Numérique : vive les normes européennes !

Les normes européennes, bien que critiquées pour leur complexité et leur nombre, jouent aujourd’hui un rôle crucial dans la sécurisation de l’espace numérique et le renforcement de la souveraineté technologique. Elles illustrent les efforts  de l’Europe pour concilier avancées technologiques et intérêts collectifs.

Par Guillaume Tissier, Associé Forward Global et directeur général du Forum InCyber

Critiquer la « passion normative » de l’Union européenne est de bon ton. Certains, et non des moindres, fustigent ainsi le futur règlement européen sur l’intelligence artificielle en opposant régulation et innovation. Et au-delà des normes, c’est la vieille antienne de la « simplification », promise par tous nos gouvernants depuis des lustres, qui refait régulièrement surface. Soyons clairs : il y a dans ces discours une bonne dose de populisme ! Comme si les normes européennes étaient coupables de tous les maux. Comme si l’Europe, dans la situation asymétrique – malheureusement souvent dans le sens du faible au fort – qui est la sienne dans de nombreux domaines, pouvait faire l’économie de ce levier majeur de « soft power ».

Certes, les normes ne sont qu’un moyen. Mais dans un monde de plus en plus transactionnel, marqué par l’augmentation considérable des échanges, l’interconnectivité des systèmes d’information, l’imbrication croissante des mondes réels et virtuels et la gestion très largement privée de nos infrastructures essentielles, elles jouent un rôle essentiel pour assurer l’interopérabilité et, surtout, créer les conditions de la confiance. Certes, les normes instituent des contraintes, en particulier pour les acteurs économiques. Mais ne sont-elles pas aussi, lorsqu’elles sont codifiées dans des lois, normalement votées par les représentants des peuples, le meilleur rempart contre la gouvernance technicienne, par essence a-démocratique, vers laquelle nous emmène tout droit la puissance des « big tech » ?

Bien sûr, le droit et la norme ne suffisent pas à constituer une politique. Ils n’en seront toujours que l’un des instruments. Mais reconnaissons que pour favoriser l’émergence d’un espace numérique compatible avec nos valeurs et conforme à nos intérêts, en particulier industriels, ils sont deux éléments clés. Admettons que le cadre juridique et normatif, même perfectible, que l’Europe a réussi à bâtir en quelques années est vertueux, qu’il s’agisse de la protection des données personnelles (RGPD, adopté en 2016), de la régulation de la concurrence sur les marchés numériques (Digital Markets Act, adopté en 2022), de la responsabilité des grandes plateformes en matière de contenus (Digital Services Act, adopté en 2022) et de la gouvernance des données (Data Governance Act, adopté en 2022).

Sans oublier, bien sûr, les nombreux textes sur la cyber-sécurité avec le Cyber Resilience Act, en phase finale de discussion, les directives NIS de 2016 et 2022 qui contribuent à élever le niveau général de sécurité, ou bien encore le cadre européen de certification. La Commission européenne vient ainsi d’adopter le 31 janvier 2024 le premier schéma européen de certification de cybersécurité (EUCC) pour garantir un niveau de sécurité sur les produits tout au long de leur cycle de vie. Un schéma équivalent devrait également voir prochainement le jour en matière de services cloud (EUCS) et sur la 5G. Deux nouvelles priorités ont même été récemment annoncées : la certification des portefeuilles d’identité numérique et celle des services managés, destinés à certifier les Security Operation Centers européens qui pourront être mobilisés en cas de cyberattaque de grande envergure en vertu du projet de Cyber Solidarity Act annoncé par Thierry Breton en avril 2023 lors du Forum InCyber.

La meilleure preuve de l’intérêt de ces textes est que de nombreux États nous les envient et nous imitent. Sans parler des centaines de millions d’euros que dépensent les big tech en lobbying à Bruxelles pour atténuer leurs effets… Alors que le développement de l’IA devrait encore renforcer la domination de ces derniers, même les États-Unis se préoccupent de l’impact que cette concentration unique dans l’histoire du capitalisme aura à terme sur la captation de valeur et l’innovation. Les dix plus grosses capitalisations tech de Wall Street pesaient, fin décembre, 29 % de l’indice MSCI USA. Il est également intéressant de voir qu’au moment où l’on finalise le règlement européen sur l’IA, les États-Unis se sont lancés dans la bataille normative avec une efficacité redoutable : à peine trois mois après la signature d’un décret présidentiel sur les IA de confiance, le NIST, l’organisme de normalisation américain, vient de créer un consortium regroupant 200 entreprises utilisatrices et éditrices, des chercheurs, des agences fédérales et des représentants de la société civile pour travailler sur une norme en matière de « sûreté de fonctionnement » des IA.

Il faut donc non seulement assumer cette « passion normative » européenne en matière numérique, mais surtout faire encore mieux et plus efficace ! L’ennemi, ce ne sont pas le droit et la norme lorsqu’ils sont bien faits, c’est-à-dire lorsqu’ils régulent des usages, et non des technologies. Ce sont les lourdeurs bureaucratiques dans leur conception puis dans leur mise en œuvre. C’est le manque de mobilisation de nos acteurs économiques dans les groupes de normalisation. Si l’on veut du « bottom-up » et moins de « top-down », il faut que les entreprises se mobilisent davantage sur ce terrain ! L’ennemi, c’est aussi le manque d’intelligence collective et le dogmatisme avec lequel nous nous appliquons nos propres législations. La fameuse « balle dans le pied »… C’est enfin notre incapacité à nous mettre d’accord entre pays européens, avec pour résultat des décisions souvent réduites au plus petit dénominateur commun. À l’image des négociations sur le schéma européen de certification cloud (EUCS) qui ont débouché il y a quelques semaines sur la suppression des exigences de localisation de données pour les niveaux les plus élevés. Le droit et la norme sont nécessaires, mais ne remplaceront jamais le courage politique. Régulation et innovation ne doivent pas être opposées.

À LIRE AUSSI :

Gouvernance

Ces 6 grands défis à l’agenda 2024 des DSI

Laurent Delattre

8 Jan

À LIRE AUSSI :

Secu

Guillaume Tissier : “La cybersécurité aujourd’hui doit passer à l’échelle”

Laurent Delattre

22 Mar

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !