Security Defense Business Review

View Original

"Le Droit est une arme stratégique" pour Garance Mathias

Interview de Garance Mathias**, avocate

par Alain Establier, rédacteur en chef de SDBR News

 

SDBR News : Le Président de la République vient d’annoncer un plan d’un milliard d’euros pour renforcer la cybersécurité de la France. Y croyez-vous ?

Garance Mathias : Je retiens qu’au moment où on entend presque quotidiennement parler de cyber-attaques dans le domaine de la Santé apparaît une volonté politique de faire progresser la cybersécurité dans le pays. Il s’agit d’un objectif ambitieux : faire passer la filière française de 7.3 milliards d’euros de chiffre d’affaires en 2019 à 25 milliards d’euros en 2025 ; doubler les effectifs, alors qu’il y a depuis des années une pénurie de compétences dans le marché ; faire grandir trois start-up françaises au rang de licornes valorisées plus de un milliard chacune ; consacrer 51% du milliard d’euros à la recherche et développement en cybersécurité ! Donc je vois cela comme un palier positif d’évolution dans la prise de conscience du besoin de renforcer notre défense contre les cybermenaces.

SDBR News : Pensez-vous que la France a encore les moyens d’une autonomie stratégique pour ne pas dire numérique ?

Garance Mathias

Garance Mathias : L’autonomie stratégique peut être abordée sous différents angles : économique et technologique, juridique, sociétal, sous l’angle de la Défense nationale, etc. Mon domaine étant le Droit, je vais plus m’intéresser à l’angle juridique bien sûr. Donc comment définir autonomie ? Est-ce qu’autonomie renvoie à indépendance ? Comment définir aussi stratégique ? Par rapport à la France ou à l’Europe ? Par rapport à la Chine, à la Russie, aux Etats-Unis, etc. ? Les termes «d’autonomie stratégique» et de «souveraineté» doivent être utilisés au regard du contexte actuel.

SDBR News : Pourquoi ?

Garance Mathias : Le concept de « souveraineté numérique », souvent utilisé à tort et à travers, est un peu galvaudé pour moi. D’abord, parce qu’on ne voit pas bien les contours et le périmètre d’une éventuelle souveraineté numérique. Le terme de souveraineté renvoie au concept d’Etat, donc au Droit Public. Or le numérique renvoie à l’économie, à la politique, à la géopolitique, à l’open source etc. et à une notion d’indépendance au sens large. On a donc bien du mal à déterminer, à visualiser les contours de cette souveraineté numérique. Alors que le terme «indépendance stratégique» peut s’appliquer à un Etat et à l’Europe, donc influencer le cadre réglementaire dont la France dépend, pas seulement en numérique d’ailleurs : Droit de la Concurrence par exemple, qui est un droit extrêmement important qui vient de servir de texte de référence dans les actions contre Google, Amazon ou Apple. Cette indépendance stratégique, qui est nécessaire, peut donc s’aborder par différents aspects du Droit. Je viens de parler du Droit de la Concurrence mais on pourrait évoquer aussi les problématiques du Cloud. Sans avoir un Cloud européen, il pourrait y avoir d’autres acteurs européens que les GAFAM, comme le projet GAIA’X l’évoque. La propriété intellectuelle est également un sujet majeur de souveraineté : est-ce que l’entreprise est bien détentrice de ses actifs (avec la possibilité de les distribuer) ? Etc.

SDBR News : Qu’est-ce que le projet GAIA’X* ?

Garance Mathias : A l’initiative des gouvernements français et allemand, le projet GAIA’X vise à la mise en place d’une infrastructure de données en forme de réseau performante, compétitive, sûre et fiable pour l’Europe. Le but est de donner d’autres solutions aux entreprises, européennes ou non. Ce qui est intéressant, c’est d’ouvrir le champ des possibles. Dans le champ du Droit, pour avoir une stratégie numérique et une indépendance stratégique, il y a des besoins d’uniformisation y compris en matière de fiscalité des Etats. Il est donc important de travailler pour savoir comment se positionner, tant au niveau français qu’au niveau européen : par exemple sur les sujets de la 5G ou de l’Intelligence Artificielle (IA) où les Chinois ont beaucoup de projets en cours. L’enjeu est également d’avoir une politique d’investissement pérenne où tant les acteurs financiers, bancaires que politiques pourraient construire ensemble une politique d’innovation.

SDBR News : Donc vous privilégiez le terme d’indépendance à celui d’autonomie ?

Garance Mathias : A mon sens, l’indépendance renvoie plus à quelque chose d’isolé, alors que le terme autonomie renvoie à un libre arbitre, à une possibilité de décision puisque l’autonomie n’exclut pas les alliances, comme la construction européenne, les alliances industrielles ou des partenariats croisés : exemple avec le Royaume-Uni qui garde des liens avec l’Union Européenne. Tous ces concepts émergent dans le discours politique ou géopolitique, pour faire bloc, y compris au niveau des cyber-attaques : cybercriminalité en tous genres, intelligence économique, volonté de déstabilisation, etc.

SDBR News : Le Droit peut-il être conçu comme une arme de défense ?

