L’heure du sursaut a-t-elle sonné? Délaissée depuis deux décennies par le politique, notre société numérique attire enfin l’attention d’une poignée d’élus cantonaux, comme Nuria Gorrite. A 51 ans, la présidente du Conseil d’Etat vaudois et candidate à sa réélection le 20 mars prochain a fait du numérique son cheval de bataille, n’hésitant pas à croiser le fer avec Berne sur plusieurs dossiers. La cheffe du Département vaudois des infrastructures et des ressources humaines explique pourquoi il est temps d’affirmer le rôle de l’Etat dans cet écosystème ultrasensible.
- Le 2 février, le Conseil fédéral a présenté sa stratégie numérique pour 2022. Vous qui ne cachez pas vos désaccords avec la politique de la Confédération dans ce domaine, êtes-vous rassurée?
- Nuria Gorrite: Je n’ai pas encore eu le temps de la lire. Je présidais le Conseil d’Etat. Mais cela m’étonnerait que cette stratégie apporte des changements fondamentaux. Ce qui me frappe, c’est à quel point la Confédération s’est toujours disqualifiée en matière de numérique, sous prétexte que l’Etat n’a pas de compétence en la matière. C’est une forme d’abdication. Berne considère le numérique soit sous l’angle technologique pour n’en faire donc qu’une affaire de spécialistes, soit sous l’angle d’une privatisation, avec le risque de favoriser un marché privé des données.
- Vous dénoncez «une politique numérique fragmentée» à Berne. C’est-à-dire?
- Jusqu’à maintenant, ces questions numériques se diluent dans les sept départements et sont donc traitées en silos. Que fait-on en matière numérique sur la santé? Que fait-on en matière de cybersécurité? Il manque la lecture matricielle et transversale d’un département ou d’un service dédié, ou encore d’un secrétariat d’Etat, qui établirait une stratégie numérique fédérale et la déclinerait sur l’ensemble des politiques publiques de la Confédération. Mais il n’y a pas d’incarnation. Il est pourtant temps d’affirmer le rôle de l’Etat dans cet écosystème.
- Comment expliquez-vous cette lacune? On a peur à Berne? On manque de compétences? Le sujet du numérique n’est pas suffisamment porteur politiquement pour s’y intéresser?
- En 2012, lorsque j’ai pris en main l’informatique de l’Etat de Vaud, je me suis aperçue très rapidement qu’il n’y avait pas de politique de la sécurité, de la donnée et encore moins de stratégie liée à l’évolution technologique. On envisageait les questions numériques sous l’angle de prestations techniques. Il fallait simplement offrir une solution technologique. A cela s’ajoutait une espèce d’enchantement numérique: la technologie allait nous sauver de tous les maux. Pendant des années, la parole politique s’est détournée de ces enjeux. Aujourd’hui, la Confédération prend la dimension de son retard.
- Et pourtant, en juin dernier, le Conseil fédéral confiait l’élaboration de son cloud suisse à quatre multinationales américaines et une chinoise pour le stockage des données fédérales…
- J’ai toujours dénoncé l’approche différenciée de la Confédération entre le monde analogique, le monde réel et le monde virtuel. Personne n’aurait aujourd’hui l’idée de louer des coffres-forts à Pékin et à Washington pour y déposer les documents des Suissesses, des Suisses et des entreprises helvétiques. Or, c’est exactement ce qui est en train de se passer avec cette décision. Ce cloud n’est pourtant pas un nuage dans le ciel. Il s’agit de centres de données localisés à l’étranger. Ce sera donc le droit chinois et le droit américain qui seront appliqués aux données des Suissesses, des Suisses et des entreprises. La Confédération ne doit pas mettre en péril sa souveraineté numérique!
- La Confédération fait-elle courir un risque géostratégique à la Suisse?
- Bien sûr. Il est fondamental qu’un Etat puisse accéder en tout temps à ses données. Les barrages, les centrales électriques et nucléaires… tous ces systèmes stratégiques sont pilotés par l’informatique. La volonté d’un Etat de confier ces données à l’étranger démontre une incompréhension et une méconnaissance étonnante des enjeux géostratégiques.
- A la présidence de la Conférence latine aux questions numériques, vous avez pris la décision de lancer une étude de faisabilité pour l’élaboration d’un cloud numérique suisse. Vous désavouez donc la Confédération?
- Il s’agit de ne pas abdiquer sur nos compétences numériques. Nous avons des chercheurs, des académiciens, des entreprises. Nous savons faire ce genre de choses. Alors faisons-le nous-mêmes plutôt que de déléguer ces savoir-faire à l’étranger.
- Vous défendez la souveraineté. Or notre société numérique s’est construite sur la dépendance envers les acteurs étrangers. La Suisse a-t-elle les moyens de faire machine arrière?
- Je pense que oui. C’est d’ailleurs tout l’objet de cette étude de faisabilité pour laquelle le canton de Vaud a débloqué 100 000 francs. Ce serait une faute de ne pas essayer. Dans son appel d’offres, la Confédération a posé le principe que seules des sociétés basées sur plusieurs continents pouvaient bâtir notre cloud. Elle disqualifie de fait les entreprises suisses. Nous défendons le principe inverse.
