Internet a été conçu pour traverser les frontières géographiques. À ce titre, tous les mesures mises en œuvre pour reproduire sur Internet ces frontières sont contre nature et s’avéreront au mieux inutiles, au pire contre-productives. Internet n’est pas un espace sans lois, mais il faut bien comprendre que ses lois ne sont pas liées à celles de l’espace géographique.
La véritable question des données n’est pas de savoir où elles sont stockées, mais qui y a accès. Cette distinction est propre au numérique et elle est essentielle. Dans le « monde réel », celui qui stocke un objet y a forcément accès. Dans le « monde numérique », on peut stocker des données, mais être incapable d’y accéder, parce qu’elles sont chiffrées et que l’on n’en détient pas la clé.
La frontière du numérique n’est pas géographique mais mathématique, c’est le chiffrement : d’une part il y a les données en clair, d’autre part les données chiffrées. Il existe même deux catégories de chiffrement, qui induisent des possibilités et des contraintes différentes :
- Le chiffrement symétrique, où le « passeport » pour franchir la frontière est une clé, la même pour les deux sens de passage.
- Le chiffrement asymétrique, où il faut un « passeport » différent pour chaque sens, c’est à dire deux clés distinctes mais complémentaires que l’on génère en même temps. On les nomme clé publique (elle permet de chiffrer) et clé privée (elle permet de déchiffrer). Il est de plus très difficile de déduire l’une en fonction de l’autre, de sorte que l’on peut sans risque diffuser la clé publique (d’où son nom). N’importe qui pourra s’en servir pour chiffrer les donnés à nous communiquer, et on sera seul à pouvoir les déchiffrer grâce à la clé privée correspondante.
Dans le numérique, grâce au chiffrement, chacun peut être souverain sur ses données, même si ce n’est pas lui qui les stocke. Chacun a son propre territoire où ses données sont en clair. Hors de ce territoire, ses données sont chiffrées. Ses clés, dont il est seul possesseur, permettent à ses données de passer la frontière. Le lieu physique du stockage n’a, dans le monde numérique, aucune importance.
Le RGPD (Règlement Général pour la Protection des Données) est une avancée majeure sur de nombreux points, et ses intentions sont extrêmement louables. Il est juste regrettable qu’il tente de légiférer sur la localisation du stockage, plutôt que reconnaître le chiffrement comme la véritable frontière en matière de données numériques.