Mardi 1 avril 2025, retrouvez Benoît Grunemwald (Expert Cybersecurité, ESET), Sébastien Couix (fondateur & CEO, Visamundi), Christian Daviot (président-fondateur, CDSTRAT) et Carole Chartier-Djelaïbia (juriste, membre fondateur et secrétaire générale, Cercle de la donnée) dans SMART TECH, une émission présentée par Delphine Sabattier.
Catégorie
🗞
NewsTranscription
00:00Bonjour, grand rendez-vous cyber aujourd'hui à la une de Smartech, on va s'intéresser
00:12à ce happy end autour du chiffrement, l'Assemblée nationale s'est finalement opposée à voter
00:17une mesure contenue dans la loi contre le narcotrafic permettant aux autorités, qui
00:22auraient permis aux autorités d'accéder au contenu des messageries chiffrées.
00:27On va aussi commenter cette affaire sur Signal, utilisée pour une opération militaire
00:32des Américains contre les outils au Yémen, on va également commenter la nouvelle présidence
00:36au campus cyber avec cette question de quelle politique, de quelle stratégie finalement
00:40cyber a besoin la France.
00:42Et puis dans cette édition également un point sur les actions de groupe et qu'est-ce
00:47qui fait encore défaut finalement pour que ces actions de groupe puissent être engagées
00:50plus facilement et qu'elles prospèrent.
00:53Mais d'abord, trois questions sur l'intelligence artificielle pour aider au passage aux frontières,
00:59c'est tout de suite dans Smartech.
01:00Désormais il va falloir avoir une nouvelle démarche numérique quand on va vouloir se
01:09rendre au Royaume-Uni, obtenir une autorisation électronique de voyage, c'est un peu l'Esta
01:15comme quand on va aux Etats-Unis, autorisation qui sera valable pour les courts séjours
01:21jusqu'à 6 mois.
01:22Sébastien Quix, bonjour.
01:23Bonjour.
01:24Vous êtes entrepreneur, vous êtes spécialisé dans l'accompagnement des voyageurs pour
01:28les aider justement à accomplir toutes ces formalités de voyages dématérialisés.
01:32Vous êtes le fondateur président de la start-up Visa Mundi, alors ces passages aux frontières
01:37ils se complexifient visiblement ?
01:39De plus en plus malheureusement Delphine, c'est-à-dire que des pays mettent des démarches
01:44supplémentaires pour les voyageurs, c'est-à-dire que d'un côté ils peuvent enlever les visas
01:47mais de l'autre côté mettre des autorisations électroniques ou des cartes d'arrivée en
01:51ligne qui viennent complexifier en effet le parcours du voyageur.
01:54Son parcours vous dites, parce que ce n'est pas seulement quand on se rend au Royaume-Uni
01:58qu'il y a une nouvelle démarche à appliquer, ça peut être aussi si on a une escale par
02:01exemple ?
02:02C'est justement le problème de ces démarches, c'est-à-dire que c'est changeant absolument
02:06tout le temps.
02:07A une époque c'était obligatoire quand ils l'ont annoncé et puis ils l'ont retiré
02:10quand ils se sont aperçus que ça allait enlever beaucoup de transit au Royaume-Uni.
02:14D'accord, bon, c'est déjà ça de pris.
02:17Donc vous nous dites, en fait ça se complexifie alors qu'on imaginait qu'avec la numérisation
02:23et la dématérialisation les choses allaient devenir plus simples.
02:25Alors elles sont plus simples dans la manière de faire la démarche, c'est-à-dire tout
02:29se fait sur internet mais le gros problème c'est que chaque pays fait un petit peu à
02:32sa sauce.
02:33Il n'y a pas deux pays qui ont la même méthode d'application de ces démarches et donc on
02:40a finalement une sorte de parcours qui est un petit peu fluctuant pour le voyageur, c'est-à-dire
02:44que s'il fait plusieurs pays en même temps il va y avoir des démarches complètement
02:47différentes à chaque fois.
02:48Oui, et parce que c'est un peu le titre de mon sujet, l'intelligence artificielle elle
02:53ne peut pas nous aider justement ?
02:54Elle peut nous aider, elle doit nous aider, le seul problème c'est qu'il faudrait qu'il
02:59y ait une coordination sur l'utilisation de cette intelligence artificielle.
03:02C'est pour ça finalement que les opérateurs intermédiaires peuvent résoudre cela en
03:06ayant la vision globale, on va dire, du parcours du voyageur et en appliquant l'intelligence
03:11artificielle à chaque étape de la demande des voyageurs.
03:16Alors comment est-ce qu'elle intervient, à quoi sert-elle cette IA dans la préparation
03:21des formalités de voyage ?
