- Nicolas
Bonjour Mamie, j'ai ramené un copain. Bonsoir et bienvenue dans la cybersécurité expliquée à ma grand-mère, le podcast pour expliquer la cybersécurité à ceux qui n'y comprennent rien. Dans de nombreux épisodes, on a passé pas mal de temps, parfois avec des invités, à discuter de la réglementation européenne. On a souvent discuté évidemment de Dora, qui est un sujet vraiment d'actualité, de NIS2 aussi. Mais on pourrait se poser la question de savoir pourquoi l'Europe, finalement, a mis en place ces réglementations, et peut-être revenir aussi à l'origine de l'Europe et comprendre un petit peu plus le contexte global. Parfois, il est intéressant de prendre un petit peu de recul par rapport à ce qu'on vit tous les jours, à la politique, aux réglementations, à toutes ces choses-là, et essayer d'avoir une vue un petit peu plus macroscopique, et essayer de prendre du recul. Et pour ça, j'ai invité Raina, qui est une femme qui a de multiples facettes, puisqu'elle est écrivain, elle est spécialiste en cybersécurité. Elle a récemment lancé une infolettre, comme on dit en bon français, La Tech et Politique. Je vous conseille fortement de lire et de suivre. Et pour une somme assez modique aussi, elle vous prodigue des conseils assez utiles justement sur la partie réglementation européenne. Et pour couronner le tout, elle a décidé de se lancer en politique puisqu'elle est candidate dans un parti qui s'appelle Volt. Alors Volt, quand on travaille dans la cybersécurité, et donc par conséquent quand même un petit peu dans les data centers, je pense que c'est quasiment un clin d'œil, ça tombe quasiment... On aurait voulu faire, ça n'aurait pas été possible. En tout cas, voilà. Raina, est-ce que tu veux bien te présenter ?
- Rayna
Alors, qu'est-ce que j'ajoute à tout ce que tu viens de dire ? Déjà, merci pour l'invitation, parce que ce sont des sujets qui paraissent très... Très pénible, très obscur aussi, très complexe, trop complexe. Alors que ce que j'essaie de faire, c'est d'expliquer que ce sont des sujets de vivre ensemble et des sujets aussi qui essaient un peu de mettre de l'ordre dans nos vies connectées. Donc pour me présenter pour celles et ceux qui ne me connaissent pas, j'ai effectivement un parcours pas du tout rectiligne, parce que je viens du monde de la recherche. Après, j'ai fait pas mal de gouvernance des données, notamment avec un focus open data. Et après, avec ça, est venu aussi le constat qu'on se préoccupe souvent de trouver des façons de créer de la valeur à partir de données, de faire de nouveaux services, rendre service autrement. ne se préoccupent pas trop de comment on protège ce qui est de la valeur. Pour les individus, souvent, ce sont les données à caractère personnel, donc notre intimité, et pour les organisations, qu'elles soient privées ou publiques, souvent, c'est ce qui crée réellement de la valeur pour cette organisation-là. des secrets de fabrication, des choses comme ça. Et donc, c'est comme ça, en fait, que j'ai décidé de faire une pause il y a quelques années pour faire ma synthèse de ce que moi, je pouvais faire pour le monde après avoir passé quelques années à repenter une bonne partie du monde, notamment l'Europe centrale et de l'Est, la région Moyen-Orient, l'Afrique du Nord et aussi l'Asie centrale, avec notamment la Banque mondiale, mais pas seulement. Je me suis posé la question de ce que je fais moi, parce qu'il y a des enjeux de sécurité et il y a des enjeux de sécurité numérique. Sauf qu'en 2016, ce n'était franchement pas la préoccupation de tout le monde. Je me suis dit aussi que ce serait bien que je me remette un peu techniquement en selle. J'ai commencé à faire des audits d'objets connectés. d'un type particulier, qui sont en fait toujours les sextets connectés. L'objectif était double déjà pour moi, de réapprendre, voire d'apprendre tout simplement à faire des choses, techniquement en fait. qui ont du sens, mais aussi de pouvoir prendre un sujet qui interpelle suffisamment, sans tomber dans la vulgarité, dans les jeux de mots un peu... mais qui permet justement d'interroger les usages, les perceptions, la permissivité de tout le monde. Et cette démarche a coïncidé avec plein de choses. Donc au niveau européen, c'était l'arrivée de la directive Nice version 1 en 2016, mais aussi la publication du RGPD. toujours 2016. Donc, voilà. Et aussi est arrivé par des chemins de traverse, comme souvent, l'invitation de la part de Larousse d'écrire un truc, d'écrire un livre sur les dark trucs sur Internet. Et donc, voilà. Du coup, je me suis un peu, je me suis dit, OK, c'est le temps de la synthèse. Donc, on va faire une synthèse aussi. pour les autres personnes, parce que moi j'avais plein de questions, plein d'interrogations en voyant le monde évoluer autour de nous. et donc j'ai essayé d'apporter des réponses aussi à ce niveau-là et donc à vivre avec mon temps aussi parce qu'encore une fois, Nice 1, RGPD les élections américaines, la totale et donc depuis je sévis dans le monde de la cyber avec diverses casquettes avec un parcours quand même un peu plus gouvernance que purement technique, même si j'ai fait des choses techniques également. Ou en fait, ce qui m'a beaucoup intéressée, ce qui continue à m'intéresser, c'est comment on transforme les organisations pour qu'elles décident enfin de protéger ce qui a de la valeur, ce qui crée de la valeur. Comment on gère en fait cette histoire de responsabilité collective qui est la sécurité, parce que... On se rend très bien compte que je peux vous raconter avec tout le jargon de l'univers et avec toutes les passions qui est la mienne comment il faut faire attention à vos données, machin et tout. Dans les 30 000 micro-décisions que vous avez à prendre tous les jours, vous allez m'écouter pendant 10 minutes, vous allez dire c'est sympa, c'est cool, mais en fait, moi, c'est la façon de dire oui mais, et donc de passer à des choses qui nous paraissent un peu plus... plus importante et plus vitale. Et donc, c'est une vraie interrogation. Et donc, c'est aussi pour ça que je m'en surge depuis très longtemps sur une démarche que je trouve assez aberrante, qui est de toujours accuser la personne qui a cliqué sur le mauvais message, sur le mauvais lien, de ne pas avoir fait assez attention. Alors que nous aussi, on peut se faire avoir. Et que surtout, voilà, ça... Ça dit beaucoup, en fait, de qui assume quelle responsabilité et qui prend en fait quelles précautions. Et après, en fait, depuis quelques années, je suis revenue à mes amours, on va dire, de diplomatie, de géopolitique, etc. en revenant finalement en Europe, entre guillemets, et en m'intéressant de plus près à la fabrique de la loi au niveau européen, sur les sujets numériques et notamment sur les sujets cyber, parce que la cyber, ça reste quand même un sujet qui est assez souvent vu comme un sujet régalien. Or, l'Union européenne n'a pas trop son mot à dire sur les sujets régaliens. Donc en fait, c'est intéressant de voir comment le... cette entité supranationale qui est l'Union européenne, qui est quand même une entité unique au monde, comment elle se saisit de ces sujets-là, comment elle négocie, en fait, d'un côté les désidératas de 27 États membres, 28 en 2019, 2020, mais 27 aujourd'hui, et comment, en même temps, en se faisant, elle arrive, ou pas, d'ailleurs, à interagir avec des gens comme nous, qui avons une expérience opérationnelle, une expérience pratique de tous les jours, de ce qu'est la cybersécurité ou la sécurité du numérique au quotidien pour les gens, pour les organisations privées ou publiques, etc. C'est ça qui m'a beaucoup intéressée, ce qui a fait aussi que ça a un peu défini mon dernier poste salarié à date, qui était chez une scale-up, comme on dit aujourd'hui, un bon français, qui fait du bok-bonti, et donc où je me suis notamment occupée en tant que VP gouvernance et affaires publiques pendant pratiquement deux ans, des sujets liés en fait aux politiques publiques de gestion de vulnérabilité. et donc il y a aussi article 12 aujourd'hui dans Nice 2 qui parle de ça je tairai mon implication sur le sujet la peur des représailles c'est ça ? non mais ça fait un peu ventard à chaque fois Mais c'est vrai qu'on y a contribué, je suis assez contente de ce qui en est sorti, parce que c'est un sujet qui est très complexe et qui est pourtant quotidien. Et effectivement, pour avoir été un peu de tous les côtés des sujets de gestion de vulnérabilité, de celle qui en remonte jusqu'à celle qui contribue à faire des politiques publiques sur ça, en passant par celle qui gère la correction, ça permet en fait de vraiment vraiment introduire une subtilité différente dans ces discussions là et ça c'est souvent apprécié aussi par les gens qui font la loi parce que ça les éduque aussi et ça leur explique et explicite la complexité des sujets donc voilà bref et puis depuis il Fin 2021, je suis retournée à mon compte. Donc, j'ai une société de conseil qui est en train de... rénover son site web. Donc, je pense que le jour de publication de cet épisode, le site sera en ligne. Voilà, pour en fait essayer, encore une fois, de faire une synthèse de la position assez particulière que j'ai et où j'interviens, qui est vraiment celle de quelqu'un qui comprend le quotidien. jusqu'opérationnel. Il n'y a pas longtemps, j'ai fait des trucs sur quels sont les outils qu'on a aujourd'hui pour faire un inventaire des composants dans le logiciel, les fameuses BOM. Avant-hier, j'ai encore fait un... un sujet pour un eurodéputé sur un sujet lié au SOC, etc. Donc, voilà. Du coup, ce n'est pas du tout, en fait, un positionnement simple parce qu'il est complexe, parce qu'il est multiple. Et j'essaie un peu de faire de la pédagogie aussi sur cette nécessaire... combinaison de compétences, cette pluridisciplinarité, je vais y arriver, avec justement la tech et politique qui a un prix, comme tu l'as remarqué, modique, parce que l'objectif, c'est que des personnes, même si elles travaillent dans une organisation, puissent se permettre d'apprendre des choses. sans que ça coûte en fait les yeux de la tête, mais aussi en même temps, en reconnaissant que tout travail mérite salaire.
