À quel point l’Europe sera-t-elle différente à partir de l’été prochain ? Cette question pèse de plus en plus dans les esprits des dirigeants de l’écosystème du numérique. En France en particulier, alors que les principales organisations professionnelles du secteur se fédèrent pour passer un cap et peser plus fortement auprès des politiques, l’approche des élections européennes, qui se tiendront le 9 juin prochain, interroge.
Le Forum InCyber (FIC) qui s’est tenu du 26 au 28 mars au Grand Palais de Lille, n’a pas manqué de le rappeler. Le thème de cette édition, « Ready for AI ? », cherchait à pousser les experts cyber et les décideurs économiques et politiques à explorer les futurs de la sécurité d’un monde numérique où la démocratisation de toutes les formes d’intelligence artificielle s’accélère. En filigrane, les prises de parole ont également mis en avant le rôle majeur de l’Europe dans la structuration des règles du cyberespace. Depuis le RGPD au tournant de 2018, les institutions européennes n’ont eu de cesse de renforcer l’arsenal législatif et normatif de l’Union. Avec l’ambition affirmée de les voir aussi modeler le reste du monde, en inspirant des gouvernements ou en contraignant des acteurs économiques.
« Nous ne faisons que des premières au monde », s’est félicité le commissaire européen Thierry Breton, en rappelant l’ambition de l’AI Act. En 2023, le Français avait marqué les esprits en dévoilant lors du FIC les contours de l’ambitieux Cyber Resilience Act. Un an plus tard, pas d’annonces tonitruantes, mais un discours en forme de bilan, preuve de la difficulté à se projeter vers l’avenir, avant de connaître l’éventuelle recomposition du Parlement Européen, et de la Commission dans la foulée, suite aux élections. Cet espace-temps suspendu jusqu’au 9 juin, ne manque pas de créer des frustrations sur des dossiers en souffrance.
Le plus emblématique est sans doute le schéma européen de certification des clouds, EUCS. Son intérêt majeur est de vouloir clarifier les règles du jeu en matière de cloud de confiance, sur le modèle de ce que la France construit avec SecNumCloud. Autrement dit, un référentiel qui permette de s’y retrouver, notamment en distinguant les enjeux de cybersécurité et de souveraineté. Mais EUCS pâtit d’être un projet de texte technique qui s’attaque à un combat politique et économique majeur. Au FIC, Thierry Breton s’est enorgueilli d’avoir toujours fait bouger les lignes en privilégiant la voie des règlements européens, pour s’assurer de l’application la plus directe des décisions stratégiques concernant le numérique. C’est le cas par exemple pour le sujet « Cybersolidarité » qui a connu un accord politique il y a trois semaines, et qui met en œuvre un mécanisme et une gouvernance de gestion des crises cyber au niveau communautaire et en instituant un « Dôme cyber » de Security Operations Centers partout sur le continent.
Mais par nature, EUCS n’a pas cette forme et se retrouve donc en apesanteur, perdu dans les limbes des rouages européens et de l’attentisme des États membres en attente du vote populaire. Comme nous le signalions dans notre premier édito de l’année, la situation est d’autant plus flagrante et désagréable, qu’il avait été annoncé l’an passé que la situation serait débloquée avant 2024, pour éviter ce piège électoral. Qu’adviendra-t-il l’été prochain, alors que les thèmes de campagne européens sont toujours aussi loin d’être centrés sur les enjeux majeurs du numérique ?
Il est certain que sur des sujets aussi variés que le futur de l’intelligence artificielle, la dynamique de concurrence autour des grandes plateformes ou encore la cybersécurité, la maille d’action la plus efficace est à l’échelle du Vieux Continent dans son ensemble. Mais les fins de cycle nous font également prendre conscience à quel point nous sommes mis en dépendance du rythme de la politique, alors que le monde accélère.