03:22Alors l'IA peut avoir plusieurs approches, évidemment la plus évidente c'est dans
03:26celle de contrôler les documents nécessaires puisqu'ils sont assez normés, c'est une
03:31des rares choses normées dans ce secteur, les passeports, les cartes d'identité, on
03:35va dire les billets d'avion sont relativement normés donc il y a moyen d'automatiser le
03:39contrôle de ces documents.
03:40Là aussi ça rejoint finalement un autre problème qui est la confidentialité des données,
03:44c'est-à-dire que nous donnons des données qui sont quand même extrêmement stratégiques
03:47à une intelligence artificielle et donc on ne sait pas quelle utilisation va être
03:52faite.
03:53Ce n'est pas rassurant ce que vous dites.
03:54Ce n'est pas rassurant mais on est encore au tout début de l'intelligence artificielle
03:57donc on doit savoir maintenant comment vont être utilisées les données de nos voyageurs
04:01plus tard.
04:02Mais il y a quand même des réglementations aujourd'hui en particulier en Europe sur
04:06la protection des données personnelles.
04:08Oui, mais encore faudrait-il que les données restent en Europe, ce qui n'est pas forcément
04:13le cas avec l'intelligence artificielle et il faudrait aussi qu'on sache exactement
04:18où vont ces données avec l'IA, ce qui n'est pas forcément évident parce qu'il y a une
04:22sorte d'engouement actuellement avec l'IA qui est celle d'aller le plus vite possible
04:25pour utiliser l'IA et les intégrer au processus.
04:27Donc il faut faire attention à quel techno on utilise.
04:30Aujourd'hui c'est ça que vous nous dites, ça tombe bien parce que nous on est très
04:32en veille sur ces sujets justement de dépendance au techno américaine et de voir comment est-ce
04:36qu'on peut en sortir.
04:38Visa Mundi, dans le nom il y a Visa, vous êtes une entreprise française créée à
04:42Nantes, devenue le principal fournisseur d'e-Visa, qu'est-ce que c'est un e-Visa ?
04:46Un e-Visa c'est un visa électronique, donc en fait c'est un visa pour lequel on va faire
04:51une démarche sur Internet et c'est là qu'on peut intégrer finalement l'IA, c'est là
04:54qu'on peut simplifier le parcours de l'utilisateur, on va pouvoir traduire de manière dynamique
04:59aussi les formulaires qui ne sont pas traduits par les autorités, on va pouvoir répondre
05:03en temps réel en utilisant aussi l'IA pour faire du suivi client, là où les ambassades
05:08ou les autorités ont du mal à faire du suivi, ont du mal à avoir cette interface avec les
05:12utilisateurs, parce que c'est souvent la première image qu'on a d'un pays quand on s'y rend,
05:16c'est souvent la démarche de Visa et pas forcément une démarche très fun pour le
05:19voyageur, pas une bonne image qu'ont les voyageurs avant d'arriver dans le pays.
05:22On va à l'ambassade, on a une file d'attente assez impressionnante.
05:26Exactement, et vous dites que vous y êtes normalement pour du tourisme, pour du plaisir.
05:29Donc les ambassades elles n'utilisent pas les bonnes technologies pour l'instant, c'est
05:32ça ?
05:33Alors ça bouge petit à petit, elles ont tendance à multiplier les process un petit
05:37peu digitaux pour éviter d'avoir à gérer ça dans les ambassades, le personnel va être
05:41dédié vraiment du cas par cas maintenant dans les ambassades, mais ça prend du temps
05:46parce que c'est étatique, parce que ça nécessite des accords, une mise en place internationale
05:49qui est quand même beaucoup plus complexe.
05:50L'Europe est relativement en pointe là-dessus, d'autres pays qui ont besoin énormément
05:56de Visa ou pour lesquels les Européens ont besoin de Visa, typiquement les pays d'Afrique
06:00et d'Asie sont beaucoup plus en retard.
06:02Et donc vous, vous travaillez avec ces ambassades ?
06:04On a des interfaces avec ces ambassades en effet, mais là aussi il n'y a pas deux ambassades
06:07qui travaillent de la même façon, c'est-à-dire que là où on va très bien s'entendre avec
06:10une ambassade, d'autres vont dire que non.
06:11Donc en fait c'est vous qui avez vraiment besoin des intelligences artificielles pour
06:14vous aider dans votre métier ?
06:15Exactement, en fait on est l'intermédiaire qui va venir simplifier tout ça, c'est nous
06:20qui prenons le stress finalement de cette uniformisation, le tout c'est que l'utilisateur
06:24final ne soit pas stressé, c'est ça la priorité.
06:26Merci beaucoup pour vos éclairages Sébastien Couic, je rappelle que vous êtes le fondateur
06:30et président de la startup Visa Mundi, merci beaucoup, nous c'est l'heure de notre grand
06:34rendez-vous cyber.