- Nicolas
Avec moi,
- Rayna
vous êtes sûr de revoir votre argent. L'honnêteté. et donc il faut aussi reconnaître que moi ça tombe pas tout cuit dans la bouche j'y passe quand même le plus clair de mon temps donc voilà donc il y a aussi cette espèce d'équilibre à trouver on verra bien je nous souhaite une belle vie mais voilà donc à voir ce que ça va donner ok parfait
- Nicolas
Alors tu viens de décrire finalement, brièvement finalement, mais on va rentrer dans le détail maintenant, vraiment le sujet de ce soir. Comme tu l'as dit, l'Europe n'a pas pour vocation d'aller interagir avec les États sur les sujets régaliens. Et pourtant... quand on regarde un petit peu l'évolution de la réglementation européenne, on a de plus en plus de réglementations qui sont liées à la cybersécurité. Et il est vrai que normalement, les États ne sont pas soumis à la réglementation européenne en matière de sécurité pure. C'est-à-dire que tout ce qui a trait à la sécurité, les États sont responsables de gérer cet aspect-là. Mais l'enjeu de la cybersécurité devient tellement important, et tu l'as dit, c'est quelque chose de transverse. On ne peut pas y arriver tout seul, on ne peut pas gérer finalement la sécurité de manière totalement autonome, donc on est obligé de s'y mettre à plusieurs. Il y a un rapport aussi de force par rapport aux États-Unis, donc je pense qu'à tout au tard, on va devoir en parler de cet effet-là. Mais si on revient juste un tout petit peu sur l'aspect européen. Est-ce que tu peux nous expliquer déjà peut-être les évolutions qu'il y a eu entre l'ancêtre de l'Europe, donc la communauté du charbon et de l'acier pour remonter très très loin ? Mais à cette époque c'était un intérêt économique qui a fait naître finalement l'Europe, pour favoriser finalement l'économie, mais aujourd'hui l'Europe s'occupe de cybersécurité et de protection des données, parce que ça devient quelque chose d'assez crucial justement pour les États. Donc on voit qu'il y a une certaine évolution. Est-ce que tu pourrais déjà nous expliquer un petit peu cette évolution ? Comment toi tu l'as perçue ? Comment... Vers quoi on va ? Donc pour ceux qui ont eu la chance d'assister au FIC, la dernière édition, il y avait Thierry Breton qui avait fait une conférence et qui avait expliqué... Il gère de manière assez simple, je pense, sa vision des choses et surtout le Cloud Act, enfin pardon, l'EI Act qui va sortir. Donc il a quand même très bien expliqué les enjeux qu'il y avait entre l'Europe, les Etats-Unis, etc. Donc c'était assez intéressant, je pense, d'écouter son message. Mais moi, j'ai envie d'entendre ta vision des choses et ton regard d'experte sur ce domaine et que tu nous expliques un petit peu l'Europe. les évolutions, pourquoi, d'où ça vient, où ça va.
- Rayna
Alors, je ne vais pas remonter aussi loin que la communauté du charbon.
- Nicolas
J'autorise à faire un raccourci.
- Rayna
Ouais, quand même, parce que sinon, j'ai failli te dire, vous avez quatre heures. Donc, en fait, déjà, rien que si on regarde la dernière décennie, on a eu ce qu'on appelle deux mandatures. Une mandature, c'est cinq ans, d'une élection européenne jusqu'à une autre. Parce que c'est ça le... C'est ça le terme, parce qu'on élit un Parlement européen pour cinq ans, et le Conseil et, depuis un petit moment, le Parlement, nomment un ou une présidente de la Commission européenne et les commissaires européens. Donc, ça, c'est une mandature. Mais bon, ça peut bouger la marge. Typiquement en 2020, quand le Royaume-Uni est officiellement sorti de lieu à la faveur du Brexit, par exemple, les députés britanniques qui avaient été élus en 2019 n'étaient plus élus européens. Et donc, on les a remplacés. avec le système de prorata par d'autres députés de différents pays. Et donc typiquement, c'est pour ça par exemple que la France s'est retrouvée avec un contingent qui est passé de 79 à 81 élus européens. Et c'est aussi à la faveur de ce changement-là, qu'on a vu arriver par exemple un eurodéputé néerlandais, Bart Grothaus, qui incidemment, en arrivant, s'est retrouvé aussi à être le rapporteur de la très chère directive Nice 2. Voilà. Il y a eu plein de changements comme ça. Pendant une mandature, un eurodéputé ne se coupe pas totalement de la politique nationale. Donc, on peut aussi avoir un eurodéputé qui prend un mandat d'élu local, par exemple, ou national. Typiquement, c'est le cas de Yannick Jadot. qui était eurodéputé et qui, en fait, est devenu sénateur. Donc, il a quitté son mandat d'eurodéputé pour être sénateur en France. Donc, c'est ça qui peut bouger. Et même chose chez les commissaires. S'ils sont appelés à d'autres fonctions, ils peuvent, en fait, la constitution de la commission peut changer. Et aussi, on peut... voir bouger un peu les portefeuilles de politique. Typiquement, c'est ce qui s'est passé avec Maria Gabriel, qui, en fait, est bulgare et qui a été rappelée pour être Premier ministre. Bon, ça, ce n'est pas très, très bien passé pour elle, mais c'est un autre sujet. Mais toujours est-il que le temps qu'on trouve, en fait, un autre commissaire, en l'occurrence une commissaire, pour la remplacer, parce que là c'est la question des pays qui se posent. Il fallait trouver un ou une autre commissaire bulgare. Le portefeuille d'origine de celle qui est partie a été ventilé chez d'autres commissaires. Et donc, quand la nouvelle est arrivée, on lui a rendu le portefeuille. avec quelques changements. Ça, c'est une mandature. Donc, ça vit beaucoup, parce qu'on a quand même plus de 700 eurodéputés, on a 27 commissaires, on a le Conseil, qui est constitué, qui est vraiment le côté un peu politique, qui donne l'impulsion politique de ce qu'on va faire, selon les États, les États membres. Donc voilà, on va avoir en fait une structure tripartite, qu'on appelle les co-législateurs, qui va... tout le temps évoluer, tout le temps chercher à jongler avec les sujets nationaux, parce que ce sont quand même des hommes et des femmes politiques qui représentent certains intérêts. Et donc, on va avoir cette évolution permanente et ces interactions très mouvantes tout le temps. Et c'est une spécificité aussi du Parlement européen, c'est qu'on n'y siège pas par parti, ça c'est vraiment un truc franco-français, les partis, on y siège par groupe, donc plus ressembler autour de valeurs communes que par parti. C'est pour ça en fait que... et c'est aussi comme ça que fonctionne le Parlement parce qu'il n'y a pas de majorité comme on peut voir en France par exemple une majorité parlementaire issue d'un parti mais en fait c'est pour ça que l'objectif en fait quand on est à Bruxelles et à Strasbourg c'est d'obtenir des consensus et donc travailler avec les gens ça ça a toujours été le cas en fait même quand on si tu veux qu'on remonte au charbon mais voilà donc depuis que le parlement existe ça a toujours été en fait une histoire de trouver comment on travaille avec les gens ce qui fait que cette dynamique là elle se rajoute à toutes les autres dynamiques parce que des gens avec qui je ne m'entends pas sur tel sujet je peux très bien en fait m'entendre avec eux le surlendement sur un autre sujet Donc ça fait partie en fait des façons de faire qui est de comment on préserve une unité de groupe parlementaire tout en fait en intervenant sur des sujets qui sont importants pour nous, pour promouvoir en fait les mesures qu'on veut promouvoir et… en se fâchant pas en fait avec tout le monde tous les jours parce que voilà donc à la fin ça peut être compliqué c'est bah si tu te fâches avec tout le monde en fait à un moment donné t'es vraiment tout seul et donc c'est là tu peux enfin t'es un peu bloqué quoi parce que comment est-ce que tu avances et donc ça c'est un truc très particulier de de du Parlement. Et pourquoi je te fais ce crochet par comment ça marche ? C'est pour comprendre les les les complexités d'évoluer sur certains sujets, même sur 5 ans, parce qu'en fait, il faut faire un travail Il faut faire des consensus pas à 27, mais à 700 fois 27 commissaires, ou quelques commissaires et leur cabinet, les commissaires qui ont le sujet, fois les États membres. Ce qui m'amène au sujet du numérique, parce que sur la mandature qui vient de se terminer, on n'a pas eu de commissaire au numérique. Et c'est très surprenant, parce qu'on en avait eu sur la mandature précédente, c'était Maria Gabriel d'ailleurs, mais on n'en a pas eu là sur celle-ci, alors que c'est cette mandature-là qui a fait plein, plein, plein, plein, plein, plein, plein, plein de choses sur le numérique.
