Les 5 défis numériques de l’administration Biden-Harris : épisode 2

La période n’est pas simple pour la relève : l’équipe de transition de Biden-Harris n’a pas le soutien nécessaire quant à sa propre cybersécurité. Qu’à cela ne tienne : les nominations des premiers postes-clé sont significatives quant à leur portée cyber. Ainsi, quatre des six nominations montrent que la sécurité du numérique sera une priorité pour la nouvelle administration. Beaucoup de choses vont décanter dans les semaines à venir : les nominations se poursuivent et des orientations viendront avec.

Après avoir parlé technologies de rupture dans l’épisode 1, on continue notre exploration des sujets les plus pressants pour le duo Biden-Harris.

Défi n°4 : Vie privée et surveillance

J’ai regroupé ces sujets car ils sont en partie les deux faces d’une même monnaie. Personne lisant ce site n’est étranger à l’impact du RGPD. Qu’on en ait peur, qu’on l’apprécie ou qu’on le conspue, le Règlement affecte l’évolution technologique aujourd’hui. Il a inspiré des démarches législatives de par le monde, dont un exemple notable est le California Consumer Privacy Act, récemment entré en application. D’autres Etats américains cherchent à en faire de même. Incidemment, le RGPD constitue une épine dans le pied de Big Tech.

Ces tendances nécessitent une prise de position au niveau fédéral, et Mme Harris risque d’en être le moteur. Avant de devenir sénatrice, elle était déjà connue pour son attachement à l’application des obligations légales en matière de respect de la vie privée. En tant que procureur général de la Californie, Mme Harris avait fait les gros yeux aux éditeurs d’apps mobiles, en 2012 déjà. Pour soutenir ces efforts, elle a aussi créé cette même année une Unité spéciale, dédiée au contrôle de respect de ces obligations. En 2018, elle est parmi les élus américains qui passent Zuckerberg sur le grill suite au scandale Cambridge Analytica.

Malgré ces démarches, toutefois, Mme Harris est perçue comme bienveillante envers les Big Tech.la transparence et en actionnant le levier de l’antitrust.) M Biden est d’ailleurs plutôt aligné avec cette approche : même s’il estime que démanteler Facebook et autres plateformes est “prématuré”, il n’est pas fermé à l’idée. Pour lui, cependant, un levier législatif privilégié serait déjà de tenir les plateformes responsables des contenus créés et partagés par leurs utilisateurs. On verra bien comment ça évolue, notamment avec l’influx d’anciens pontes de Facebook dans la nouvelle administration.

Enfin, j’attire ton attention, cher lecteur, sur l’impact de la décision dite Schrems II. Pour rappel, il s’agit de l’invalidation par la Cour européenne de justice du Privacy Shield, soit le cadre américain qui établissait des obligations de respect de la vie privée dans le cadre de transfert de données à caractère personnel de l’UE vers les US. Pour faire très simple, si l’entreprise américaine avec qui vous contractualisez était conforme Privacy Shield, on estimait que c’est une garantie suffisante vis-à-vis du RGPD. Bon, en réalité, pour toute personne qui a touché au Privacy Shield de près ou de loin, on savait que c’est sans commune mesure. Entre autres menus soucis, le Privacy Shield permettait l’auto-certification de conformité, ce que Facebook avait fait…

Du coup, quand la Cour européenne de justice a sifflé la fin de la récré en juillet 2020 en reconnaissant l’insuffisance de protection fournie par le Privacy Shield, ça a eu l’effet d’une bombe à déflagrations. Il est devenu difficile de gérer les transferts de données à caractère personnel de résidents européens (soumis au RGPD) vers des entreprises les traitant aux US. Les impacts économiques sont sévères et risquent de s’aggraver si un accord transatlantique satisfaisant n’est pas trouvé rapidement.

Là où ce sujet est lié à la surveillance est la justification de la Cour européenne : elle a estimé que l’appareil de surveillance US est trop puissant en comparaison avec les exigences de protection des données à caractère personnel de résidents européens. Le Privacy Shield était un bouclier en papier mâché, en somme. Je ne commenterai pas ici les aspects juridiques (mais je vous en prie, le plaisir est pour moi !). Les aspects politiques sont considérables. Même si les deux partis principaux tendent à converger vers un texte (le SAFE DATA Act), il n’existe pas d’approche fédérale législative sur la vie privée ; plutôt, les Etats, voire les secteurs d’activité, font leur tambouille. Il en est de même avec les règles du jeu dans le domaine de la surveillance.