06:35C'est le rendez-vous cyber de Smartech, on va commenter l'actu aujourd'hui avec Christophe
06:44Daviau, bonjour, bienvenue, vous êtes senior advisor au Cybercerc, président fondateur
06:48du cabinet de conseil CDStrat, vous avez été pendant dix ans conseiller spécial auprès
06:54du directeur général de l'ANSI, l'Agence Nationale de Sécurité des Systèmes d'Information,
06:59à côté de vous Benoît Grunemwald, bonjour Benoît, directeur des affaires publiques
07:03chez ESET, entreprise européenne de la cybersécurité, vous accompagnez depuis une vingtaine d'années
07:08les particuliers, les entreprises et les états aussi sur ces enjeux cyber, alors je voulais
07:12vous faire commenter déjà ce happy end sur le chiffrement puisque finalement l'assemblée
07:18nationale n'a pas voté cet article 8 terres qui posait problème visiblement à l'ensemble
07:26de l'écosystème cyber, j'ai en tout cas l'impression que j'en ai eu, qui était dans
07:31la loi contre le narcotrafic et qui prévoyait de permettre aux services de renseignement
07:36d'accéder au contenu intelligible des correspondances et données qui transitent sur les messageries
07:41proposant un chiffrage dit de bout en bout des communications, donc autrement dit installer
07:48des portes dérobées, comment est-ce que vous avez suivi cette histoire Christian ?
07:53Je l'ai suivi avec une certaine dramaturgie, d'abord c'est qu'une victoire temporaire puisque
08:01régulièrement le ministère de l'Intérieur revient sur ce sujet-là année après année,
08:05ministre après ministre, mais on avait l'impression que là c'était fini et pas
08:08c'est revenu, non non ça reviendra, les services régulièrement enfument leur ministre et lui font
08:13prendre des positions qui à la fois ridiculise le ministre et finissent comme vient de finir
08:18cette histoire. Enfumer le terme est fort quand même. Il a été repris, oui je l'assume, et il a
08:24été utilisé par une députée en séance lors des débats à l'Assemblée. Mais pourquoi vous dites
08:29ça ? Expliquez-nous alors, il est où l'enfumage ? Il est dans le, d'abord les services n'ont pas
08:36donné au ministre le vocabulaire ad hoc, on continue à parler de cryptage de données,
08:40on a parlé de chiffrage, ce qui est une hérésie, on parle évidemment de chiffrement, voilà etc.
08:45Premier point. Deuxième point, on a donné au ministre deux exemples d'applications, celui
08:50d'Apple et celui du online safety bill anglais, qui ont été abandonnés à la fois par Apple et par
08:56les anglais. Qui remontaient à 2016 si je ne me trompe pas. 21 et 23, l'abandon en tout cas. L'abandon oui,
09:02mais l'idée de départ. Absolument. Donc on a mis le ministre en difficulté et puis on lui a fait
09:07croire que techniquement c'était faisable avec cette idée absurde de dire il y a un chiffrement
09:13de bout en bout, on n'y touche pas, mais on va passer par un point C, un intercuteur C,
09:18bon ce qui est une aberration d'un point de vue du chiffrement etc. Donc on a vendu,
09:21sans doute avec beaucoup de convictions, mais une technique, une solution inefficace au point
09:29que, on a fait dire au ministre que ce serait une fonctionnalité supplémentaire à ajouter et pour
09:35ça on a pris une fonctionnalité de WhatsApp qui est de signer un message inconvenant, voilà. Ce
09:40qui est complètement aberrant dans une conversation chiffrée, voilà. Benoît, comment vous avez
09:44suivi cette affaire ? Vous vous êtes dit là on a encore raté l'éducation, la pédagogie auprès de
09:50nos politiques ? Oui certainement et pour faire beaucoup de pédagogie je pense qu'il faut encore
09:53remettre un niveau de pédagogie supplémentaire et puis moi je me suis aussi mis du côté des
10:00utilisateurs. C'est à dire que celui à qui on va dire maintenant signal WhatsApp ou tous ceux qui
10:06ne souhaitent pas se conformer à cela vont se retrouver sur des stores alternatifs. Et bien
10:12c'est la porte grande ouverte à ce qu'il y ait des arnaques, à ce qu'il y ait également des versions
10:18qui soient modifiées. On a vu assez récemment des différentes versions, notamment des fausses
10:24versions de Telegram, des fausses versions de WhatsApp, des fausses versions de Signal. Signal
10:27étant en open source en plus on peut assez facilement en créer des nouvelles et ces
10:31versions-là amenaient les utilisateurs à, lorsqu'ils s'inscrivaient, à ajouter dans leurs
10:37conversations finalement ce que la loi narcotrafic voulait mais pour des tiers qui eux étaient bien