- Nicolas
ça va donner des idées à de nombreuses personnes qui vont dire il suffit juste de supprimer une couche de management pour que les choses aillent beaucoup mieux non non alors c'est que j'ai mal expliqué le fonctionnement non
- Rayna
non c'est c'est bien sûr c'est c'est beaucoup plus compliqué que ça en fait on fait pas on prend pas les décisions à trois en fait
- Nicolas
donc tu peux supprimer toutes les couches que tu veux selon toi est-ce que c'est une prise de conscience de l'importance du numérique dans nos vies de tous les jours qui a fait que justement ce genre de d'activité puisse se faire peut-être que la sortie du Royaume-Uni de la communauté européenne a peut-être débloqué un certain nombre de sujets aussi qui étaient peut-être un petit peu bloqués par eux auparavant peut-être c'est une hypothèse Voilà, selon toi déjà, pourquoi il y a eu cette accélération ? Et justement, tu citais très justement qu'il y a eu plein de choses qui ont été faites. Donc, qu'est-ce qui a été fait ?
- Rayna
Alors, il y a plein de trucs qui ont été faits. Mais il y a en fait des choses qui avaient commencé pendant la précédente mandature. Typiquement, un truc qui a un chemin de croix absolument... Mais... Aïrissant, c'est le règlement e-privacy. Ce règlement était historiquement censé remplacer la directive du même nom. et en fait était censé fournir des détails spécifiques, expliquants, complétants, etc., des dispositions dans le RGPD. C'est pour ça en fait que parfois il manque des trucs. Tu lis le RGPD, tu te dis, ouais là j'ai pas tout compris. Bon, on est en 2024, on a eu le temps d'en faire le tour au moins une fois, là on est en cours de révision du RGPD, donc voilà, on a eu le temps de faire le tour du truc. Et en fait, le règlement e-privacy était censé sortir avec le RGPD, en 2016, et c'est toujours bloqué, pour plein de raisons. Pour plein de raisons, pas que des raisons de Britannique, clairement pas, mais aussi parce qu'il y a énormément de sujets qui, en fait, mettrait à mal des modèles prédateurs de données comme on peut en connaître à plein. Et donc, c'est extrêmement complexe d'avancer sur ce dossier-là. Là-dessus, je pense qu'il faudrait faire vraiment un truc spécifique sur e-privacy parce que c'est un enfer. T'avais ça. T'avais aussi, par exemple, la proposition d'origine de ce qui est aujourd'hui le DSA et le DMA, donc le Digital Services Act et le Digital Market Act.
- Nicolas
Qui sont sortis assez récemment quand même.
- Rayna
Oui, mais c'était un texte à la base et il était déjà là en gestation sous la précédente mandature.
- Nicolas
Juste une question un peu de Beauscien c'est que ce que tu dis est assez intéressant dans le sens où tu expliques que certains textes trouvent leurs origines il y a bien longtemps finalement n'ont pas été enfin voilà ont eu beaucoup de difficultés à sortir pour certains ne sont pas encore sortis et pourtant dans certains cas je fais référence plutôt à la réglementation sur l'IA l'IA il y a encore deux ans je pense que peu de personnes sont préoccupées C'est principalement TGPT évidemment qui a un peu rabattu les cartes qui a créé un engouement pour tout le monde et soudainement tout le monde s'est dit tiens merde l'IA ça va peut-être quand même nous impacter il faut peut-être commencer à penser à réglementer ce genre de choses. Moi personnellement quand le régulateur européen a commencé à dire on va commencer à travailler sur l'IA parce que nous en tant que professionnels on a commencé à sentir un petit peu les questions des régulateurs locaux nous demandant si on utilisait l'IA, dans quel contexte, et ainsi de suite. Donc on sentait qu'il y avait une certaine volonté d'aller sortir avec un texte un peu plus formel. Mais en voyant ça, on s'est dit, bon, le temps européen est quand même relativement long, je n'ai pas dit géologique, mais quand même assez long, on ne va pas sortir demain avec une réglementation sur l'IA. Et finalement, les choses ont été relativement vites. en tout cas de mon point de vue je trouve par rapport à d'autres textes européens qui ont mis quand même beaucoup plus de temps à sortir j'ai l'impression que les choses se sont accélérées donc j'ai l'impression qu'il y a un peu parfois des choses qui vont très vite, et puis des fois, pour certains, beaucoup moins. De ton point de vue, qu'est-ce qui explique que certains textes peuvent sortir plus vite que d'autres ? Ou alors, est-ce que c'est une illusion ? Est-ce que c'est une vue d'esprit ? Peut-être que la partie sur l'IA était déjà en gestation depuis très très longtemps, et il y a eu une conjonction, finalement, de phénomènes qui ont fait que ça sort à peu près au moment où il le faut. Enfin, voilà. Est-ce que tu peux nous donner un peu plus d'informations sur ça ? finalement, la naissance d'un texte européen ? Qui l'imagine ? Comment ça naît, finalement, un texte ?
- Rayna
Oula, de plein de façons. Déjà, il n'y a que la Commission européenne qui a ce qu'on appelle l'initiative législative, c'est-à-dire que... En comparaison avec un Parlement national, le Parlement européen ne peut pas proposer des lois. C'est une aberration démocratique. Mais, bref, c'est une histoire de traité. On ne va pas rentrer là-dedans, parce que sinon, ta grand-mère, elle va...
- Nicolas
Elle va finir par s'endormir.
- Rayna
Voilà. Mais c'est un... Il n'y a que la commission qui, pour l'instant en tout cas, a l'initiative législative. Et donc, en fait, il y a plein de choses, si tu veux, qui arrivent au sens où... On peut très bien faire des consultations publiques, on peut très bien partir de quelque chose qui n'a pas réussi à être intégré dans un texte qui avance et qui est fini, mais on va en faire un texte à part. il y a des choses comme ça DMA c'était un texte à la base ça a été splité en deux c'est devenu deux textes et c'est mieux comme ça même si le DMA tu parles à des juristes spécialisés droit de la concurrence ils vont hurler à la mort tellement ils détestent ce texte là qui peut avoir certaines inélégances ça c'est clair mais voilà t'as plein de façons en fait de faire arriver un texte Et après, tu as aussi, tout bêtement, comme c'est le cas de Nice, etc., tu as, en fait, de plus en plus, dans un texte donné, un article qui, en fait, décline le calendrier de sa propre révision. et typiquement sur Nice je me souviens ça m'avait ça m'avait fait pouffer de rire quand je sais plus quel média français en fait avait sorti que c'est parce que Altran et Connecom se sont tapés des rançons JCL que la commission européenne a décidé de revoir Nice je me suis fait oui bien sûr c'est pas du tout parce que c'est marqué à l'article et que ça a donné cette date là, bref donc t'as aussi ce genre de sujet et donc typiquement tu vois pour le DSA le sujet de base était en fait la directive e-commerce de l'an 2000 et en fait en 2000 ce qui nous préoccupait vis-à-vis d'internet c'était pas du tout en fait ce qui nous préoccupe aujourd'hui c'est
- Nicolas
tu vois ça c'est un point hyper intéressant parce qu'il y a un paradoxe dans tout ça je viens de décrire que le temps Le temps de l'Europe au niveau des lois, etc. peut parfois être assez long et on comprend pourquoi. parce que c'est quand même une grosse responsabilité, c'est quand même un texte qui va engager des pays qui vont demander à beaucoup d'institutions d'engager des ressources, de l'argent, changer tout un ensemble de choses, donc ce n'est pas anodin comme choix, donc il y a quand même un temps relativement long. Et d'un autre côté, le monde du numérique aujourd'hui, tu l'as dit, en 2000, ce n'était pas la même chose qu'en 2010, ce n'est pas la même chose qu'en 2020. Et ce ne sera pas la même chose en 2030 ou en 2040, la Terre aura tourné, et donc les problématiques seront encore une fois totalement différentes. Et pourtant, tu viens de donner l'exemple, l'Europe adapte finalement les lois et les directives en fonction du contexte. Je me vois toucher de la tête, mais pas tant que ça. Est-ce que c'est vraiment un paradoxe ? Est-ce que ça reste des lois qui sont relativement immuables dans le temps ? Comment on fait pour s'adapter à l'actualité ?
