelles vous décrivent et vous disent.
Les données sont votre propriété, sont une de vos propriétés, non pas au sens de ta moto, ton blouson, ta bagnole, ton appartement, non ! C’est une propriété comme la couleur de vos yeux ou comme votre ombre. Ce n’est pas une propriété au sens lucratif, ce n’est pas une propriété qu’on peut céder. C’est une propriété au sens caractéristique, au sens de la programmation objet pour ceux d’entre vous qui auraient fait un peu d’informatique, vous voyez, une propriété d’un objet, ce n’est pas un truc qu’on va vendre. Le point qui a comme propriété son abscisse et son ordonnée ne va pas vendre son abscisse, vous voyez ! Vous ne pouvez pas vendre votre ombre, ça ne va pas être simple ! Mais ce sont des propriétés de vous, ce sont des morceaux de vous, qui vous êtes. La somme de vos données vous décrit de manière bien plus complète que la somme de vos cellules et c’est bien pour ça que ce n’est pas une propriété lucrative.
En Europe, on considère qu’on ne peut pas vendre des données personnelles parce que c’est comme vendre un rein. On n’a pas le droit. C’est assez voisin d’un concept juridique qu’on appelle l’inviolabilité du droit de la personne. Vous ne pouvez pas vendre des parties de votre corps. C’est ce qui fait que, par exemple aux États-Unis, on peut se faire rémunérer pour donner son sang. En Europe ça n’est pas possible. E En tout cas, en France c’est inenvisageable.
En fait, c’est bien la somme de ces trois morceaux-là :
les données sont la personne ;
toute mise en fichier est une maltraitance ;
l’ordinateur rend tout ça fatal.
Donc quand on crée un fichier informatique, on crée une maltraitance potentielle sur la personne, qui n’est plus négociable et qui est fatale. Et c’est pour ça qu’on n’a pas le droit de faire n’importe quoi avec les données personnelles. Et c’est pour ça que le droit européen est très différent du droit américain. Le droit américain va considérer que pour qu’il y ait un problème pour vous, il faut qu’on démontre qu’on vous porte un préjudice économique. Par exemple, votre voisin squatte votre place de parking, vous pouvez aller au tribunal, si ça ne vous porte pas préjudice il ne va pas se passer grand-chose. On va vous dire « oui, il se gare là, en fait, en vrai ça ne vous fait pas chier, ça ne vous coûte rien, donc vous arrêtez d’emmerder le monde et vous le laissez se garer là. » Si vous démontrez qu’il vous porte un préjudice économique parce que, par exemple, vous êtes du coup obligé de payer une place de parking pour votre bagnole alors qu’il squatte la place de parking qui est à vous, vous démontrez donc un préjudice économique, là le juge va intervenir. Ça c’est l’approche données personnelles qu’on va trouver aux États-Unis qui est la notion économique.
En Europe pas du tout. On considère que c’est une atteinte aux personnes, donc le préjudice est évident. Si je vous coupe un doigt, vous n’aurez pas à démontrer au juge que vous aviez besoin de ce doigt. OK ? Il y a préjudice. Point. On ne va pas négocier.
De la même manière, si je fais n’importe quoi avec vos données personnelles en Europe, il y a préjudice. Point. En fait, il y a préjudice même si je n’ai pas été jusqu’à porter plainte parce que je ne m’en suis pas rendu compte. OK. C’est la différence fondamentale entre le droit américain et le droit européen sur les données personnelles. Pour moi, c’est une différence philosophique fondamentale et je trouve que le droit américain est mal foutu de ce point de vue-là : il considère les gens comme des choses, c’est fondamentalement une erreur, mais ce n’est pas nouveau chez eux. Ils trouvaient, il n’y a encore pas très longtemps, que les ouvriers agricoles, quand ils n’étaient pas de la bonne couleur, étaient des choses qu’on pouvait vendre. En Europe on ne fait plus ça, on ne traite plus les ouvriers comme des choses ! Non ! Pas comme ça en tous cas.