10:43plus malveillants que les faits escomptés. Alors pour autant ça repose quand même la question de
10:48quelles armes on donne au service de renseignement ? Le ministre l'a dit également, il y a une
10:55technique plus intrusive qui est de piéger les équipements. Et bien ça ça marche très bien,
10:58continuons, voilà, faisons plus de piégeages d'équipements. Moi ça me va bien s'il y a le
11:02juge etc ou la CNCTR. Sur les enquêtes d'une enquête ? Exactement, tout à fait. Donc utilisons
11:07cette technique qui fonctionne, qui est limitée ponctuellement, qui n'ouvre pas la porte à tout
11:12un tas d'espions ou de hackers et voilà c'est très bien. Il y a les outils, ils existent. Et leur
11:17donner les moyens également pourquoi pas de créer des faux terminaux ou en tout cas des vrais
11:21terminaux sécurisés mais sécurisés par les forces de l'ordre. Il y a déjà un certain nombre de
11:26criminels qui se sont fait piéger par ces techniques. On pense à encrochattes notamment,
11:29ça demande des moyens mais ça fonctionne. Oui mais moi j'ai même entendu les messageries dire
11:34mais nous on est prêts à travailler en fait avec les services de renseignement pour trouver des
11:38solutions ensemble. Parce qu'on a entendu aussi oh là là c'est le lobby des messageries qui est
11:45en action contre ce texte. On est même allé assez loin puisque Olivier Marlex a parlé de
11:52corruption. Il n'a pas employé le terme mais il a dit qu'il consulterait les financements des élus
11:59auprès de l'haute autorité qui gère ces sujets-là. Donc lui a parlé de corruption en fait, sans
12:03donner le mot. Donc on est allé très loin. Non il ne s'agit pas de ça. Les messageries ont dit,
12:07c'était le cas pour Holville, Cuppersignal, Whatsapp, je n'ai pas vu, mais qu'elles ne fourniraient
12:12plus leurs services en France et en tout cas qu'elles ne toucheraient pas à leur chiffrement.
12:15Et c'est un premier d'ailleurs signal, sans faire de jeu de mots, qu'avait donné Apple en
12:20Angleterre en décidant justement de retirer la fonctionnalité de protection. Alors il y a une
12:26autre façon en fait d'obtenir des renseignements, c'est de mettre une tierce personne dans la
12:30conversation. Je fais référence évidemment au Signal Gate, enfin à l'affaire aux Etats-Unis
12:36où un journaliste de The Atlantic, le rédacteur en chef en l'occurrence, s'est retrouvé intégré
12:42dans une conversation où l'on préparait l'opération militaire américaine contre les outils au Yémen.
12:49Donc Jeffrey Goldberg a raconté toute cette histoire de manière assez transparente. Au début il a pensé
12:55qu'il était victime d'un fake, peut-être même d'un piège, de désinformation. Il s'avère que non,
13:02tout était bien vrai. Comment est-ce possible ça aujourd'hui déjà ? Et je voulais vous interroger
13:08aussi sur l'utilisation pertinente ou non d'une messagerie comme Signal, qui est une messagerie
13:12donc ultra sécurisée, mais est-ce que c'est pertinent de l'utiliser ? Est-ce que c'est
13:17dangereux de l'utiliser quand on est à ce niveau décisif de l'État ?
13:22D'expérience, ce qui est frappant c'est que quand un élu arrive au gouvernement, la première chose qu'il veut éviter
13:29c'est d'être espionné par les services de ses administrations. Donc je ne suis pas très étonné que
13:35dans l'entourage d'un président, on fasse appel à Signal, qui est un open source, ça veut dire qu'on peut
13:41faire confiance dans l'open source au passage, et donc d'utiliser cette technique-là, cette messagerie-là
13:45qui est très sécurisée, pour... Voilà, alors après il y a des...
13:48Plutôt que d'utiliser les services qu'on nous donne ?
13:50Oui, parce qu'on imagine que probablement ils sont écoutés par les services, et on n'a pas forcément envie
13:55que des services, qu'une fuite passe, voilà. Donc ça peut être une manière de contrer
13:59d'éventuels espions internes que de passer par un logiciel tierce.
14:04Donc ça on dit pourquoi pas finalement ? Benoît ?
14:06Oui, ou tout simplement d'utiliser des messageries dans lesquelles on a confiance, des outils comme
14:10Tchap par exemple, moi je vois pas le GIGN monter une opération et...
14:15Alors Tchap c'est la messagerie qui a été, open source aussi d'ailleurs, qui a été conçue pour l'État,
14:22pour les services de l'Amnistie.
14:24Et il y a un élément important sur Tchap et d'autres, c'est qu'elle repose sur un annuaire,
14:28ce qui veut dire que vous ne pouvez pas joindre Tchap, déjà, sans être autorisé.