- Rayna
En fait, on ne fait pas des lois pour l'actualité. Justement, ça pour le coup, c'est un truc européen qui nous préserve d'en fait divers une loi. ce qu'on peut beaucoup voir en France, ce qui fait en fait un millefeuille, mais insupportable, de machins qui partent dans tous les sens, qui se contredisent, etc. Ça, pour le coup, en Europe, le fait d'être aussi nombreux, de devoir prendre le temps, en fait, d'écouter tout le monde. parce que quand il y a une consultation publique elle est systématique sur tous les sujets du numérique et je retrouve toujours les mêmes qui répondent et ben c'est pas les français et voilà donc je suis parmi les seules françaises qui répondent au truc ce qui me fait hurler à chaque fois parce que si moi avec mes petits moyens je peux trouver le temps de répondre mais que les très gros du CAC sont absents systématiquement, je pense qu'on a un problème ça c'est un constat mais tu vois il y a en fait une démarche collective qui est qu'en fait tout le monde peut répondre aux consultations, tout le monde peut venir écouter, tout le monde peut contacter son député, etc. Ce qui fait en fait, ça tord quand même pas mal le bras à un certain...
- Nicolas
une certaine râle franco-française de le bif exactement ce que tu veux dire c'est dire les lois sont pondues par l'Europe de manière totalement hors sol, on ne tient pas compte du tout des avis des uns et des autres et ça alors moi personnellement dans le monde de la sécurité de la cybersécurité personnellement je ne vois pas entre guillemets d'aberrations flagrantes dans les textes européens en tout cas sur la partie cybersécurité Je peux comprendre, mais encore une fois, je ne suis pas du tout un spécialiste des réglementations européennes en matière de l'agriculture, par exemple. Quand on écoute les paysans, effectivement, apparemment, ça pose un certain nombre de soucis. Donc moi, je vais parler du domaine qui me concerne, qui est plutôt la cybersécurité. Et personnellement, ce n'est pas déconnant. Parfois, c'est compliqué quand même à comprendre. Il faut être honnête. je ne suis pas persuadé que des pairs, enfin RGPD, comme ça du premier coup, ça a fait tilter tout le monde et je pense qu'il a fallu bosser un peu le sujet. Est-ce que tout le monde est parfaitement compliant par rapport à RGPD aujourd'hui ? Bon, je ne sais pas vraiment. Quand on fait un peu le tour des grands acteurs, tout le monde dit que c'est quand même un petit peu compliqué.
- Rayna
Oui, mais ça, c'est aussi des choix. Tu ne peux pas te cacher derrière. Oui, j'ai un cabinet d'avocats, ils géreront. Non, ils ne géreront rien du tout. Tu ne peux pas déléguer un processus continu, un processus d'amélioration continu, à des gens dont ce n'est pas le travail. tu vois ce que je veux dire ? Donc, en fait, on a un problème qui est qu'il y a des aberrations, il y a des conneries, vraiment, excuse my French, mais il y a vraiment des conneries dans certains textes. Parfois, on arrive à les choper à temps et convaincre les co-législateurs qu'il faut vraiment arrêter ça et que, franchement, c'est no quoi, ça sert à rien et tout. Parce que c'est une vision très théorique, très... Voilà. Mais, il y a aussi une... un jeu du chat et de la souris où en fait, tu expliques aux gens ce qu'ils devraient faire pour en fait protéger la confiance qu'on leur donne. Sinon, tu trompes la confiance que tes parents, ils sont mis à l'intérieur de toi. Qu'on investit en eux, en achetant leurs produits, en machin, tout ça. Et en fait, ils t'expliquent comment ils vont s'en passer. Tu fais, d'accord, mais en fait... vous venez pas après me dire que c'est compliqué, que machin, que truc enfin je veux dire, c'est même moi je comprends, c'est franchement je suis pas juriste et pourtant il y a des trucs qui sont alimbiqués, qui sont franchement tu te dis mais ok là j'ai compris que ça a bataillé dur parce que si c'est pas clair c'est qu'il a fallu formuler les trucs d'une façon particulière dès que tu vois des exceptions sécurité nationale, parce que tu en parlais tout à l'heure, en fait, il n'y a pas de définition commune au niveau européen de ce qu'est la sécurité nationale. Donc, en fait, quand tu vois dans un texte… Le joker. C'est ça. Et en fait, quand tu vois dans un texte pour des besoins de sécurité nationale… tu fais mais concrètement tu sais c'est n'importe quel journaliste quand t'es sur un plateau télé tu te lances dans ta diatribe super experte et tout et donc la question que tu crains c'est mais concrètement et en fait c'est la même chose quand tu vois des espèces d'exceptions comme ça pour des questions de sécurité nationale tu fais mais concrètement on verra Oui, ok. Ce qui a fait en fait que, par exemple, il n'y a pas si longtemps que ça, il y a quelques mois, le gouvernement français a par exemple absolument tenu d'inclure dans le Media Freedom Act, qui est le règlement européen sur la liberté d'informer, la liberté des médias, la possibilité de mettre des spyware sur les téléphones des journalistes. Tu fais, excusez-moi, je prothèse vigoureusement. Donc, il y a eu, si tu veux, ça a pris vachement de temps à trouver une formulation qui, encore une fois, accepte une exception sécurité nationale, qui en fait, vu qu'elle n'est pas définie au niveau européen, cette notion de sécurité nationale, en fait, ça reste quand même assez élastique. Donc, il y a des conneries dans les textes. Je peux t'en citer, mais 13 à la douzaine. aussi parce que ce qu'essaye de faire un texte, ce n'est justement pas de traiter une techno particulière. On va nommer des typologies de produits, par exemple. Dans le cyber-résilience acte, par exemple, ou dans la directive sur les équipements radio, dans les annexes, tu vas nommer des typologies de produits. typiquement dans le cyber-islamic tu vas avoir je sais pas moi les EDR, les gestionnaires de mots de passe mais tu vas pas dire tel algorithme de chiffrement cryptographique non ?
- Nicolas
Oui bien sûr mais ça je pense que c'est un peu la différence entre une politique et un standard c'est-à-dire que dans une politique tu vas quand même avoir un niveau relativement abstrait de ce qui est nécessaire et de ce qu'il faut faire le standard est là pour préciser un petit peu les choses et donc moi personnellement ça me choque pas trop c'est ça moi ce que je encore une fois ça n'est que mon avis mais dans certains textes européens et tu l'as très bien dit on sent que ça a pas mal travaillé parce qu'à la fin la phrase en tant que telle il faut la relire 3-4 fois pour essayer de comprendre quel est le sens un petit peu caché de la directive ou de l'article et donc ça, ça peut un petit peu choquer parfois parce qu'il faut oublier que derrière, il faut l'implémenter quand même donc si c'est flou comment implémenter quelque chose qui n'est pas forcément très clair donc ça nécessite un petit peu de gymnastique mais dans l'absolu c'est difficile quand même je pense de faire quelque chose qui soit parfait
- Rayna
et c'est toujours un bon début finalement mais c'est pour ça en fait que tu as dans n'importe quel texte il essaye aussi d'anticiper l'avenir parce qu'on l'écrit aujourd'hui mais dans 5 ans est-ce que ça s'appliquera toujours et donc ça ouvre la porte de plus en plus à préciser les détails techniques dans des schémas de certification ce qui en fait après c'est encore une autre paire de manches parce que Voilà, j'ai essayé de faire dans la première édition de la Techie Politique un point sur le schéma cloud. Je pense que je vais sortir mon dossier sur ça parce que c'est extrêmement intéressant justement de voir ça. Et c'est pour ça que c'est important de comprendre comment est fait le texte, comment est fait un texte. Parce qu'un arrivé, quand tu atterris avec un texte final, en fait, il faut comprendre d'où ça vient. ces choses-là. Et c'est pour ça, il y a un document que moi, me remplit de joie et d'horreur à chaque fois, c'est toujours les deux mélangés, qui est ce qu'on appelle le quatre colonnes, donc qui est un diff, mais version juriste et gens qui travaillent dans Word. Donc, le truc est immonde, il te fait pleurer les yeux parce que c'est un document En fait, c'est un document Word vraiment formaté format paysage. Et dedans, tu as un tableau avec quatre colonnes. Et c'est en fait toute l'évolution du texte. Donc, la première colonne, c'est la proposition de la commission. J'ai dit tout à l'heure que la commission, l'initiative législative. Donc, la commission fait une proposition. Voici mon texte, voici l'étude d'impact qui va avec, voici les réponses qui ont été données à la consultation publique préalable à la création de ce texte. Ça, c'est la première colonne. La deuxième colonne, c'est... les amendements du Parlement. Quand un texte arrive au Parlement, on le descend à des différentes commissions. typiquement sur le numérique, tu vas très souvent avoir la commission sur tout ce qui est ingénierie, tech, transport, c'est un peu mélangé. Et aussi, souvent, tu vas avoir la commission sur le marché intérieur. Parce que toujours, en fait, un sujet, notamment dès qu'il s'agit de produits et des choses comme ça, là, ça va être marché intérieur très souvent. Parce que c'est des choses que tu mets sur le marché. européen. Et donc, dans la deuxième colonne, tous ces gens-là vont faire des amendements, vont sortir des rapports, etc. vont rencontrer des gens, machin, tout ça. Donc, dans la deuxième colonne, toutes les modifications qu'ils ont proposées ligne par ligne sont notées en face de la proposition de la commission. Troisième colonne, ça va être ce que le conseil a proposé, c'est-à-dire les États. Et la quatrième colonne, c'est le texte de consensus. Et donc pendant tout ce temps-là, ce qui va se passer, c'est que tu vas avoir quelque chose qui avance à deux vitesses. La première vitesse, ça va être les réunions techniques où tu as les experts de ces sujets-là de chaque côté, donc de chaque co-législateur. qui vont plancher pour vraiment résoudre les conflits techniques d'implémentation, des choses comme ça. Et avec l'objectif étant de résoudre le plus d'incompréhensions, de machins comme ça, pendant ces réunions-là. Et ce qui va rester, ça va être les sujets qui doivent être arbitrés politiquement. Et ces sujets-là, on va les arbitrer dans ce qu'on appelle les trilogues. C'est comme un dialogue, mais à trois. Parce que conseil, commission, parlement.
