Pour sortir de notre dépendance numérique américaine et reconstruire une informatique de confiance, locale et résiliente
Postulat
Le terme GAFAM provient des cinq plus grandes multinationales du numérique (Google, Amazon, Facebook, Apple et Microsoft). Les services de ces dernières, sont tous basés sur la dématérialisation des outils dans le « nuage » (« cloud » en anglais). Physiquement, les centres de données (« datacenters » en anglais) qui forment ce cloud ne sont pas nécessairement situés sur sol helvétique et ne sont donc pas soumis aux lois de notre pays. S’agissant de multinationales américaines, elles sont en sus soumise à des lois restreignant drastiquement la protection des données. C’est le cas notamment du CLOUD Act (« Clarifying Lawful Overseas Use of Data Act », H.R. 4943), une extension du PATRIOT Act (« uniting and strengthening america by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act » H.R. 3162). Ces lois autorisent l’administration américaine à consulter nos données et métadonnées, à travers nos courriels, photos, chats audio et vidéos, historiques de navigation et de recherche. Les outils techniques ont été publiés par Shoshana Zuboff 1 et surtout Edward Snowden 2.
Cette période de semi-confinement est propice à l’observation de notre utilisation accrue des services et outils des GAFAM, malgré les critiques qui leur sont adressées et leur hégémonie sur le marché des services et outils numériques.
Prenons l’exemple du choix d’un outil de visioconférence, le dilemme est posé entre avoir recours à l’un des outils appartenant aux GAFAM ou à des solutions élaborées pour garantir la protection des données des utilisateurs, mais n’offrant qu’une qualité d’échange insuffisante pour une utilisation en grands groupes. L’enseignement à distance s’est également vu utiliser plusieurs outils de communication qui ne sauraient respecter les données des élèves et de leurs enseignants (Whatsapp, Zoom, Skype, TeamUp,…). Même le système de visioconférence choisi pour les commissions du Grand Conseil appartient à un grand groupe informatique américain (CISCO) et donc, ne garantit pas forcément la confidentialité des séances.
La transmission de données de géolocalisation au Conseil Fédéral par Swisscom pourrait également constituer un précédent quant à l’exploitation indue de données personnelles. Un des risques étant d’arriver à une politique de surveillance large, non transparente et sans contrôle au nom de la sécurité et de la santé.
Même en temps normal, les possibilités des GAFAM de tracer des internautes sont omniprésentes, puisque la grande majorité des entreprises, mais aussi des services publics ont recours aux services de Google, par exemple, pour améliorer les fonctionnalités de leurs sites. Les GAFAM ont su se rendre omniprésentes pour tout le monde, qui ont recours à leurs services et outils. Ceci rend très difficile de s’en soustraire, même si les condamnations pénales et les choix de ces entreprises peuvent scandaliser une partie de la population.
Dans sa stratégie numérique de 2018, le Conseil d’État s’est engagé dans une politique forte de protection des données personnelles et à doter le canton d’infrastructures sécurisées, disponibles et respectueuses de l’environnement. La stratégie d’accompagnement aux entreprises veut appuyer le développement de solutions locales et la réduction de la dépendance du canton à l’égard des systèmes proposés par les entreprises occupant une position dominante sur le plan mondial.
Dans la perspective de supprimer notre dépendance aux GAFAM, notre canton devrait promouvoir le développement d’alternatives à leurs services, par exemple en développant un pôle de recherche à la HEIG-VD qui s’axerait sur des outils en source ouverte ou libre FOSS (« Free and Open Source Software »), ou en soutenant des initiatives déjà en cours comme les outils Framasoft ou Meet d’Infomaniak. Ces services offrent l’avantage de ne pas collecter les données des utilisateurs, contrairement à ceux des GAFAM.
Il pourrait mettre en place une campagne de sensibilisation auprès des entreprises et des privés concernant les mesures pouvant être prises pour éviter le traçage (les services et outils open source, les bloqueurs de traceur ou le cryptage, le renoncement aux interfaces applicatives externes (API) de Google et d’autres lors du développement d’applications). La population a besoin de prendre conscience que le choix d’utilisation de services des GAFAM implique non seulement sa propre surveillance (comme mentionnée dans les conditions d’utilisations, rarement lues3) , mais aussi celles de ses contacts, consentants ou non, également au-delà des médias personnels.
Du fait de l’article 13 de la Constitution suisse « Protection de la sphère privée », le renoncement aux outils et services de GAFAM par l’État et ses services semble incontournable autant pour la protection des données du personnel que parce que l’État détient de nombreuses informations sensibles sur la population. Cette démarche est la suite logique du renoncement aux outils externes Google pour le site de l’État de Vaud qui est actuellement en cours et aux orientations stratégiques du Conseil d’État en matière de système d’information 4 .
Une planification de sortie des GAFAM axée sur la Stratégie numérique du Conseil d’État, commençant par le renoncement à tout investissement alimentant le capitalisme de surveillance mis en place par les GAFAM serait ainsi une mesure de poids, avec de nombreux intérêts pour favoriser la résilience de notre économie, ainsi que l’égalité des chances, dans un contexte de durabilité environnementale.
Ces mesures permettraient au canton de Vaud de se démarquer dans son rapport au numérique en axant la qualité vaudoise sur un stockage local et des outils « open source », respectueux de la vie privée, proposant des conditions d’utilisation claires et accessibles à toutes et tous.
Il est clair, dans l’esprit des postulants, que toutes les mesures demandées dans cet objet parlementaire ne sauraient entrer en quelconque concurrence avec la volonté d’offrir un maximum de données sous format ouvert (« Open Access ») à la population. Ceci basé sur la devise de l’initiative « Public Code » pour qui argent public signifie code public5
Ainsi, nous avons l’honneur de demander au Conseil d’État d’étudier un projet ambitieux visant à sortir de notre dépendance aux services et outils propriétaires ne respectant pas la législation suisse (notamment en matière de protection des données), et de promotion alternative d’outils numériques locaux, éthiques, résilients et respectueux des données et de la vie privée des utilisateurs.
Art. 13. Protection de la sphère privée
1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile, de sa correspondance et des relations qu’elle établit par la poste et les télécommunications.
2. Toute personne a le droit d’être protégée contre l’emploi abusif des données qui la concernent.Art. 11. Protection des enfants et des jeunes
1. Les enfants et les jeunes ont droit à une protection particulière de leur intégrité et à l’encouragement de leur développement.
2. Ils exercent eux-mêmes leurs droits dans la mesure où ils sont capables de discernement.Extrait de la Constitution suisse:
1The Age of Surveillance Capitalism : The Fight for a Human Future at the New Frontier of Power, Shoshana Zuboff, Public Affairs, 2019, 704 p.
2 Mémoires vives, Edward Snowden, Seuil, 2019, 378 p.
3 En plus d’être longues et fréquemment renouvelées, les conditions d’utilisation des outils et services des GAFAM sont incompréhensibles pour la grande majorité de la population. Une étude, analysant 500 conditions d’utilisation, a montré que seules deux d’entre elles étaient accessibles à une personne lambda et qu’il fallait en moyenne 14 ans d’études pour comprendre les autres. Ceci explique que la plupart des utilisateurs renonce simplement à les lire (https://papers.ssrn.com/sol3/papers.cfm? abstract_id=3313837 ).