14:33On n'aurait pas pu inviter Jeffrey Goldberg dans la conversation.
14:36Alors sauf s'il était sur Tchap ou sur une messagerie de ce type-là,
14:40mais déjà approuvé.
14:41Et puis ensuite il y a un vrai problème d'utilisation pro et perso, une différenciation.
14:48On a même plusieurs niveaux, normalement, d'équipements qui devraient être utilisés
14:52en fonction de vos discussions secret défense, ou des discussions avec les journalistes,
14:57des terminaux différents, enfin une certaine hygiène, je dirais, basique à appliquer
15:02et qui fait que ce type de manipulation ne devrait pas arriver.
15:06Et en fait, c'est quoi ? C'est parce qu'on veut aller vite et qu'on veut faire simple
15:09que ce genre de choses arrivent ? En France, vous imaginez que ce serait possible, ça ?
15:15En France, ça se passe tous les jours, non ?
15:16Enfin, on a su au début du quinquennat de Macron que la sphère utilisait WhatsApp, par exemple.
15:24Alors qu'il existait des solutions.
15:25Oui, c'est vrai qu'on avait des ministres qui se faisaient piéger sur Signal,
15:29avec usurpation d'identité.
15:31Alors il y a Tchap, il y a Olvid maintenant qui est largement utilisé,
15:34c'est très bien parce que c'est souverain, mais on a vu les déviances de ce côté-là.
15:39Et encore une fois, je pense que de la part des gens du gouvernement ou des hauts fonctionnaires,
15:43c'est la peur d'être écouté par ses propres services, qui est quand même absolument aberrant.
15:48Bon, allez, troisième actus que je voulais vous faire commenter,
15:50c'est la nouvelle présidence au campus Ciber.
15:53Donc c'est Geoffrey Célestin-Urbain qui a été choisi.
15:58Au bout du compte, il était chef du service de l'information stratégique et de la sécurité à Bercy.
16:03En fait, il était chargé finalement de l'intelligence économique,
16:06de la protection des actifs, de la question de la souveraineté.
16:11Comment est-ce que vous percevez l'arrivée de ce profil qu'on a reçu, nous, dans Smartech ?
16:15On a fait une grande interview avec Geoffrey.
16:19Comment vous percevez ce profil spécifique qui ne vient pas du tout de la cybersécurité,
16:22qui n'est pas un profil non plus politique ?
16:25Moi, déjà, je le félicite et puis je lui souhaite de réussir,
16:30parce que s'il réussit, il réussit pour la filière, pour notre cybersécurité.
16:35Donc c'est un bon élément.
16:38Et puis, pour avoir animé notamment une série de tables rondes
16:43pour une journée qui s'appelle Sec Numéco, organisée par l'Annecy et la CCI.
16:47Le matin, c'était très technique, entre guillemets, cybersécurité.
16:50L'après-midi, c'était protection de l'entreprise sous l'angle économique.
16:53Force est de constater que si on arrive à faire sortir la cybersécurité de son domaine technique
16:58et qu'on l'emmène beaucoup plus auprès des décideurs sous un format économique
17:02et qu'on leur dit « grâce à ça, on va vous permettre d'être plus performants,
17:05de vous protéger contre les ingérences extérieures ou toute autre attaque économique »,
17:10on aura certainement fait gagner et fait sortir cette cybersécurité
17:15d'un discours peut-être trop technique vers un discours plus général.
17:18Donc, il faut décloisonner.
17:19Pour vous, c'est vraiment le job premier que devra réussir Geoffrey Sélestin-Urba.
17:26On parle aussi, on va se dire, c'est une reprise en main de l'État, finalement, sur la politique cyber.
17:32Moi, je suis assez sceptique, à vrai dire.
17:34Sur ce que je viens de dire ou ?
17:36Non, non, non, sur la nomination ou le choix.
17:39On avait Michel Van Der Berghe qui est un entrepreneur à succès, qui a réussi sans problème,
17:43qui a réussi à monter.
17:44Les d'orange cyber défense, oui.
17:45Eh bien, avant, il avait lui-même monté.
17:48Et donc, quelqu'un qui a réussi à mettre sur pied ce cyber campus,
17:52malgré l'État, malgré les entreprises, d'une certaine manière.
17:55Il a joué contre et il a réussi, peut-être avec des petits excès de temps en temps sur les coûts,
18:01mais peu importe, ça a fonctionné.
18:03Là, on a affaire à un haut fonctionnaire qui ne connaît pas l'entreprise,
18:06qui n'a jamais travaillé en entreprise.
18:08On a vu que des entreprises françaises sont passées à l'étranger
18:10sans que le CIC ait pu intervenir en quoi que ce soit.
18:13Donc, attendons de voir.