- L'aventure c'est l'aventure
Voilà, je crois que la dialectique, qui est la base de la pensée politique, la dialectique, c'est comme c'est passé de l'analyse à la synthèse, comment on change de vitesse en automobile. Alors ça, c'est quand même... Vous comprenez comment ça se passe ? C'est-à-dire que ça permet de passer d'un point de vue analytique sur un point précis à une conclusion générale. Et de faire ça à un aller-retour sans oublier de regarder comment ça se passe à la base. Il y a des vitesses automatiques maintenant ? Eh bien, la vitesse automatique, elle a été inventée par Lénine.
- Rayna
Donc tu vas avoir les rapporteurs du Parlement, les machins du Conseil, bref, le cabinet du commissaire ou de la commissaire qui porte le texte, qui vont se rencontrer et tenter de trouver un terrain d'entente sur ça. Donc typiquement, sur Nice 2, il y a plein de choses qui ont été résolues au niveau des réunions techniques. Et donc, ce qui a été discuté dans les réunions politiques, donc en trilogue, ça a été notamment le sujet du reporting d'incidents. Parce que la commission tenait à son délai de 24 heures, le Parlement était là, Ouais, ce serait quand même pas plus mal que ce soit 72 heures, parce qu'il faut quand même laisser le temps aux gens et tout. Le Conseil était là, Ouais, vous êtes sûr qu'il faut quand même faire des trucs, c'est quand même rapide. Et à la fin, ils ont convergé sur quelque chose à différents niveaux, qui est, en 24 heures, je signale qu'il y a un problème chez moi et je demande éventuellement de l'aide au niveau européen. En 72 heures, après m'être rendu compte qu'il y a un souci, je fournis des éléments techniques. C'est là où on fournit les IEC, les choses comme ça. Et dans le mois qui suit, une fois que j'aurais un peu, tu vois, je me serais un peu remise sur pied, que ça sera calmé, machin, je produis un rapport qui, en fait, explique ce qui s'est passé, quel est l'impact et quelles sont nos conclusions. D'accord ? Donc ça, c'est le truc très, comme ça, très progressif qui, en fait, de toi à moi, est franchement bien.
- Nicolas
En fait non, c'est la logique même de ce genre de choses parce qu'effectivement quand t'es dans le feu de l'action c'est pas à ce moment là où tu vas commencer à écrire un root cause analysis d'ailleurs en plus t'as pas les éléments pour le faire donc oui en toute logique effectivement c'est une approche qui est assez pragmatique et qui peut convenir à tout le monde.
- Rayna
C'est ça.
- Nicolas
Ce qui prouve que finalement on peut avoir des choses logiques dans les textes réglementaires parfois.
- Rayna
Mais bien sûr et c'est pour ça en fait mais c'est pour ça que je te dis mon texte favori en fait c'est celui des quatre colonnes parce que c'est là en fait où je récupère mes titres c'est-à-dire où je vois en fait quel co-législateur en fait a tenu quoi avec quels arguments etc. Et ça c'est super intéressant parce que c'est en fait de l'art que tu comprends Quel est l'esprit des modifications ? C'est aussi de là que tu peux commencer un peu à anticiper. la tournure que ça pourrait prendre, par exemple, pour une directive, la transposition, en fait, l'orientation de transposition. Et donc, c'est... Bon. Et c'est important parce que c'est aussi un sujet démocratique, parce que typiquement, tu vois, le Conseil, c'est l'organe le moins démocratique sur tous les autres. En fait, les réunions du Parlement, la plénière, elle est live streamée, les auditions sont live streamées. Enfin, si tu veux, tu restes devant le site du Parlement, tu as la traduction, tu as l'interprétation dans toutes les langues de l'Union, en permanence. Tous les documents sont publiés, les questions, tout est public en fait. Bon, c'est moche, parce qu'il y a une certaine jalousie de garder des sites web qui ont le look des années 2000, mais en fait, si tu veux chercher des documents, tout est là. Et le conseil, c'est le monde transparent de tout le monde. Donc typiquement, là, sur le cyber-résilient secte. ce qui s'est passé, c'est qu'on s'attendait à ce que, là, en avril, ce soit OK. Et en fait, le Parlement a voté en plénière le texte, tous les trilogues sont passés, et le Conseil a dit, bon, il est urgent d'attendre, on va attendre la prochaine mandature. Et donc là, tu fais, mais pourquoi ? C'est le conseil. Là, pour l'instant, on ne sait pas. Mais si tu veux, quand tu vas sur la page de suivi de ce texte-là, tu vois que c'est marqué en attente d'avis du conseil. Tout est public, avec qui fait quoi, qui a soumis quoi, tous ces trucs-là. Après, je suis d'accord. Franchement, c'est fouillis. c'est pas sympa, c'est pas sympa à lire, ça part un peu dans tous les sens, il y a différents, en fait, si tu connais pas les procédures, souvent tu comprends pas, en fait, pourquoi il y a différents sites qui reprennent plus ou moins le même contenu, mais formatés différemment, machin et tout. Donc ça peut être, enfin, c'est super déroutant, quand on connaît pas, en fait, à quoi servent chaque site, chaque machin. Mais... ça aussi c'est quelque chose que j'aimerais bien un peu corriger en termes de pédagogie parce que ça c'est vraiment surtout pour des gens qui sont directement impactés par ces sujets là tels que des entrepreneurs du numérique et de la cyber en fait pour moi c'est quand même difficile à défendre le fait de s'en contre foutre en fait complètement tu vois parce que en fait tu as un certain CA ça veut dire qu'il y a des gens qui te font confiance qui te paye pour ton service, ça veut dire que tu traites des données. d'organisation, d'individus, etc. Comment est-ce que tu peux imaginer que tu vas vivre en marge des règles qui s'appliquent à tout le monde ? Parce que c'est ça, la loi, ce n'est pas optionnel, ce n'est pas ISO.
- Nicolas
Bien sûr, ce n'est pas si j'ai envie.
- Rayna
Et puis, même si tu n'as pas envie, c'est pareil, c'est la loi. Donc, voilà, tu as des choses comme ça, en fait, qui sont intéressantes. à voir et c'est ça qui est intéressant parce qu'il y a eu un changement majeur sur la dernière décennie notamment avec la perception aussi des co-législateurs notamment Commission et Parlement sur les gens, sur nous. Avant c'était très marché unique consommateur, protection des consommateurs etc. C'est très lié à, tu vois, si j'ai des, par exemple, les prix des colis. Tu vois, si aujourd'hui je vais sur une appli de second hand, en fait, de vêtements. en fait, si j'envoie de France vers l'Estonie ou vers l'Italie, ça va me coûter la même chose. Tout ça, c'est de l'Europe. Mais c'était très lié aussi à tout ce qui est e-commerce, etc.
- Nicolas
Ce qui était un peu l'origine finalement de l'Europe. Je pense que quand on s'en va du moins, c'est assez étendu. Mais à la base, c'était quand même pour faciliter le commerce et l'économie.
- Rayna
C'est ça. Et aujourd'hui, tu as une vision qui est beaucoup plus utilisateur. parce que en fait le Covid est passé par là aussi tu vois en 2019 on a eu en gros un changement de parlement à hauteur de 60% c'est à dire que 60% des eurodéputés n'avaient jamais eu un mandat électif européen donc tu as eu en fait du sang neuf qui est arrivé avec une perception différente, avec une moyenne d'âge différente etc Et donc tu as eu en fait vraiment un changement de braquet et puis très rapidement est arrivé le Covid. ce qui a en fait énormément bousculé aussi le calendrier, parce qu'en gros, on a pris deux ans dans la vue aussi sur le numérique, parce que franchement, de toi à moi, moi je préfère que, même si Nice 2, on l'a fait, on a fait toute la révision pendant le premier confinement notamment, les workshops de 6 heures sur Webex, oh mais pitié, plus jamais ça ! Mais tu as eu en fait une situation où on ne savait pas ce qui se passait, on devait négocier des vaccins et des choses comme ça. Donc, de toi à moi, tes trucs d'Internet, ça a bien deux minutes. Là, il faut parer au plus urgent.