«La parole politique s’est longtemps détournée des enjeux numériques. Aujourd’hui, la Confédération prend la dimension de son retard»
Anoush Abrar- Mais concrètement, quelles sont les pistes précises conduisant vers ce cloud souverain?
- Il s’agit d’abord de définir ce qu’est la souveraineté, de nous mettre d’accord sur ce principe, puis de l’affirmer. Concrètement, il est impératif d’avoir une territorialité des données. Elles doivent être accessibles en tout temps et être régies par le droit suisse même si les centres de données qui les stockent sont basés à l’étranger. Des pistes existent. L’Estonie, par exemple, a développé le concept d’ambassades de la donnée. Ce sont des ambassades estoniennes, à l’étranger, dans lesquelles le pays stocke ses données. Elles sont donc soumises au for estonien. L’alliance de tous les cantons latins, des milieux académiques et des entreprises nous permet d’explorer des pistes, de trouver des solutions, d’établir un «proof of concept» et de le soumettre à la Confédération.
- L’impulsion est donc exclusivement romande. Peut-on vraiment faire cavalier seul sur les questions numériques?
- Non, mais il faut bien commencer quelque part. Aujourd’hui, il existe des conférences intercantonales sur tous les sujets ou presque: transports publics, chasse, pêche… mais il n’y en a pas sur le numérique. Les cantons romands ont donc décidé de se regrouper pour créer cette Conférence latine dans laquelle on envisage la question de la protection, de la souveraineté et de la territorialité de la donnée, autant de questions éminemment politiques. Nous espérons élargir ce débat à l’échelon national.
- Vote électronique, identité numérique, cloud… vos prises de position sont-elles une manière de faire pression sous la Coupole à dix-huit mois des élections fédérales d’octobre 2023?
- Non, il s’agit d’exercer ma responsabilité politique en me déterminant sur les projets fédéraux qui me sont soumis. Lorsque la conduite, par la Confédération, de certains dossiers touchant au numérique ne me convient pas, je le fais savoir.
- Ces derniers mois, les communes de Rolle et de Montreux se sont fait voler leurs données à la suite d’attaques informatiques de grande ampleur. Les risques étaient pourtant connus depuis longtemps. Le canton de Vaud paie-t-il son attentisme sur le front de la cybersécurité?
- Je précise que ce n’est pas le canton qui a été attaqué, mais des communes. Je pense qu’il y a eu une forme d’attentisme de leur part. Ce n’est pas le cas du canton de Vaud. Là encore, nous avons été assez pionniers. En 2013, nous avons obtenu près de 9 millions de francs du Grand Conseil pour mettre en place notre entité de cybersécurité. Ce budget nous a permis de renforcer le cloisonnement de nos systèmes informatiques. Nous avons également créé le centre opérationnel de sécurité, qui assure une veille face à des attaques possibles contre nos systèmes. Il les détecte, les anticipe et les déjoue. Nous avons également renforcé tout le volet de la prévention et de la formation du personnel de l’Etat. N’oublions pas que la faille est d’abord humaine.
- Vaud semble donc bien armé, contrairement aux communes…
- Il est vrai que nous avons moins travaillé avec les communes pour les sensibiliser aux bonnes pratiques en matière de cybersécurité. Mais le canton ne les a pas laissé tomber. Nous sommes intervenus pour les aider très rapidement à cerner le périmètre du problème, à rétablir les systèmes d’information, à communiquer avec la population. Enfin, nous avons engagé le dialogue sur ces questions avec toutes les communes vaudoises.
- Les communes ont-elles les moyens financiers, humains et techniques pour lutter contre cette cybercriminalité? Le canton ne doit-il pas intervenir davantage pour les aider?
- Tout à fait. Il faut une mutualisation des forces. Nous leur avons donc proposé trois pistes. Les communes peuvent s’appuyer sur les compétences du Centre opérationnel de cybersécurité du canton et financent l’aide apportée pour renforcer la sécurité de leurs systèmes. Ou alors elles se dotent elles-mêmes d’une équipe de cybersécurité, éventuellement via leurs faîtières. Troisième option: elles confient cette tâche à des entreprises privées. Un groupe de travail piloté par le canton avec les faîtières travaille sur ce sujet et ces dernières ont jusqu’à la fin du mois de mars pour nous dire quelle piste elles comptent suivre. Nous pourrons ensuite les aider.
- Le 12 janvier dernier, le rapport de la Cour des comptes pointait des manquements en termes de protection des données au sein de l’administration vaudoise. Vous ne faites donc pas tout juste?
- Le rapport ne dit pas que les données des citoyens sont en danger. Il souligne seulement que la culture des données n’est pas suffisamment importante au sein de l’administration cantonale. Nous allons suivre les recommandations de la Cour des comptes. Chaque service de l’administration va devoir s’interroger sur ce qu’il collecte comme données: en a-t-il vraiment besoin pour délivrer une prestation aux citoyens, qui y a accès et au bout de combien de temps doit-il la détruire?
- A titre d’exemple, quelle est votre «hygiène numérique» personnelle?
- Je souhaiterais qu’elle s’améliore. Nous savons tous aujourd’hui que des entreprises se cachent derrière nos outils numériques. Leurs algorithmes déterminent nos choix, nos comportements et nos opinions. C’est un risque pour la démocratie et le débat public. Il faut en avoir conscience pour ne pas tomber dans leurs travers.