18:14Le CIC, c'est le service où il dirigeait ?
18:15Oui. Donc, attendons de voir, on verra.
18:18Mais je suis un peu perplexe sur la nomination et le profil
18:22qui a été choisi pour reprendre le relais de Michel Van Der Berghe.
18:24Vous avez commencé à donner des pistes, Benoît, sur de quoi on a besoin,
18:28quelles stratégies pour le campus cyber,
18:31parce qu'on a dit que c'était un grand hub,
18:33qu'on allait justement mettre la recherche à côté de l'entreprise,
18:36à côté des administrations pour que tout cela travaille ensemble.
18:39On voit que ce n'est pas si simple.
18:41Il a peut-être manqué des grands projets aussi autour desquels le campus pouvait travailler.
18:47Certainement. Maintenant, le campus est un lieu totem.
18:52Il y a bien entendu le campus parisien,
18:54mais il y a aussi le réseau des campus qui se trouve en France,
18:57le réseau des CECIRT.
18:59Il y a certainement un écosystème à faire fonctionner,
19:02sans oublier Cyber Malveillance,
19:04également, et l'Annecy, dans cet écosystème-là.
19:07Donc, pour moi, l'enjeu du campus cyber,
19:09il est au-delà de simplement de faire travailler cette plaque parisienne,
19:15pour aller plus loin.
19:16Parce qu'en fait, il ne suffit pas de mettre les gens les uns à côté des autres pour que ça fonctionne.
19:21Parce qu'on a dit aussi que c'était finalement un projet immobilier.
19:24Oui, mais ce n'est pas de la faute de Michel Lendemberg, en l'occurrence.
19:27Alors, sans parler des directions, je vous parle vraiment du fond, comment on travaille.
19:31À l'origine, le projet initial, c'était de mettre un CERT
19:35et que l'Annecy mette des opérationnels de la cybersécurité.
19:38Ce n'est pas ce que l'Annecy a choisi et finalement, il n'y a pas eu de CERT à cet endroit-là,
19:42qui aurait été un vrai catalyseur pour les entreprises.
19:44Donc, il y a eu une erreur, une faute de l'État et de l'Annecy, en l'occurrence, dans ce domaine-là,
19:48pour des raisons qui sont tout à fait explicables par ailleurs.
19:50Donc, pour le campus, c'est ça, mais le sujet est bien plus vaste.
19:54Il faudrait déjà qu'on ait un ministre du numérique, ce qui n'est pas le cas aujourd'hui.
19:58– Ministre du numérique, on en a un.
19:59– Ah oui ?
20:00– Oui, on a Clara Chapaz.
20:01– Oui, elle n'est pas ministre du numérique, elle est ministre déléguée et elle est à Bercy.
20:07Comment peut-on faire une politique du numérique interministériel
20:10quand on est coincé à Bercy avec un décret d'attribution qui est creux ?
20:14Il n'y a rien dans son décret d'attribution.
20:16Donc, elle n'a aucun pouvoir.
20:17Et d'ailleurs, quand vous la voyez défendre les amendements en séance,
20:23on voit bien qu'elle lit son papier.
20:24Elle n'a pas eu les services qui ont travaillé avec elle
20:26pour qu'elle puisse simplement expliquer les sujets.
20:29Donc, on a un vrai problème.
20:31– Vous revenez sur le limiteur du chiffrement.
20:33– Oui, mais peu importe.
20:34À part en intelligence artificielle, qu'elle domine parfaitement,
20:36pour le reste, c'est plus compliqué.
20:38Mais si déjà, on avait quelqu'un en charge, vraiment,
20:40une volonté politique et une vision.
20:42– Du numérique ou de la cybersécurité ?
20:43Parce qu'on a envisagé ça aussi.
20:45– Les deux, on pourrait très bien avoir, par exemple,
20:47un haut-commissaire à la cybersécurité, qui est la permanence dans le temps,
20:50et un ministre du numérique qui propose une vision.
20:54Là, on n'a pas de stratégie en numérique et on n'en a pas non plus en cybersécurité.
20:57Il y en a une qui dort dans les tiroirs depuis mai dernier,
21:00peut-être qu'elle sortira un jour, mais aujourd'hui, on n'en a pas en fait.
21:03– On manque aujourd'hui d'une vision politique sur la cybersécurité.
21:06Vous partagez ce point de vue, Benoît ?
21:09– Oui, je partage ce point de vue et ça se ressent aussi sur le terrain.
21:14On a un certain nombre d'entreprises qui voient arriver, par exemple, NIS 2,
21:19entreprises ou administrations, et qui se demandent comment elles vont financer
21:23cette nouvelle directive nécessaire pour augmenter leur cybersécurité.
21:26– On a l'ANSI qui est aux commandes sur NIS 2.