- Nicolas
Priorité du moment.
- Rayna
Voilà, il faut parer au plus urgent, il faut que les gens puissent continuer à survivre, il faut qu'on continue à gérer les sujets de santé publique, des choses comme ça, alors que la santé, en fait, n'est pas une compétence européenne. ça ne veut pas dire qu'ils ne sont pas compétents au sens qu'ils ne savent pas faire. Ça veut dire qu'ils ne peuvent pas agir sur les politiques nationales sur ce domaine-là, la santé, le social. Il y a eu plein de choses qui ont aussi changé à cause du Covid. En moins raison, grâce, comme tu veux. Ce qui fait aussi que cette bascule de consommateur vers utilisateur, elle s'est faite aussi de façon très naturelle parce qu'on s'est rendu compte qu'en fait, on faisait plein de choses sur Internet. On ne faisait pas que des achats. Il y a une génération qui trouve les amis, qui trouve l'amour, qui fait son banking, qui fait de l'argent. Tu vois, de façon à ce que dans certains pays, les jeunes préfèrent devenir influenceurs plutôt que d'aller trouver un job d'été.
- Nicolas
Est-ce que c'est une bonne chose ?
- Rayna
mais c'est pas pour moi en fait c'est pas une bonne ou une mauvaise chose c'est la réalité et donc en fait c'est comment est-ce qu'on prend la mesure de ça et donc comment est-ce qu'on intervient sur des sujets qui en fait ne sont pas nécessairement notre compétence européenne j'entends mais sur lesquels en fait il faut il faut avoir un psss un consensus de fonctionnement. Et typiquement, c'est pour ça que tu as des sujets sur les influenceurs, par exemple, au niveau européen, tu as des études, tu as aussi une directive sur les travailleurs des plateformes. Encore une fois, tu as plein de choses qui arrivent, qui sont très à l'image aussi de la société.
- Nicolas
Alors justement, ça c'est un point quand même assez important, parce que, bon, tu viens de décrire quand même les arcanes finalement de l'Europe, comment les lois se font, les discussions, les tractations, les accouchements avec et sans douleur de certains textes, etc. mais in fine on oublie quand même quelque chose c'est que ces textes ils ont un intérêt quand même parce que ça permet de faire évoluer les choses on a parlé beaucoup de NIS 2 la cybersécurité etc mais il y a plein de textes qui peuvent être très utiles quand même je pense que parfois on parle tellement finalement du côté négatif de l'Europe et de la réglementation européenne que parfois on oublie un petit peu que ça nous a permis quand même de faire des choses quand même assez fortes. GDPR par exemple, c'est quand même quelque chose, je pense, qui va dans le bon sens. que même les Etats-Unis n'ont pas réussi à mettre en œuvre. Ça arrive, mais pourtant, c'est quand même quelque chose qui va dans le bon sens. Il y a plein d'autres réglementations qui vont dans le bon sens. Donc justement, si on pouvait maintenant peut-être parler un petit peu de ces avancées et de pourquoi finalement l'Europe va et continuera à nous protéger, à changer un certain nombre de choses. dans la réglementation pour régler des vrais problèmes de société. Tu citais par exemple les influenceurs, tu citais des choses comme ça. Donc ça ne peut pas être anodin comme ça quand on en parle, mais finalement ça devient des vrais problèmes de société. Donc est-ce que tu pourrais nous expliquer un petit peu, de ton point de vue encore une fois, comment l'Europe change le monde dans lequel on vit ?
- Rayna
offre de plein de façons différentes. Du coup, je vais te répondre avec ma casquette d'expert et après, je vais te répondre avec ma casquette de candidate. Alors, si tu veux, d'un point de vue, comment ça change ? Il y a un vrai impact. Et tu vois, pour reprendre un peu une expression qui a pas mal circulé, la troisième voie européenne entre les US et la Chine, En fait, c'est la voie européenne où on essaie justement de structurer des choses, déjà à plusieurs États, mais à structurer vraiment des règles de vie en commun qui sont alignées avec des valeurs démocratiques et des choses comme ça. Et tout ça, c'est copier quand même beaucoup. à l'extérieur de l'Europe. Typiquement, quand le RGPD chinois est sorti, si tu veux, très peu de gens en France s'en sont rendus compte, mais tu vois, le RGPD, il te tape sur les doigts avec de l'argent. avec sanctions pécuniaires, etc. Chez les Chinois, tu n'es pas dans le rang, tu vas en tol. Donc, en termes de sanctions, je préfère le RGPD. Parce que je ne suis pas convaincue...
- Nicolas
De salle de l'ambiance.
- Rayna
Voilà, je ne suis pas convaincue du confort exceptionnel des prisons chinoises et des camps de rééducation, etc. Et côté américain, en fait, ils essayent depuis vachement longtemps. Et moi, quand j'avais écrit en 2020 sur les défis de la présidence Biden-Harris, en fait, un des sujets que j'attendais de voir comment ça va évoluer, c'était d'avoir une loi fédérale, un RGPD fédéral américain. Et tu veux, on n'y était pas. Et là, il y a quelques semaines, ils se sont réveillés en mode Ah mais en fait, on en a besoin. Et donc, tu as maintenant une proposition de loi fédérale, une sorte de RGPD fédérale, parce qu'en fait, tous les États, ou presque, aux US, ont fait leur petite loi dans leur coin. Et donc maintenant, il faut mettre tout ce beau monde un peu en ordre de marche et faire quelque chose de fédéral. Donc, on verra bien ce que ça va donner, parce que d'ici novembre, c'est short.
- Nicolas
Alors effectivement, il y a par exemple le Californian Act aux Etats-Unis, qui est un bel exemple de réglementation locale pour les Etats-Unis. Mais il y a quand même quelque chose qui me surprend dans ce que tu racontes, c'est que tu dis que finalement, les Américains ont du mal à sortir un GPD like aux US. et pourtant tu parlais de Biden et donc de la présidence de Biden mais il y a quand même des executive orders de Biden qui ont obligé à tout un ensemble de contrôles qui n'étaient pas faux auparavant, surtout pour l'administration américaine, mais par extension un petit peu aussi pour les autres. C'est marrant d'ailleurs, parce que tu en parlais un petit peu en introduction, tu disais que tu travaillais sur la possibilité de mettre en œuvre du build of material, mais c'est exactement ce que les exécutifs d'Order de Biden ont demandé il y a plus d'un an maintenant, si mes souvenirs sont exacts, Et là, du coup, on est un petit peu aussi... Je ne sais pas si on a un décalage par rapport à ce que font les US, mais j'ai l'impression qu'on est en avance sur certains points et peut-être en retard sur d'autres. Quelle est ta vision des choses par rapport à ça ?
- Rayna
Ce sont vraiment deux cultures différentes. En fait, un executive order, c'est un décret présidentiel. Donc, il n'a pas force de loi fédérale. Et en fait, je suis depuis quand même pas mal d'années, vraiment l'impact politique aux US du bipartisme, etc. C'est extrêmement intéressant. de voir comment, là sur FISA par exemple, comment les chiquiers se restructurent en permanence et comment les conservateurs américains peuvent être contre. C'est extrêmement intéressant, c'est vraiment une autre culture. c'est aussi, en fait, c'est pas tellement que les gens n'en veulent pas, c'est que ils ont des fonctionnements au Congrès et à la Chambre de représentants, en fait, et au Sénat, qui sont vraiment différents de ce qu'on a en Europe, même de ce qu'on a en France, parce que c'est du biparti. Donc, il y a vraiment des logiques et de dynamiques de prise de décision, de législation, etc., qui sont... très différentes, donc c'est pas vraiment comparable en termes de force de frappe. Toujours est-il que cette différence de culture, elle se retrouve dans la façon de formuler les choses. En Europe, on va prendre notre temps, on va te pondre un texte où tu sais exactement où tu vas. tu fais ça, tu fais ça, tu fais ça, tu fais ça, ton niveau de... ta maturité cyber, ton niveau de protection des données, machin, tu sais ce que t'as à faire, tu sais où tu vas. Par contre, la première marche, elle est quand même hostile, elle est quand même très haute à monter, c'est que, voilà, parce que pour les gens qui ne s'en sont pas préoccupés et qui découvrent le sujet, en fait, ça fait un peu mal. Aux US, c'est l'inverse limite. On te dit, bon, look, on sait que vous faites des trucs. Ce serait bien quand même que tout le monde ait un niveau minimal similaire. Et après, on va vous accompagner. On va vous aider, parce qu'en plus, il y a quand même une sorte de consanguinité publique-privée qui est très forte aux U.S.
- Nicolas
Effectivement, je confirme. C'est quand même parfois assez révoltant, la manière dont ça se passe.
