Avec les objectifs louables de promouvoir la concurrence et d'interdire les tactiques déloyales dans le monde en ligne, le Congrès envisage des projets de loi antitrust qui réglementeraient la manière dont des entreprises telles qu'Apple, Amazon, Facebook (Meta), Google (Alphabet) et Microsoft traitent d'autres entreprises qui utilisent leurs plateformes numériques. Quelle que soit l'étendue de la réglementation, tout le monde reconnaît que les plates-formes doivent être exemptes de logiciels malveillants et de logiciels espions.
Mais certaines des dispositions des projets de loi pourraient par inadvertance réduire la capacité de le faire. Mettre en danger la cybersécurité sur nos principaux réseaux sociaux et plateformes commerciales en ligne, qui sont essentiels à presque tous les aspects de notre vie personnelle et commerciale, constitue un risque pour la sécurité nationale.
Nous devrions être encore plus prudents face à ces risques maintenant compte tenu de la déclaration du président Biden fin mars selon laquelle la Russie "explorait des options pour des cyberattaques potentielles" - une cyber-alerte sans précédent d'un commandant en chef. Outre la cyber-menace russe, nous luttons déjà dans notre cyber-bataille contre les agences d'espionnage et les gangs de ransomwares opérant en Chine, en Corée du Nord et en Iran - avec des écoles, des hôpitaux et des entreprises américaines qui subissent quotidiennement des vols de données et des attaques de ransomwares. Nous devons nous assurer que la cyberinfrastructure de notre pays est mieux à même de repousser des attaques de plus en plus sophistiquées.
Pourtant, on craint que les deux projets de loi récemment présentés par la commission judiciaire du Sénat – la loi américaine sur l'innovation et le choix en ligne (S.2992) et la loi sur les marchés d'applications ouverts (S.2710) – n'accroissent en fait les risques liés à la cybersécurité. Les projets de loi restreindraient certaines capacités d'exploitation des plates-formes Big Tech et les obligeraient à reconcevoir leurs systèmes, par exemple, pour permettre aux utilisateurs professionnels (qui pourraient inclure des entités étrangères) d'avoir un accès plus ouvert aux logiciels propriétaires de la plate-forme, encourageant ainsi théoriquement l'interopérabilité et réduire les avantages concurrentiels de ce logiciel.
Les projets de loi visent également à bloquer certaines mesures prises par les plateformes pour faire respecter leurs règles, offrant ainsi aux utilisateurs professionnels une plus grande liberté d'exploitation sur les plateformes ; et de protéger les propres données de ces utilisateurs de l'analyse par les plateformes, empêchant ainsi les plateformes de tirer un avantage concurrentiel indu sur les données de leurs utilisateurs.
Bien que ces capacités puissent être abusées par les propriétaires de plateformes, elles sont également, du moins à certains égards, essentielles. En effet, afin d'empêcher l'installation de logiciels malveillants ou de logiciels espions, de découvrir des vulnérabilités techniques qui pourraient être exploitées par des pays étrangers ou de découvrir et d'arrêter la désinformation sur leurs plateformes, les plateformes s'appuient dans de nombreux cas sur les capacités mêmes qui seraient interdites.
Exiger qu'un tiers ait le droit de se connecter et de fonctionner de manière transparente avec les propres systèmes d'une plate-forme pourrait, par exemple, signifier que la plate-forme ne pourrait pas rechercher ou bloquer un code malveillant ; la plateforme doit en effet «discriminer» les mauvais logiciels. Pourtant, selon l'interprétation des dispositions des projets de loi, cela pourrait être involontairement interdit. De toute évidence, restreindre la capacité d'une plate-forme à empêcher un virus informatique d'infecter cette plate-forme ou ses utilisateurs, ou permettre la publication et la diffusion de désinformations, ne peut être bon pour notre sécurité nationale.
Pour être juste, les projets de loi contiennent des exceptions permettant à certaines pratiques commerciales de se poursuivre si nécessaire pour la cybersécurité. Mais il n'est pas clair que les exceptions soient suffisamment complètes, ou seront correctement interprétées par les organismes de réglementation et les tribunaux, pour garantir que les plateformes en ligne seront effectivement en mesure de se protéger de la cyber-malveillance. Nous ne devrions pas avoir à prendre ce risque, aussi minime soit-il.