21:29– L'ANSI qui va délivrer des budgets ?
21:31– Ah, peut-être pas délivrer les budgets.
21:33– Effectivement, il y a une partie technique, encore, qui est très forte,
21:38mais une partie peut-être opérationnelle et financière,
21:41qui va certainement poser problème à un grand nombre d'entités
21:44qui vont se retrouver face à NIS 2.
21:46– Et le campus cyber, là-dedans, il a un rôle à jouer particulier ?
21:51– Les campus cyber, aux neurones ?
21:53– Les campus, tout à fait.
21:54– Oui, plus que les CISRT, qui ne sont pas des CISRT, en fait.
21:57Mais les campus cyber, oui, sans doute, et c'est d'ailleurs un sujet.
22:01Que va-t-on faire pour la proximité ?
22:03L'ANSI est très performante, c'est une administration centrale.
22:06C'est un service à compétences nationales, mais une administration centrale.
22:08Comment fait-on sur le terrain ?
22:10Les PME, PMI, dans les 15 000 qui seront concernés par un NIS 2, DORA ou REC,
22:17comment vont-elles faire pour gérer au quotidien leur cybersécurité ?
22:21C'est ça le problème.
22:22L'ANSI ne se préoccupe pas de ça, en fait.
22:23– Donc l'enjeu, vous dites, c'est les campus en région, en fait ?
22:26– Oui, voilà, plutôt.
22:27– Au plus près du terrain.
22:28Merci beaucoup à tous les deux pour vos commentaires sur cette actus cyber.
22:31C'était notre grand rendez-vous avec Christian Daviau,
22:33qui était avec nous aujourd'hui, président fondateur de CD Strat,
22:36et Benoît Grunewald, des affaires publiques chez ESET.
22:41À suivre, on a un rendez-vous avec le droit de la donnée,
22:42on va parler des actions de groupe.
22:44Générique
22:50On termine cette édition avec Carole Chartier-Djelaïbia.
22:54Bonjour, juriste, membre fondatrice et secrétaire générale du Cercle de la Donnée.
22:59Aujourd'hui, on va parler des actions de groupe, ensemble.
23:01Alors, elles trouvent leur origine dans le système juridique américain du XIXe siècle,
23:06mais en France, ça a été introduit de manière beaucoup plus récente.
23:10– Exactement, oui.
23:11Moi, je sais que j'ai eu connaissance de ces actions de groupe à travers le cinéma américain.
23:15Je pense, par exemple, à des films comme Dark Waters ou Erin Bronkovitch,
23:19qui étaient basés sur des faits réels.
23:20Mais c'est vrai qu'à l'époque, quand on regardait ces films dans les années 90,
23:22c'était des actions qui n'étaient absolument pas possibles en France.
23:25Et il a fallu attendre la loi Hamon, donc en 2014,
23:29pour que ces actions puissent être consacrées en droit français.
23:31– Donc, ça fait à peine une dizaine d'années, finalement.
23:35Et depuis, l'action de groupe, elle a été étendue à d'autres domaines,
23:38pas que la consommation, les produits de santé, discrimination,
23:40l'environnement, la protection des données personnelles.
23:43– C'est ça, donc c'est celle dont on va plus parler aujourd'hui,
23:46parce que le Cercle de la Donnée, c'est ça qui nous intéresse.
23:49Et c'est vrai que l'action de groupe en matière de données personnelles,
23:52il a fallu attendre une loi de 2016 pour qu'elle soit introduite en France.
23:56Mais à l'époque, c'était quand même assez restrictif,
23:58puisqu'on ne pouvait pas demander la réparation d'un dommage,
24:01on pouvait simplement demander la cessation d'un manquement.
24:04Et ce n'est qu'avec l'avènement du RGPD,
24:07du Règlement Général sur la Protection des Données, en 2018,
24:09que là, il a été possible de demander des réparations
24:13pour préjudice moral ou pécuniaire.
24:16– Et d'ailleurs, je me souviens qu'au moment de ce RGPD,
24:20on craignait qu'il y ait un afflux d'actions de groupe,
24:23puis finalement, ça n'a pas été le cas.
24:24– Exactement, c'est vrai que non seulement le RGPD
24:27permettait aux autorités de contrôle d'infliger des sanctions aux entreprises
24:30en cas de manquement, donc des amendes qui étaient assez conséquentes,
24:33puisque ça va jusqu'à 4% du chiffre d'affaires,
24:35mais c'est vrai que ça a fait aussi planer un peu le spectre de ces actions de groupe.
24:38Et puis finalement, on se rend compte que ça n'a pas du tout été le cas,
24:42puisque si on regarde le registre de l'Observatoire des actions de groupe,
24:45en fait, on se rend compte qu'il y a seulement deux actions de groupe
24:47qui ont été intentées en France en matière de protection des données.