- Rayna
Et donc, en fait, tu vas te retrouver avec une première marche qui est très simple à monter. Et après, par contre, ça va être autre chose. C'est que moi, aujourd'hui, pour faire du RGPD, je n'ai pas besoin tout le temps d'aller demander à la CNIL comment faire. Tu vois, la CNIL a fait des guidances, a fait des guides, des plans de choses, etc. Mais je n'ai pas besoin, en fait, il y a des choses que la CNIL précise, mais je sais faire de la conformité RGPD sans être accrochée aux jupes de la CNIL en permanence. Si tu regardes comment ça se passe aux US, cette interaction symbiotique entre le public et le privé en termes d'application de règles, elle est permanente, avec une culture du contentieux qui est très différente aussi, avec plein de règlements lamiables, de choses comme ça, là où ici tu vas avoir des sanctions, ça va traîner à justice, ou pas, mais tu vas avoir quand même des sanctions administratives très fortes. Là, tu vas avoir des règlements à l'amiable plan. Et donc, si tu regardes, par exemple, l'IA Act en Europe, qui est ce qu'il est ? On ne va pas...
- Nicolas
C'est déjà, je trouve que...
- Rayna
Il est intéressant.
- Nicolas
Voilà. Et je pense que c'est quand même quelque chose de bien au regard du contexte actuel.
- Rayna
C'est ça. Mais si tu regardes, en fait, l'IAC, on t'explique taille d'approche par les risques, tu as des interdictions de certaines pratiques quand ça peut produire, en fait, des effets judiciaires négatifs, donc de la discrimination, etc. mais tu sais à peu près, il va y avoir un bureau, c'est un cours de recrutement au niveau européen, côté commission, qui va s'occuper de ça, puis en fait, on va petit à petit désigner des autorités dans les États membres, machin. C'est relativement clair, la mise en place, elle est compliquée, mais tu sais à peu près ce qu'on attend de toi. Vous voyez, si tu prends l'executive order de Biden, justement de fin octobre, là, sur l'IA, ils en ont fait trois mois après, où en est-on ? et là en fait tu pleures des larmes de sang parce qu'en fait tu prends le récap il fait je sais plus combien de pages 5 ou 6 pages par là et en fait là tu as chaque administration chaque bidule qui a quelque chose à faire du sujet qui a fait des trucs dans son coin et là en fait tu fais ben ouais mais je parle à qui en fait ben si tu veux parler de ce qu'ils osent tu parles à machin si tu veux et en fait le truc est ventilé tu sais façon puzzle et en fait t'as des t'as en fait une absence de clarté aussi, qui peut être très déstabilisante et qui, en fait, encore une fois, renforce, parce que quand c'est le fédéral qui en parle, qui demande, en fait, certaines choses, c'est les administrations fédérales et leurs sous-traitants. Et c'est par ricochet que ça arrive chez les privés. mais qui sont tellement imbriqués dans le public que, ben, voilà, on se parle toujours au même, qu'en fait, on se retrouve dans un truc qui est finalement un magma en termes d'application, très complexe à suivre. Alors que... en Europe, on va avoir vraiment des approches différentes avec des niveaux d'exigence d'entrée qui peuvent être très différents. Mais après, une fois que tu es lancé, tu vois à peu près où tu vas. C'est pour ça qu'aujourd'hui, quand on me dit Pour faire une conformité Nice 2, on fait comment ? Et en fait, je peux dérouler comment on fait. Tu vois, ce n'est pas d'une complexité insurmontable. Chez les Américains, ils ne sont pas du tout habitués à ça. Ils ont d'autres aussi perceptions. Typiquement, tu prends la National Cyber Security Strategy américaine et en fait, tu as une notion de matérialité que tu ne retrouves... pratiquement nulle part en Europe, si ce n'est potentiellement dans la directive entité critique qui concerne la sûreté, l'aspect vraiment physique des installations. Mais pour eux, tous leurs trucs d'infrastructures critiques, etc., ils te parlent vraiment de matérialité, qui est quand même quelque chose de très particulier, très américain. que quand tu compares par exemple à Nice 2, qui est quand même le texte un peu parapluie européen, qui pose aussi que chaque État membre doit se doter d'une stratégie nationale de cyber, en fait, c'est vraiment un autre monde. Et tu le vois bien quand tu lis les deux textes, ça saute aux yeux. Donc, tu as vraiment des cultures très différentes. Et c'est pour ça que ça me fait hurler à chaque fois quand quelqu'un me dit Ouais, mais l'Europe, il y a un plan de règles, on n'arrive pas à innover, alors qu'aux US, il n'y a pas de règles. Purée, c'est quelqu'un de ta moelle à expliquer les règles, parce qu'en fait, tu as énormément de reporting aussi à faire aux US, pas autant que ça en Europe. mais c'est juste que ça se passe différemment en termes d'interaction avec les autorités.
- Nicolas
Disons que c'est plus uniforme en Europe et peut-être un peu moins aux US.
- Rayna
C'est ça. Et puis, en fait, on a quand même beaucoup, beaucoup essuyé les plâtres avec Nice 1 et le RGPD. Parce qu'avec Nice 1, on avait fait tellement vague, en fait, que chaque pays a un peu fait comme il pouvait. en faisant, en fait attention à ne pas faire de conflit de loi avec ce qui existe déjà, ce qu'on appelle des lex spécialistes, donc des trucs un peu spécifiques de certains domaines, etc., les telcos. et le RGPD a par exemple fait on a une situation où on a vu ce que ça a donné d'avoir un guichet unique tu sais quand c'est pour ça par exemple que ça galère en termes de sanctions RGPD vis-à-vis des GAFAM parce qu'en fait il faut passer par le guichet unique qui est la CNIL irlandaise qui est notoirement en fait câlinante avec eux parce que si les GAFAM la plupart qui sont installés se barrent et bien l'Irlande sera en récession
- Nicolas
C'est très compliqué, effectivement, puisqu'il y a pas mal d'activités chez eux.
- Rayna
C'est ça. Mais donc, tu vois, ça a permis, en fait, à côté, on a créé le DPB, qui est un peu la CNIL européenne, on va dire, qui a, en fait, une structure qui est intéressante, qui a un fonctionnement, en fait, très collégial, mais en même temps assez indépendant, pour le coup, des législateurs, etc. et c'est extrêmement intéressant de voir aussi comment on peut faire une coopération au niveau européen parce qu'on a déjà en fait ce qui marche ce qui marche pas, ce qui marche chote et donc on a des exemples et des exemples pratiques depuis plusieurs années pour savoir comment on peut structurer des choses après encore une fois ça prend du temps c'est comme ça. Donc, il faut aussi, tu vois, c'est ça mon cheval de bataille, il faut aussi que nous, on s'implique. Parce que c'est quand même dérisoire d'imaginer que moi, par exemple, si je suis élue, tu vois et si je me retrouve à devoir voter un texte sur l'agriculture ben je t'avoue je vais demander plein d'avis parce que je ne suis pas spécialiste il faut que je comprenne donc je ne peux pas être spécialiste de tout et donc on ne peut pas s'attendre à ce que des gens qui ont plein d'autres connaissances plein d'autres compétences qui arrivent sur un sujet qui est notre quotidien automagiquement ces gens-là découvrent un autre quotidien avec zéro présence sur le terrain, avec zéro sensibilisation, etc. Ce n'est juste pas possible. Et c'est là où je prends un peu ma casquette de candidate, c'est de dire qu'on a besoin de gens qui représentent les différents métiers, les différentes régions, etc. Parce qu'en fait, c'est avec cette diversité-là qu'on aura... différentes compétences représentées au Parlement. Et c'est aussi avec cette diversité-là qu'on pourra aussi avoir un rôle vraiment démocratique. de contre-pouvoir vis-à-vis de la Commission ou surtout du Conseil, parce que c'est ça le rôle du Parlement aussi. Donc il y a des enjeux là-dessus, et c'est pour ça que nous, dans la coalition, notre slogan c'est pour une Europe qui protège qui nous protègent. Et c'est pour ça que si tu regardes un peu le programme qu'on a élaboré, parce qu'on n'est pas un parti, on est une coalition, ce qui est un ovni en France, parce que c'est pas travailler avec les gens en France. Donc, moi, j'ai appris plein de choses, en fait, sur comment on travaille avec d'autres sensibilités, etc. Et pour le coup, je peux te dire que... avoir fait de la négociation et avoir fait des affaires européennes, ça a vachement aidé pour pouvoir s'entendre et trouver un terrain d'entente entre des formations qui ont des sensibilités, des origines, etc., vraiment différentes. Parce que Volt, c'est un parti pan-européen fédéraliste et on est en coalition avec des régionalistes.
- L'aventure c'est l'aventure
Si j'ai fait venir toutes ces personnalités, qui nous ont d'ailleurs coûté très cher, Je préfère vous prévenir. C'est pour que vous vous rendiez compte des contradictions qu'il y a entre les idées, les systèmes, les théories, les pays, les drapeaux. J'espère que vous n'avez rien compris.