Pour moi c’est quelque chose d’important parce que ça fait partie des sujets fondamentaux de la compréhension de ce qu’on fait quand on fait du numérique. Le numérique est un écosystème dans lequel vous êtes Dieu. On ne peut pas faire ça souvent. L’architecte qui construit des immeubles est contraint par une mécanique, s’il essaye de faire un escalator de 900 mètres de haut, ça ne marche pas ; s’il essaye de faire un immeuble de 35 km de haut, on n’a pas les bons matériaux, ça ne marche pas, il y a des limites ; on ne peut pas décider qu’on va faire des appartements de 6 000 m2 dont le loyer sera de 150 euros, disponibles à tout le monde dans le premier arrondissement de Paris. Il y a des limites physiques. Alors que nous autres, en matière d’informatique, on fait ce qu’on veut. On a très peu de limites en vrai. L’administrateur système et le développeur sont tout-puissants. Franchement, fabriquer un milliard d’euros à l’époque des billets de banque, il fallait un peu de matos ! Maintenant « Insert into table ; machine value = 1 milliard » et pouf !

Or, l’ordinateur est toujours dans cette situation duale : ou bien il opprime ou bien il émancipe.
Il y a des ordinateurs qui servent à surveiller les gens, il y a des ordinateurs qui servent à donner du pouvoir d’agir aux gens. Wikipédia me permet de comprendre ce qui se passe, me permet de m’instruire sur un domaine, d’essayer d’avoir un peu plus de compréhension du monde, on va dire que ça émancipe.
L’outil installé par mon patron sur mon ordinateur, qui permet de vérifier que je ne me suis pas endormi pendant que j’étais en télétravail, on est d’accord, c’est quand même un peu de la surveillance, c’est à deux doigts d’être de l’oppression.
Le pointage qu’on fait pour vérifier que vous êtes vacciné ou que vous vous êtes inscrit, c’est quand même plutôt de la surveillance.
Le pointage qu’on fait pour vérifier que vous êtes sage c’est quand même plutôt de la surveillance, c’est plutôt de l’oppression.
Et puis, il y a des tas de moments où on croit qu’on fait l’émancipation et on s’est trompé ! En fait, on faisait de l’oppression.
Il y a un exemple que j’adore. J’ai fait la conférence d’ouverture d’un congrès de psychiatrie il y a quelque temps, et il se trouve que cette fois-ci j’avais le temps de rester alors qu’aujourd’hui ce n’est pas le cas, donc j’ai écouté quelques-unes des conférences. Il y en avait une vachement intéressante d’un mec qui avait bossé, quelques années auparavant, à informatiser son hôpital psy, donc à se dire « OK, on va noter dans les dossiers informatisés des patients quand on leur donne des traitements la nuit ou quoi, donc ça permet que sur les changements d’équipe, plutôt que de passer 40 kg de notes en papier sur tous les patients de l’étage à l’équipe de jour quand l’équipe de nuit s’en va, tout est déjà noté, c’est formidable. On gagne en efficacité, on n’oublie plus de noter des trucs, c’est mieux pour les patients, c’est mieux pour les soignants, enfin c’est formidable ! ». Donc il avait bossé comme un chien pour informatiser le truc à une époque où les ordinateurs étaient gros et lourds, ce n’était pas facile d’informatiser. Et il explique sa sidération quand il a participé à un comité de direction juste après que le système ait été enfin mis en marche. Le comité de direction était d’avis que « ah, on va enfin savoir ce que font les infirmières ! On va enfin savoir pourquoi il faut trois infirmières pour faire prendre leurs douches aux patients à l’étage alors que si ça se trouve avec deux on pourrait. On va pouvoir minuter, mesurer, dire que la toilette d’un patient ça doit prendre 9 minutes 40 ». Si c’est la seule personne de la journée qui parlera au patient, peut-être qu’il avait besoin de plus de 9 minutes 40, non pas pour qu’on lui nettoie le trou de balle, mais pour pouvoir parler à un humain, mais ça ne rentre plus dans la mesure.
