Vers une souveraineté numérique européenne ?
Dans le cadre d’une série de trois conférences sur le thème « Compliance et Union européenne », l’Association française des juristes d’entreprise (AFJE) a proposé une table ronde sur la question épineuse de la souveraineté numérique européenne. Respect des données contre soutien à l’innovation, toute-puissance américaine contre volonté de l’Europe de peser dans le jeu du stockage des données, les points soulevés étaient nombreux.
C’est par une citation du leader de Grateful Deads, John Perry Barlow, que Marc Mossé, président de l’AFJE, a introduit son intervention. Le chanteur était en effet connu pour ses positions libertaires, lui qui fut en son temps le rédacteur de la Déclaration d’indépendance du cyberespace en 1996 et chantre de la liberté de l’internet. À cette époque, pourtant, « il n’y avait pas de place pour la souveraineté dans le cyberespace » puisque John Perry Barlow rejetait l’idée même de cyberespace, a analysé Marc Mossé. Aujourd’hui, en 2020, la souveraineté est revenue en force dans le débat sur le numérique, notamment combinée à l’idée de la souveraineté stratégique. Pour Marc Mossé, le droit peut précisément aider « à concilier des injonctions contradictoires », divisées entre « l’impérieuse nécessité de protéger les libertés fondamentales » et « celle de favoriser l’innovation ». Le récent RGPD, qui date de 2018, garantit la protection des données personnelles et reste « le texte le plus exceptionnel » à ce titre. Dans ce cadre complexe, « Le droit est un outil de régulation qui peut protéger les droits fondamentaux et les entreprises tout en encourageant l’innovation ». Car derrière ces questions sont sous-tendus d’importants enjeux économiques, énoncés dans le projet européen de Digital Market Act (DMA), ensemble de textes législatifs proposés par la Commission européenne qui cherche à garantir que les grandes plateformes, dont certaines se révèlent être des « contrôleurs d’accès » sur les marchés numériques, se comportent équitablement en ligne. Ces questionnements ne sont pas seulement des questions théoriques. Mais de vrais sujets économiques. En effet, d’ici 2022, 62 % de la croissance proviendra du numérique. « C’est l’avenir de nos économies », estime ainsi Marc Mossé.
En Europe, sommes-nous un peu trop « timides », en estimant que face aux lois extraterritoriales américaines, le combat est perdu d’avance ? Possible, pourtant, « le RDGP a fixé des standards internationaux », a tenu à rappeler Marc Mossé, précisant bien que « la souveraineté n’est pas le souverainisme ». Ainsi, le président de l’AFJE s’est montré convaincu que l’Europe peut être un rule maker en fixant elle aussi des standards internationaux.
La souveraineté numérique en question
Des mots introductifs enthousiasmants, que ne contesterait pas Florence G’sell, agrégée de droit privé et maîtresse de conférences à Sciences Po, spécialiste des nouvelles technologies et du droit. Certes, il est toujours étrange d’ « imaginer la souveraineté quand on a le sentiment de la perdre ». Mais rappelle l’experte, la « souveraineté numérique n’est pas nouvelle ». L’informaticien américain et pionnier d’internet, David Clark, l’a conceptualisée dès 1992. « Déjà à l’époque le programme de revendication libertaire des pionniers allait à l’encontre d’une souveraineté étatique », a rappelé Florence G’Sell. Quelques mots qui lui ont permis de rappeler la bonne définition : « La souveraineté numérique est la manière dont l’État affirme sa puissance dans un univers virtuel et dématérialisé ».
Au départ, précise-t-elle, le réseau a été créé aux États-Unis par des chercheurs de l’administration de la Défense, « des gens qui ne voulaient pas de régulation, de contrôle et qui pensaient qu’avec des connexions en ligne, on allait faciliter la connexion entre les gens ». Dans les années 90, les débats continuent. Mais internet n’est pas un Far West, il n’y a pas d’exceptionnalisme de l’internet. « C’est un espace que l’on peut réguler. Il se passe avec internet ce qui s’est passé avec la radio. C’est une grande plateforme pas totalement organisée en monopoles, mais dans lequel on s’interroge sur la toute-puissance des entreprises américaines », d’après les travaux du juriste américain Tim Wu.