- Rayna
Tu veux dire que tu espères que nous avons bien compris ?
- L'aventure c'est l'aventure
Parfait, il n'a rien compris. Mais c'est parce que vous, vous avez compris que vous n'avez rien compris que vous allez rester au-dessus de cette confusion et gagner beaucoup, beaucoup, mais beaucoup de fric.
- Rayna
Et avec le plus vu parti de France, qui est le PRG, qui est très républicain, laïc, etc. Alors que Fatima, comment est-ce qu'on fait un tout ensemble ?
- Nicolas
On va aménager les cheveux et tout.
- Rayna
et en fait mais c'est très intéressant donc j'ai appris plein de choses aussi sur des sensibilités sur des histoires politiques etc ce qui en fait explique pourquoi sur certaines choses on va tenir notre sujet etc tu vois ce qu'on a mis dans notre programme c'est que ce qu'on veut c'est que dans cette démarche d'Europe qui nous protège on veut en fait un défenseur des droits numériques au niveau européen parce qu'en France, on a un défenseur des droits, donc on sait que ça marche, avec un mandat qui est intéressant, qui est aussi, qui touche aux lanceurs d'alerte, qui touche aux enfants, qui touche en fait à plein de sujets, comme ça, et qui par exemple a produit des rapports extrêmement intéressants et préoccupants sur par exemple... le non-accès en fait des gens aux services publics depuis qu'on a fait tout en numérique parce qu'en fait c'est trop compliqué ça marche pas etc et donc ça crée en fait vraiment des divisions dans la société de gens qui en fait ne peuvent plus bénéficier des services publics pourtant universels tu vois et donc et on a besoin de ça parce que on va continuer à légiférer donc on verra bien si Chielu, si on fait un épisode de qu'est-ce qui attend la prochaine mandature, parce qu'il y a plein, plein, plein de sujets où on va se prendre une vague, mais on va voir flou, quoi, mais on a un sujet d'application. Et donc, ce sujet d'application... En fait, c'est ce que tu disais tout à l'heure. Sur le RGPD, tout le monde a envoyé des trucs aux avocats. D'accord, mais en fait, si tu ne donnes pas les moyens aux autorités d'appliquer la loi... de faire appliquer la loi. Après, il ne faut pas s'étonner qu'en fait, on se retrouve avec juste des textes qui s'empilent, etc. Et pour appliquer la loi, il ne faut pas créer des machins de toutes pièces au niveau national. Parce que je sais, de temps en temps, les gens vont me sortir, Ouais, il faut un parquet numérique. Ben non, il ne faut pas un parquet numérique. Si c'est pour créer un énième machin sans lui donner les ressources de fonctionner, je veux dire, une escroquerie en ligne, c'est une escroquerie. des violences sexistes et sexuelles en ligne, ou le harcèlement en ligne, c'est du harcèlement, ce sont des violences sexistes et sexuelles. Ça ne change pas leur nature, ça l'aggrave, parce que ça touche, ça permet un volume, en fait, beaucoup plus important. Donc, c'est un facteur aggravant, mais ce n'est pas, en fait, un délit ou une infraction à part entière. Donc du coup, ça ne sert à rien de multiplier les institutions, on ne les dote pas. Et là, on a un vrai enjeu de comment on va assurer l'application de ce qui existe déjà, de règles qui sont pour la plupart plutôt bien écrites, plutôt claires, etc., qui auront besoin d'être un peu clarifiées pour le contexte national, ça toujours. mais en fait, il ne faut pas oublier qu'on ne pourra jamais faire les choses tout seul dans notre coin, et surtout, toi, tu es la preuve vivante de ça, on a des concitoyens et des concitoyennes qui ne vivent pas en fait en France. Donc, au niveau européen, en fait, il intervient aussi... pour protéger les citoyens, enfin, les ressortissants européens mobiles qui vivent dans un autre pays. Moi aussi, je suis un exemple de ça puisque je suis franco-bulgare. tu vois, mais j'ai un défenseur des droits en France et je ne l'ai pas en Bulgarie. Tu vois, donc, et tu as aussi ce genre de disparité qui, franchement, en 2024, c'est insupportable, quoi, et c'est inacceptable d'avoir ce genre de choses. Et donc, et on a aussi avec avec les tensions internationales, avec plein de choses comme ça, on a aussi un enjeu de ne pas faire des règles, des normes, etc., qui font une compromission de nos vies privées, de nos droits fondamentaux. C'est pour ça qu'on a formulé notre proposition sous forme de défenseur des droits numériques. et non pas sous la forme de autorité, machin, tout ça. Non, non, non. Ce qu'on veut, c'est appliquer la loi et protéger nos droits et libertés fondamentaux. Parce qu'aujourd'hui, tu vois, tu as plein de choses extrêmement insidieuses qui arrivent. avec Europol qui se réveille de temps à autre et ils font tous de toute façon au ministère de l'Intérieur de tous les pays européens ils font tous le même rêve mouillé de pouvoir scanner les conversations privées des gens tu vois et en fait t'as Europol qui t'a encore sorti en communiqué il y a quelques semaines pour te dire que le chiffrement c'est mal fin 2024 les gars tu vois c'est vivez avec votre temps quoi tu vois mais t'as aussi ce genre d'enjeu et ça c'est pas un sujet de consommateur c'est un sujet de droit et liberté fondamentaux ouais bien sûr t'as aussi des choses comme ça et après on a proposé aussi quelque chose d'autre qui relève cette fois plus du volet social qui est qu'on sait très bien tu vois que les gens pour beaucoup de gens il y a une vraie crainte justifié ou pas de se faire remplacer par ChatGPT et Consor. Et on l'a vu, il y a des boîtes qui ont licencié sous prétexte que le travail qui était fait par des humains sera fait par des IA. Plus ça va, plus on se rend compte que c'est fait par des humains encore plus pauvres et plus exploités dans d'autres coins du monde. Mais toujours est-il que tu as aussi un enjeu de... de l'innovation technologique qui est prise un peu comme cache-sexe pour casser les vies des gens. Et donc, qu'est-ce qu'on fait ? On ne peut pas, si on veut faire société, faire société numérique, on ne peut pas laisser les gens sur le coin de la route. Donc, il y a aussi cet enjeu-là de comment on accompagne les évolutions des métiers, comment est-ce qu'on protège les gens qui, tu vois, sont à risque. à juste titre, tu vois, à raison ou à tort, de se faire remplacer par du chat GPT ou en tout cas, leur patron a décidé que c'est moins cher. Donc voilà, comment est-ce qu'on fait ça ? Et pour ça, aujourd'hui, ça reste aussi un sujet de droit, tu vois, de droit fondamental, etc. parce que et en fait comment on gère cette question c'est pour ça qu'on a si tu veux proposé cette démarche là la proposition est formulée dans cet esprit là d'un autre programme donc voilà je ne vais pas finir en me disant Votez pour moi mais quand même un peu.
- Nicolas
Quand même un petit peu.
- Rayna
Non, mais c'est... C'est important, en fait, de savoir, et c'est pour ça que je suis déjà allée voter. C'est déjà la base de la base, parce que en fait, à force que tout le monde s'abstienne en se disant Ouais, mais bon, c'est à quoi ? C'est comme ça qu'on se retrouve avec les quelques personnes qui votent en dépit d'eux, ou à qui on a vendu du rêve, le village gaulois mais sans potion magique du RN, et qui vont se retrouver. à voter pour des gens qui, pour le coup, n'ont pas foutu grand-chose au niveau européen. Ça, tu peux le voir, les votes sont publics. Monsieur Bardella, s'il a voté deux textes, c'est déjà bien. Mais tu vois, tu as aussi un enjeu comme ça, qui est que ça fait remonter... par silence, en fait, par inaction, ça fait remonter d'autres idées qui ne nous courent pas.
- Nicolas
La cybersécurité est un enjeu.
- Rayna
C'est juste que tu n'es pas allé dire les tiennes, quoi.
- Nicolas
C'est ça. Et par défaut, d'autres vont prendre la place.
- Rayna
C'est ça. Donc voilà, allez voter pour moi ou pas, ce n'est pas le sujet. Mais allez quand même voter, quoi.
- Nicolas
le 9 juin le 9 juin, bah écoutez je pense que t'as un peu dit le mot de la fin finalement, à moins que tu aies envie de rajouter quelque chose bon,
- Rayna
non, mais j'en ai déjà beaucoup dit c'est le mot de la fin, c'est bien
- Nicolas
Ok, je te remercie en tout cas Raina d'avoir pris le temps d'expliquer ta vision des choses sur l'Europe et surtout l'Europe du numérique je pense que j'espère en tout cas que les auditeurs de ce podcast auront appris un certain nombre de choses très utiles je pense sur la construction européenne et surtout à quoi ça sert finalement parce que souvent on pense à l'Europe comme une contrainte mais Il faut plutôt voir l'Europe comme un moteur pour changer et aussi protéger la société dans laquelle on est. Alors comme je le dis souvent, pour certaines personnes, la cybersécurité est un danger de vie de mort, et bien plus avec ça.