Cela ne veut pas dire que la Big Tech devrait être à l'abri de tout examen ou réglementation. En effet, les révélations de ces dernières années sur certaines capacités et opérations de plusieurs entreprises ont mis en lumière certaines pratiques intrusives et abusives qui, selon la plupart des gens, devraient être interdites.
Ainsi, il existe un argument de politique publique raisonnable pour l'imposition tardive de certaines restrictions à une industrie qui a été très délibérément autorisée à se développer sans restriction et en fait avec des protections juridiques spéciales (telles que l'article 230 du Communications Decency Act, qui exemptait plateformes en ligne de toute responsabilité pour ce que leurs utilisateurs ont publié).
Pourtant, la façon dont le Congrès cherche à imposer ces restrictions crée des problèmes potentiels. En raison de la possibilité qu'une pratique ou une capacité technologique donnée puisse être utilisée aussi bien à de bonnes fins (par exemple, créer des fonctionnalités supplémentaires ou plus sûres pour les utilisateurs) qu'à de mauvaises fins (bloquer injustement la capacité des utilisateurs à faire des sélections ou les obliger à utiliser des options), il est difficile d'établir une règle qui interdit simplement une pratique ou une capacité particulière.
De plus, les projets de loi utilisent des outils antitrust qui ne sont pas bien adaptés à la résolution de problèmes complexes qui nécessitent de fines distinctions dans les pratiques commerciales et le discours en ligne. Réglementer la technologie pour obtenir des résultats subjectifs - tels qu'une concurrence accrue et équitable - est intrinsèquement difficile et rendu encore plus difficile par son innovation constante. En revanche, réglementer en fonction de résultats objectifs – comme la réduction du nombre de décès dus à des drogues impures ou à des accidents de voiture – est plus simple. Compte tenu des difficultés reconnues de légiférer dans ce domaine, il est donc particulièrement important de veiller à ce que les règles proposées n'aient pas de conséquences imprévues.
La réalité est que, pour des raisons sociales et politiques, une certaine réglementation des Big Tech est appropriée et apparemment inévitable. Par conséquent, nous sommes dans un débat entre les partisans qui prétendent que les plateformes en ligne ont exagéré les risques des factures et minimisé la valeur des exceptions de sécurité, et les opposants qui disent qu'une législation bien intentionnée mais trop large pourrait faire plus de mal que ce qui est recherché pour être guéri.
Il y a du mérite dans les deux positions. Mais lorsque la sécurité nationale est en jeu, il est difficile de voir pourquoi nous devrions prendre le risque, surtout lorsqu'il existe un moyen facile de minimiser ce risque en entreprenant ce qui aurait dû être fait à un stade beaucoup plus précoce du processus législatif : une sécurité nationale examen de la législation proposée.
Lorsque les cybercriminels et les agences d'espionnage de pays tels que la Russie, la Chine, la Corée du Nord et l'Iran découvrent un réseau informatique dans lequel ils veulent pénétrer, ils sondent le réseau à la recherche de moyens d'y pénétrer. testing » sur leurs propres systèmes dans l'espoir de découvrir des vulnérabilités avant ces cyber-adversaires. Nous savons ce que ces pays vont faire lorsqu'ils affronteront des réseaux qui seront obligés de se conformer à l'un de ces projets de loi, à savoir chercher des moyens d'exploiter les nouvelles règles.
Ainsi, nous devrions d'abord effectuer nos propres "tests d'intrusion" en établissant un examen par le gouvernement fédéral des vulnérabilités susceptibles d'être créées, même involontairement, par toute loi dans ce domaine avant qu'elle ne devienne effective. Cela pourrait être fait, par exemple, en demandant au directeur national de la cybersécurité de coordonner un examen accéléré avec les ministères de la justice, de la sécurité intérieure et de la défense, le bureau du directeur du renseignement national et le renseignement et d'autres comités pertinents du Congrès, en faisant rapport sur les problèmes techniques potentiels avec les factures et les solutions possibles.
Le risque de ne pas le faire n'est ni anodin ni un risque que nous devrions prendre ; et le seul risque de faire un tel examen est un court délai. Dans ce cas, c'est le bon risque à prendre.
Glenn S. Gerstell est conseiller principal au Center for Strategic & ; Études internationales. Il a été avocat général de l'Agence de sécurité nationale de 2015 à 2020.