À l’échelle de l’Europe, dans les années 2000 sont apparues la directive e-commerce et de nouvelles réglementations. « L’idée est de réguler les marchés numériques », tout en gardant en tête ce « qui relève de notre dépendance technologique ». Par exemple, le fait que l’État a choisi (en juin dernier) Microsoft pour le stockage des données de santé au détriment d’OVH, une société française, peut donner « le sentiment d’avoir perdu tellement de terrain que nous sommes dans une situation de dépendance ». Alors oui, reconnaît Florence G’Sell, « ces acteurs sont pour beaucoup américains », et sont en « position de collecter et traiter nos données aux États-Unis ». Le droit peut-il aider par rapport aux fuites de nos données ou nous plonge-t-il dans une dépendance numérique ? « On peut envisager le droit non seulement comme un outil de contrôle mais aussi qui va favoriser la technologie et l’innovation », tranche la professeure de droit.
Du côté des autorités européennes, Anna Cavazzini, présidente de la Commission du marché intérieur et de la protection des consommateurs (IMCO) au Parlement européen, a expliqué que la commission avait proposé d’établir un digital single market (marché unique numérique) afin d’avoir « les mêmes règles dans tous les pays de l’Union européenne ». Le but ? Faire face aux grandes compagnies et harmoniser les pratiques. Et aussi permettre de répondre à la question brûlante : comment être plus indépendants dans ce secteur ? Elle estime qu’il existe « de très importants gatekeepers qui rendent les choses plus difficiles pour les petites entreprises qui veulent évoluer ». Derrière, les questions des droits des consommateurs, de la protection des données et de la démocratisation d’internet émergent mais également celle de la liberté d’expression confrontée aux discours haineux. À l’heure actuelle, il n’y a pas encore eu de vote au Parlement, mais le but « d’une législation européenne est d’être forte face aux monopoles ». Certains points sont au cœur des préoccupations des Verts européens (auxquels appartient Anna Cavazzini) comme la « publicité ciblée » qui devrait être intégrée dans leurs propositions (avec son corollaire, la collecte des données). Concernant le Digital Services Act (DSA), elle a rappelé que ce n’était pas une bonne idée de « fracturer » le contrôle. Elle espère donc « une agence de contrôle européenne ».
Emmanuelle Mignon, avocate, ancienne conseillère d’État et associée du pôle public, réglementaire et environnement du cabinet August Debouzy depuis 2015, est plus rassurante sur cette peur d’une dépendance européenne aux GAFAM. La souveraineté numérique est « la capacité de l’Union européenne d’imposer ses lois à l’ensemble des acteurs de la sphère numérique ». Pour rétablir l’équilibre, elle rappelle que « nous arrivons à imposer des lois françaises à ces acteurs américains », comme le prouve l’exemple de Pharos, l’acronyme de la Plateforme d’harmonisation, d’analyse, de recoupement et d’orientation des signalements, site créé en 2009 par le gouvernement français pour permettre aux internautes de signaler des contenus et comportements illicites repérés en ligne. « Nous voyons aussi des progrès face à la gravité des sanctions », a-t-elle estimé. Bien sûr, elle confirme que la question de la dépendance technologique est au cœur des problématiques actuelles, mais c’est un retard, qui pour elle, est en train d’être comblé.
Dans ce contexte, le Cloud Act, texte sécuritaire américain adopté en 2018, inquiète en Europe. En effet, il permet aux forces de l’ordre ou aux agences de renseignement américaines d’obtenir des opérateurs télécoms et des fournisseurs de services de cloud computing, des informations stockées sur leurs serveurs, que ces données soient situées aux États-Unis ou à l’étranger. Une loi dont l’origine réside dans « une histoire banale » : un trafiquant de drogue non américain faisait du trafic sur le sol américain. Les États-Unis demandent donc à avoir accès à ses e-mails. Microsoft refuse car les données sont stockées en Irlande. Un problème de conflit de loi apparaît. « Le cloud est une armoire virtuelle, certes, mais une armoire quand même », explique Emmanuelle Mignon, une armoire que l’on ne peut pas faire ouvrir dans n’importe quelle situation. D’où la nécessité d’une coopération internationale. Mais les procédures sont longues et soumises aux aléas politiques. Dans ce cas de figure, il est apparu qu’il était plus simple pour la justice américaine de demander directement ces données à Microsoft plutôt que de se lancer dans la procédure classique. Après cinq ans de tractation, l’affaire s’est soldée par le vote du Cloud Act. Désormais, la saisie de documents ou d’e-mails stockés dans des datacenters de sociétés américaines même situés à l’étranger, par des forces de polices ou agences de renseignement, ont un cadre légal. Dans l’hypothèse où le prestataire se retrouve face à un conflit de loi, il peut se tourner vers la juridiction américaine. Enfin, il existe des executive agreements qui permettent d’offrir une réciprocité aux pays partenaires américains.