Garance Mathias : Absolument ! Le Droit est une arme stratégique. Il n’y a qu’à penser au «Cloud Act» qui a une portée extraterritoriale ! Les Européens ont le Droit de la Concurrence, avec des sanctions très fortes qui sont respectées, qui prévoit que des concentrations, même hors Europe, doivent être notifiées à la Commission Européenne. Il y a le RGPD, qui a une portée extraterritoriale en étendant son champ d’action aux organisations non européennes lorsqu’elles proposent des services à des personnes physiques établies en Europe. La volonté avec ce texte a été aussi d’avoir des sanctions fortes sur le chiffre d’affaires. Donc les Etats-Unis n’ont pas le monopole de l’extraterritorialité. Ces textes européens pourraient permettre de construire une gouvernance juridique pour aider les entreprises et les défendre. De même la directive NIS 2, qui touche à la protection des entreprises et organismes d’importance vitale, qui prévoit un cadre commun européen de protection. Toutefois, cette réglementation NIS pose également des questions sur le concept de «souveraineté numérique» et le fait que de nombreux acteurs concernés par cette réglementation sont des acteurs publics, voir étatiques. Ainsi : quelle doit être l’attitude d’un décisionnaire si un OIV ou un acteur soumis à la réglementation NIS construit un partenariat avec des GAFAMs ou des entreprises chinoises ? Faut-il revoir les critères de sélections des acteurs ? Comment gérer les mécanismes d’attribution des aides publiques ?

SDBR News : L’instrument juridique ne risque-t-il pas aussi d’empêcher la naissance de champions européens d’envergure mondiale ?

Garance Mathias : La posture du Droit de la Concurrence, par exemple, peut en effet aussi limiter la concentration d’acteurs et donc limiter la construction d’entreprises européennes de taille mondiale. C’est le revers de la médaille qui lui est reproché. L’IA ou la 5G sont des secteurs à part entière qui, même s’ils font partie du numérique, sont des écosystèmes dans le marché. Ainsi, l’Europe a également une volonté de construire un cadre réglementaire ambitieux pour l’«espace numérique européen» et venir en appui de la cybersécurité. Ainsi, le Digital Services Act (DSA) a comme objet de réguler les contenus et le Digital Markets Act (DMA) va renforcer les règles de la concurrence. Le lobbying des plateformes est conséquent sur ces textes, ces dernières étant directement visées par la Commission. Ces projets de textes qui font partie des piliers de cette «souveraineté numérique / européenne» devront être adoptés par l’ensemble des Etats membres. Dans ce contexte, face à la «guerre» économique liée à la donnée en tout genre et au lobbying fort des plateformes, la Commission devra adopter une «agilité» pour faire adopter ces textes et faire primer les valeurs européennes.

SDBR News : L’idée de construire des Licornes en cybersécurité est intéressante. Mais comment doit-on s’y prendre ?

Garance Mathias : Quelque soit le schéma utilisé pour faire une Licorne, sous-entendu avec un certain revenu et une certaine valorisation du capital, l’entreprise doit avoir une connaissance précise de sa valeur et de ses actifs : ceci sous-entend ses secrets et ses informations. Malheureusement, on constate souvent que l’entreprise ne sait pas quelle est la valeur de sa technologie. On voit la valeur par rapport à un brevet mais, par exemple dans le monde de l’IA, tout est loin d’être brevetable : ce sera du droit d’auteur. Or le droit d’auteur ne donne pas de prise à un titre de propriété industrielle! C’est le jeu du Droit des contrats qui interviendra pour sécuriser la propriété intellectuelle et permettre à l’entreprise de la commercialiser et de la faire fructifier. Le Droit des sociétés interviendra également : faire entrer un tiers au capital de l’entreprise n’est pas que lui donner des actions, c’est aussi lui donner un droit à l’information, à l’accès à des documents et à la connaissance intérieure de l’entreprise. Devenir minoritaire dans une entreprise peut valoir bien plus que la simple valeur de l’argent investi par l’actionnaire entrant.

SDBR News : Que recommanderiez-vous à ces entrepreneurs qui se prendraient bien pour une Licorne ?

Garance Mathias : Face au besoin d’investissement, face au besoin de conquérir de nouveaux marchés, faire entrer un tiers (minoritaire ou non) dans sa société présente un risque, sans qu’il soit nécessaire que ce soit un Chinois, un Russe, ou un ressortissant étranger quel qu’il soit, pour prendre conscience de ce risque. Tout se négocie et les statuts, les pactes d’associés, les contrats d’émission entre autres doivent se construire en prenant en compte la stratégie de l’entreprise et un équilibre nécessaire entre les droits de tous les associés et ceux de la société en tant que telle. L’avocat** est là pour aider au business (non pas pour l’empêcher) et au défaut de formation juridique de l’entrepreneur. Quelque soit l’acteur et sa notoriété, il ne faut pas faire preuve de naïveté dans l’acceptation d’entrée d’un minoritaire au capital. Il faut être dans le questionnement et ne rien accepter en bloc ! Mais l’avocat est là aussi pour éclairer sur les risques encourus par l’entreprise et son dirigeant, sur les moyens pouvant être utilisés, en fait pour l’aider à garantir son autonomie stratégique, notamment en protégeant, et en sécurisant la propriété intellectuelle (actif de la société) grâce au contrat.

* https://www.eurocloud.fr/gaiax-une-infrastructure-de-donnees-en-forme-de-reseau-berceau-dun-ecosysteme-europeen-vital

** Avec une expérience de 20 ans dans l’accompagnement de sociétés innovantes, Garance Mathias, expert au Conseil de l’Europe, est un avocat reconnu en droit des données personnelles, de la sécurité des systèmes d’information et de la propriété intellectuelle. Elle crée sa propre structure dédiée au droit des affaires et des données personnelles après 10 ans passés au sein de cabinets internationaux (Chicago, Bruxelles, etc.).

https://www.avocats-mathias.com