En 2020, le système informatique de l’hôpital de Dax est victime d’une cyber-attaque. Cancérologie, radiothérapie, de nombreux services sont à l’arrêt et une multitude de données sensibles sont en péril : informations personnelles sur les patients, dossiers médicaux, historiques de santé… En 2021, une des plus grandes entreprises françaises subit une attaque en ligne : les données à risque comprennent des informations confidentielles sur les employés, les détails opérationnels de projets majeurs à l’international et de nombreuses informations financières…
Parce que les données étaient hébergées en France par le biais de fournisseurs locaux, l’ANSSI a pu intervenir rapidement. Si ces informations avaient été stockées sur des serveurs américains, l’ANSSI aurait été confrontée à un dédale juridique, exacerbant le risque pour ces informations déjà vulnérables.
En effet, l’autorisation des autorités américaines aurait été nécessaire pour l’accès aux données et la conduite de l’enquête, offrant aux cyberattaquants un délai supplémentaire pour causer des dommages ou s’emparer des informations. Dans ces situations, la souveraineté numérique a agi comme un bouclier de protection efficace.
Malgré ces dangers manifestes, un grand nombre d’entreprises françaises dépendent encore de services étrangers pour le stockage et la gestion de leurs données. En 2021, les géants technologiques américains, Amazon, Google et Microsoft, se sont arrogés 80% de la croissance du marché du cloud en France. Cette concentration menace l’autonomie économique et technologique de nos entreprises et mettent en péril la confidentialité et la sécurité de leurs informations sensibles.
Il est crucial que les entreprises françaises reconnaissent aujourd’hui l’importance vitale de la souveraineté numérique et agissent en conséquence. À l’image des mesures concrètes mises en œuvre pour le développement durable dans le cadre des programmes de Responsabilité Sociétale des Entreprises (RSE), la souveraineté numérique doit être traitée comme une priorité. Elle exige également un engagement énergique et de long terme de la part des entreprises françaises.
Les programmes RSE, lorsqu’ils sont mis en œuvre avec conviction et soutenus par la direction, peuvent se transformer en puissants leviers de changement. Ils favorisent la sensibilisation des employés, l’instauration de nouvelles politiques internes et influencent les décisions stratégiques au sommet de l’organisation.
Car la route est encore longue : une étude récente démontre que la compréhension de la souveraineté numérique demeure encore limitée dans les entreprises. Bien que neuf responsables informatiques sur dix se disent familiers avec cette notion, et que huit sur dix la considèrent comme importante pour leur entreprise, seulement la moitié d’entre eux affirment pouvoir expliquer précisément ce dont il s’agit.
On sait que les enjeux définis par les programmes RSE des entreprises le sont en réponse aux exigences de leurs parties prenantes, leurs clients, leurs investisseurs et leurs employés.
Alors faisons de la souveraineté numérique un élément clé des programmes de formation académique et professionnelle. Formons dès aujourd’hui nos futurs dirigeants, ingénieurs et techniciens à gérer et à protéger leurs données. Faisons en sorte que cette question devienne une priorité dans les cursus liés à la gestion des données et à la cybersécurité. Encourageons les entreprises à mettre en place des formations internes sur ce sujet. Aidons leurs employés à prendre des décisions éclairées en matière de protection des données. Continuons à nous montrer dans les médias, partageons nos connaissances et nos expériences, débattons des solutions possibles. Ne laissons pas la question de la sécurité de nos données personnelles et professionnelles être reléguée à l’arrière-plan.
En parallèle, soutenons la création d’un label grand public garantissant la protection des données par l’entreprise ; les siennes bien entendu mais aussi celles de ses clients et de ses utilisateurs. Ce label, basé sur des normes strictes, serait un signe de confiance pour les parties-prenantes leur permettant de choisir des services souverains et respectueux de leurs données. Ce label pourrait s’inspirer du label "Made In France", délivré par la SOMIF, en y ajoutant des critères spécifiques liés à la protection des données et à la souveraineté numérique.
Enfin, la question de la souveraineté numérique va au-delà des enjeux économiques et opérationnels des entreprises. Elle résonne aussi sur un plan plus philosophique. Auparavant les données personnelles étaient principalement associées à la sphère privée, où les individus avaient un contrôle plus direct sur leur utilisation et leur divulgation. Avec la numérisation du monde, la perception des données s’est donc transformée, passant d’une ressource intime à une ressource commerciale. Il faut opérer un repositionnement de notre compréhension du concept de la "donnée", qui doit désormais être perçue comme un bien précieux et un instrument de pouvoir. Pour opérer ces changements significatifs en France, nous devons élever la souveraineté numérique au rang d’enjeu sociétal majeur.