Emmanuelle Mignon rappelle toutefois que le Cloud Act ne permet pas de récupérer n’importe quelle donnée de n’importe quel ressortissant individuel. « Ces demandes sont encadrées par une législation protectrice pour lutter contre la criminalité ». Pour elle, les polémiques sur le Patriot Act (entraînant une crainte que des entreprises américaines mettent la main sur les données de santé) sont un faux sujet. « Les Américains sont nos alliés mais il faut se donner les moyens d’une coopération plus égale », a-t-elle concédé, reconnaissant que par effet miroir, la législation américaine révèle la fragilité de la législation européenne. Cela relance l’idée d’un cloud souverain. Mais les quelques coups d’essai comme Cloudwatt ou Numergy, se sont révélés jusqu’à présent des échecs.
Vers un cloud souverain européen
Pourtant, la donne pourrait changer. Hubert Tardieu, ingénieur informatique passé par IBM et EDF, et familier des opérateurs de téléphonie mobile, a rappelé la croissance exponentielle de l’utilisation du cloud. « Le taux de cloud utilisé par les entreprises concernant le traitement informatique de leurs données a augmenté de 16 à 26 % entre 2018 et 2020 », a-t-il précisé. Selon une étude de l’International Data Corporation, les revenus des vendeurs de produits d’infrastructure informatique pour les environnements cloud (publics et privés) ont augmenté de 9,4 % par rapport à l’année précédente au troisième trimestre 2020. A contrario, les investissements dans les infrastructures informatiques traditionnelles, non liées au cloud, ont diminué de 8,3 % par rapport à l’année précédente.
Le taux de pénétration du cloud est donc en croissance. Des craintes apparaissent. « On ne peut pas laisser nos industries stocker leurs données aux États-Unis par le biais des GAFAM car les risques de se faire piller sont importants ». Comment alors protéger les données industrielles ? Hubert Tardieu a été l’un des initiateurs de Gaia-X, un projet de développement d’une infrastructure de données qui se veut une alternative aux services de Google, Amazon ou Microsoft. Initiative franco-allemande à dimension européenne, soutenue initialement par 22 entreprises de divers secteurs économiques (comme Deutsche Telekom, Bosh, Siemens, SAP, BMW côté allemand et Atos, OVHcloud, Scaleway, Orange, Safran, côté français), elle vient tenter de conjurer le sort malheureux réservé aux premiers essais. « Le but est d’arriver à 60 % du traitement des informations dans les quatre prochaines années », a expliqué Hubert Tardieu.
Le « label » se construit autour des principes d’indépendance face aux lois extraterritoriales, de transparence, et de réversibilité. Bercy souhaite voir les premières certifications Gaia-X être apposées dès le premier semestre 2021. Gaix-X pourrait s’avérer être un moyen pour lutter contre les réticences à utiliser le cloud : son absence de portabilité (il est très cher de sortir ses données et d’aller chez un autre fournisseur) et l’absence d’interopérabilité. Dans le secteur de la compliance, « cette capacité à construire en commun entre les utilisateurs et les fournisseurs européens et américains » est un vrai plus. Pour Hubert Tardieu, l’approche du digital pour le business en Europe est au cœur de l’avenir, puisque 20 % des 750 milliards d’euros de relance seront consacrés au digital. Une part du gâteau magistrale et l’occasion de rééquilibrer les forces en présence dans le secteur du numérique.