24:49Donc c'est simplement 2% des actions de groupe en France.
24:52Donc il y en a eu une contre Facebook, une autre contre Google.
24:56Toutes les deux introduites en 2019.
24:58Elles faisaient suite à des sanctions qui avaient été prononcées au préalable,
25:02donc c'étaient les premières grosses sanctions.
25:05La première, a priori, est toujours en cours, elle n'a pas fait beaucoup de bruit.
25:08La seconde, c'est l'UFC Choisir contre Google.
25:11En fait, il y a eu une décision qui a été rendue très récemment,
25:14mais en fait, c'est de la première instance,
25:16et en première instance, les magistrats ont considéré
25:18qu'en fait, il n'y avait pas eu assez de preuves fournies
25:21pour établir une violation du RGPD et un préjudice concret pour les plaignants.
25:26Donc l'UFC Choisir peut toujours faire appel,
25:27mais c'est vrai que là, on a quand même une décision qui est défavorable.
25:31J'imagine que vous allez me dire que ça explique un peu le faible engouement,
25:34peut-être, je ne sais pas, des actions de groupe.
25:35Pourtant, c'est quand même aujourd'hui une arme pour chaque citoyen
25:39pour aller défendre ses droits face à ces géants du numérique.
25:43C'est vrai qu'à mon avis, il y a plusieurs facteurs qui expliquent
25:45le fait que ces actions ne soient pas engagées.
25:49D'une part, déjà, il faut répondre à certaines conditions.
25:53Donc il faut qu'il y ait un groupe de personnes qui soit dans un cas similaire
25:57et qui ait subi un dommage similaire.
25:59Il n'y a que certaines associations qui peuvent engager ce type d'action.
26:04Après, on sait qu'il y a quand même souvent une très grosse difficulté,
26:09déjà de façon individuelle, mais de façon collective,
26:12c'est encore plus flagrant, de réussir à prouver le préjudice.
26:18L'origine du préjudice et le lien de causalité.
26:20Et puis, après, le dispositif juridique, peut-être,
26:24européen, n'est pas forcément tout à fait adapté.
26:26Il me semble qu'aux Etats-Unis, ça s'inscrit dans un processus qui est plus simple
26:31et ça a l'air d'être quand même beaucoup plus contraignant en Europe.
26:34Et puis après, je crois qu'il y a aussi un désintérêt de la part du citoyen.
26:37Ah oui ? Et alors, qu'est-ce qu'il faudrait faire, quand même,
26:40pour redonner un peu de vigueur et de puissance à ces actions de groupe, selon vous ?
26:44C'est vrai que ce serait souhaitable qu'il y ait plus de vigueur
26:47parce qu'on s'inscrit quand même dans un dispositif qui est là pour rétablir un équilibre, quelque part.
26:54Et à l'heure actuelle, en cas de violation de données,
26:59si vous êtes victime d'une violation de données,
27:01en fait, vous avez une autorité de contrôle qui, elle, peut infliger une amende.
27:04Mais vous, en tant qu'individu, même quand il y a des milliers de personnes,
27:07souvent, qui sont victimes de fuite de données ou autres,
27:11et bien, en fait, vous êtes totalement désarmé.
27:13Donc là, c'est un petit peu déséquilibré.
27:15Il me semble qu'il faudrait, déjà, simplifier, peut-être un peu,
27:20on a dit que c'était difficile d'acter, peut-être simplifier un petit peu les procédures et les pratiques.
27:25Il faudrait sensibiliser, également.
27:28Et là, c'est vrai qu'au cercle de la donnée, d'ailleurs,
27:30on va engager un groupe de travail sur l'éducation parce qu'il me semble que c'est primordial.
27:34Et puis, en dernier lieu, peut-être, il faudrait peut-être un soutien aussi institutionnel
27:41que la CNIL, par exemple, encourage ce genre d'actions.
27:44Facilite peut-être la démarche ?
27:45Voilà. Aussi.
27:46Et puis, c'est vrai que je pense que ce serait souhaitable de se dire que si on assouplit les conditions et les procédures,
27:53en fait, pouvoir faire en sorte que l'adage « l'union fait la force »
27:58en fait, retrouve tout son sens dans le cadre de ces procédures en matière de protection des données.
28:02Eh bien, vous avez fait cette pédagogie aujourd'hui avec nous.
28:06Merci beaucoup, Carole Chartier, Djélaïbia.
28:08Je rappelle que vous êtes juriste, membre fondatrice et secrétaire générale du cercle de la donnée.
28:12Merci à vous de nous suivre.
28:13C'était Smartech. Vous nous regardez sur la chaîne Bismarck for Change.
28:15Vous nous suivez également en podcast.
28:17Je vous dis à très bientôt pour de nouvelles histoires sur la tech.