Donc ce que lui avait développé pensant être un outil d’émancipation, qui apportait du pouvoir d’agir aux soignants, qui apportait du pouvoir d’agir éventuellement aux patients, qui apportait une qualité de soins, lui le voyait vraiment comme un outil d’émancipation, il a découvert avec honte que c’était un outil d’oppression. En fait, un outil informatique c’est, je crois, toujours les deux ; ça peut être beaucoup l’un et un petit peu l’autre ou beaucoup les deux, mais je crois que c’est toujours un peu des deux. Et je pense que c’est une question fondamentale dans nos métiers de savoir à quel moment l’outil informatique que nous écrivons émancipe quelqu’un et qui, parce que franchement, moi, l’émancipation de l’actionnaire !, je ne dis pas qu’il faut tous les pendre mais enfin, ils sont déjà très émancipés et peut-être qu’on pourrait les opprimer un petit peu, il y aurait un côté revanche.
Donc savoir qui on émancipe, c’est-à-dire à qui est-ce qu’on apporte du pouvoir d’agir et qui est-ce qu’on opprime.
Tout ça revient, dans le fond, à une question qui, pour moi, est la seule question intéressante des 30 ans qui viennent en informatique.
Maintenant je suis devenu salarié d’une boîte de consultants et j’estime que la question centrale qu’on posait à tous les consultants en informatique, qu’on nous posait — je pense qu’il y a une certaine quantité de techniciens et d’ingénieurs dans la pièce —, la question qu’on nous posait toujours sur l’ordinateur c’est : est-ce que c’est possible de faire ça avec un ordinateur et si oui comment ? Franchement, cette question-là est périmée. « Est-ce que c’est possible de faire ça avec un ordinateur ? », la réponse est oui, très souvent. Vu les ordinateurs qu’on a aujourd’hui, on fait un peu tout avec.
Je pense que la bonne question à se poser et qui peut se poser en termes environnementaux : par exemple est-ce que ça vaut le coup de saccager des tas de ressources naturelles pour produire des ordinateurs pour faire ça à la sortie ? Ce n’est plus « est-ce que c’est possible et si oui comment ? », c’est « est-ce qu’on doit faire ça avec un ordinateur ? Est-ce que c’est bien de faire ça et si oui comment doit-on le faire ? Est-ce que c’est bien ? Est-ce que c’est fait pour améliorer la vie des gens, améliorer l’humanité, protéger l’environnement, faire un monde meilleur ? Ou est-ce que c’est juste fait pour aider à saccager de manière un peu plus optimale et un peu plus efficace un des derniers coins qui n’était pas encore tout à fait saccagé dans le territoire ? En fait est-ce qu’on doit faire ça et si oui comment doit-on le faire ? Est-ce que ça c’est la bonne façon ? Est-ce que c’est suffisamment sécurisé ? Est-ce que ça permet aux gens de réagir ? Est-ce qu’on a laissé suffisamment d’humains dans le processus pour qu’il existe encore une négociation sociale ? »
En fait, pour moi c’est ça la question fondamentale de l’informatique dans les 30 ans qui viennent. Ce n’est plus « est-ce qu’on peut et si oui comment ? », c’est « est-ce qu’on doit et si oui comment ? Quelles précautions est-ce qu’on doit prendre ? Quelles précautions est-ce qu’on doit prendre pour que notre heure de travail d’informatique ne soit pas rajouter du malheur au malheur du monde, mais soit essayer de faire que ce soit un peu moins cracra ? »
Donc, pour moi, la question centrale de la géopolitique de la donnée, c’est une question centrale de politique : quelle est la vision du monde que nous voulons ? Est-ce que nous voulons une vision du monde où tout est chose manipulable, mesurable, mettable en projet, en optimisation, en comptabilité, en diagramme de Gantt ? Ou est-ce qu’on veut autre chose comme société ? Si oui quoi et discutons-en ?
Donc la question de la géopolitique de la donnée c’est la question de savoir si je vais mettre mon système d’information chez Amazon ou si je vais mettre mon système d’information sur une solution de cloud qui me convient mieux politiquement, juridiquement, économiquement, techniquement. C’est une question de politique et c’est, au final, une question qui n’est pas très loin de « sur la gueule de qui ai-je envie de marcher ? »
Voilà ! J’avais promis 45 minutes, je ne suis pas mal !

[Applaudissements]