Le sujet devient d’autant plus intéressant quand on connaît l’expertise de M Biden en matière de sécurité nationale. Il fait partie des personnes politiques ayant façonné le paysage législatif sur les dernières décennies. Plus encore, il est à l’origine de différents textes législatifs dont le CALEA, le Communications Assistance for Law Enforcement Act de 1994. Cette loi exige que les équipements de télécommunications soient accessibles aux interceptions des forces de l’ordre. Si vous avez déjà entendu parler de PGP, alors vous vous souviendriez peut-être que le CALEA est la raison pour laquelle PGP existe, dixit son créateur. Même si depuis Doubeulyou Bush, le sujet surveillance est devenu politique, voire partisan, le bilan de l’administration Obama et les accointances de M Biden en la matière ne présagent pas une réduction des pouvoirs de surveillance.

Peu de déclarations ont été faites à ce sujet, surtout quant au rôle des agences de renseignement américaines. Se rendant compte du pouvoir des plateformes, M Biden a déjà indiqué son intention de tenir un conciliabule (le Summit for Democracy) à l’occasion duquel il exigera des engagements de leur part : “garantir que ces plateformes ne renforcent pas la surveillance étatique, ne facilitent pas la répression en Chine et ailleurs, ne propagent pas la haine qui pousse les gens à la violence”. Cet engagement est réitéré, en des termes qui restent à préciser, en dénonçant la “surveillance dystopique” chinoise. Affaire à suivre.

Défi n°3 : Ingérence étrangère, désinformation et protection des valeurs américaines

Comme vous l’avez fort probablement constaté, je tire des conclusions davantage des actions passées que de déclarations faites pour l’avenir. Le numérique, encore moins la cybersécurité, n’a pas été une priorité de campagne (cause COVID notamment). Toujours est-il que M Biden a fait une exception : un bref billet sur l’ingérence étrangère. Tout y est dès la première phrase : “L’interférence étrangère dans le processus électoral américain est une agression du peuple américain et leur droit constitutionnel de vote”. Le billet se termine sur quelques promesses concrètes notamment évoquant des opérations punitives cyber en réponse à des actions étrangères jugées hostiles. (Pour rappel, l’administration Obama avait écarté cette option.)

Dans le précédent épisode de cette trilogie, je vous disais que M Biden a ses marronniers en matière de numérique. Eh bien, nous y voilà. Le prochain président américain n’a clairement pas le charme geek d’un Obama, mais attache une grande importance aux cybermenaces pesant sur la sécurité nationale, l’intégrité des élections et la santé de la démocratie américaine. Ces raisons motivent par ailleurs les sujets qu’on vient d’évoquer, à savoir ses engagements à réguler les contenus des plateformes et ce qu’elles font des données à caractère personnel collectées.

Le gonflement de cyberbiscottos dans le bref billet de M Biden est, lui aussi, un de ses marronniers. Pour rappel, il co-dirige la Commission transatlantique sur l’intégrité électorale, un groupe de travail créé en 2018 par des anciens des relations internationales américaines et européennes. De plus, M Biden est au fait de la susceptibilité au sabotage et à l’infiltration des infrastructures critiques américaines dont le réseau électrique et les équipements du processus électoral. Ces observations vont de paire avec une demande d’investissements et d’outils législatifs. Ces derniers sont par ex. nécessaires, d’après M Biden, pour endiguer le détournement du système américain par la Chine et la Russie, aboutissant à un contournement des interdictions de financements étrangers des campagnes électorales.

Légiférer et naviguer ce bourbier ne sera pas simple. La dés/mésinformation n’est pas le seul fruit des méchants Russes. Elle est aussi une bâtisse écono-algorithmique extraordinaire où la viralité du contenu prime sur sa qualité. L’approche législative est complexe, le sujet touchant rapidement au Premier amendement de la Constitution. L’angle qui se dessine, par ex. en lisant cette récente position de sénateurs démocrates contre YouTube, est de démontrer que les contenus haineux déguisés en “libre expression” érodent les fondations de la Constitution. Le résultat semble être celui déjà annoncé par M Biden : réguler le contenu pour éviter son indue exploitation politique et, incidemment, catégoriser les plateformes telles Facebook comme médias.

Ces directions ne seront pas sans affecter quelque chose qui nous concerne bien plus : le Plan d’action pour la démocratie européenne, que la Commission européenne doit publier dans les semaines à venir. L’objectif du Plan est similaire : préserver les élections en Europe de l’interférence néfaste de contenus haineux en ligne. Dans les mesures clé, on retrouve la liberté de la presse et son pluralisme, mais aussi la lutte contre la désinformation et la transparence de la publicité politique en ligne. Le timing n’est pas le fruit du hasard, les US étant un formidable laboratoire où se fait le meilleur bouillon de culture en matière de dés/mésinformation.

Bien sûr, en parlant de ce sujet, on arrive vite aux directions de politique étrangère du nouveau président américain. Je ne veux pas vous divulgâcher la suite… A la semaine prochaine pour la conclusion 🙂