L’Association Française des Juristes d’Entreprises (AFJE) organisait le jeudi 4 février un séminaire en ligne sur la souveraineté numérique européenne. Est-elle possible ? Sous quelles conditions ? Autant de questions passionnantes sur une thématique cruciale pour notre avenir, au croisement du droit, de la technologie, et du politique.
L’avènement de l’idée d’une souveraineté numérique européenne
L’idée d’une souveraineté numérique européenne est relativement récente. Avec le développement exponentiel d’une économie basée sur la data, la Commission européenne a pour ambition de faire de l’UE un véritable marché unique des données. Ceci permettra la favorisation de l’émergence d’acteurs européens du numérique, au sein d’un tissu industriel dynamisé. L’UE souhaite également bâtir un cadre règlementaire pour ce nouveau marché aux contours, pour l’heure, encore un peu flou.
La présentation mi-décembre des textes DMA (Digital Market Act) et DSA (Digital Services Act), eux-mêmes faisant suite aux réflexions engagées en amont au début de l’année 2020 par la Commission Européenne (livre blanc sur l’intelligence artificielle, et stratégie sur les données), a permis un coup d’accélérateur vital sur ces questions. Elle éclaire sur la nature des politiques règlementaires nécessaires pour que l’industrie européenne s’adapte aux enjeux de l’économie du 21e siècle.
La souveraineté numérique européenne en question
Les intervenants du séminaire (Marc Mossé, président de l’AFJE et directeur des affaires juridiques et affaires publiques chez Microsoft Europe ; Anna Cavazzini, présidente de la Commission du marché intérieur et de la protection des consommateurs ; Hubert Tardieu, CEO de Gaia X ; Emmanuelle Mignon, haute-fonctionnaire ; et Florence G’sell, professeure de droit et co-dirigeante de la chaire ‘Souveraineté numérique’ à Sciences Po Paris) revinrent longuement sur ces enjeux.
Dans un premier temps il fut question de définition – ou, plutôt, de la difficulté à clairement définir ce concept. Si la souveraineté numérique européenne est fortement liée à l’idée d’autonomie stratégique (récemment mise en lumière par Josep Borell, haut représentant de l’Union Européenne pour les affaires étrangères et les affaires de sécurité), les intervenants insistèrent sur l’effort important à effectuer par les juristes dans les définitions. Mais l’idée sous-jacente derrière ce concept est fondée sur une volonté de protéger les données individuelles et industrielles, et de permettre à des acteurs numériques européens de grandir dans un écosystème qui tire profit de cette data. Trop de start-ups européennes ne parviennent pas à atteindre une taille critique, et sont au contraire rachetées par de grands groupes étrangers du numérique. La souveraineté numérique européenne vise, en partie, à inverser cette tendance.
Une étude de l’Institut IDC a récemment montré que, d’ici 2022, 62% de la croissance viendra du numérique. La question n’est donc pas uniquement théorique – mais bien plus largement économique, politique, stratégique. Mais comment concilier le ‘International Data Flow’, la circulation mondiale des données, avec une protection au niveau local ?
Vers un Cloud européen ?
Le CLOUD Act américain (Clarifying Lawful Overseas Use of Data Act), passé en 2018, a renforcé ce sentiment de nécessité d’une souveraineté numérique européenne. Il part pourtant d’une histoire des plus banales. Un trafiquant de drogue non-américain fut arrêté aux Etats-Unis. Mais en souhaitant accéder à sa boite mail, Microsoft refusa l’accès ; celle-ci étant située en Irlande, la loi européenne de règlementation des données s’appliquait. Les Etats-Unis attaquèrent alors Microsoft ; ces-derniers perdirent en première instance, mais gagnèrent en appel.
Le CLOUD Act fut formulé en réponse à cette affaire. Avec, lorsque les Etats-Unis demandent des données à un serveur stocké à l’étranger, et si la donnée est sous possession américaine, l’Etat tiers doit se conformer à la demande américaine. Bien que des conditions règlementaires existent (cas légitimes et justifiés, nécessité d’un mandat, principe de réciprocité avec les pays qui acceptent…), ce texte de loi poussa les réflexions sur l’émergence d’un Cloud européen souverain.
Gaia-X est justement issu de ces interrogations. Hubert Tardieu, son CEO, en présenta les caractéristiques. La croissance de l’utilisation des services Cloud par des entreprises européennes depuis 2018 est de plus de 63%. 16% d’entre elles l’utilisaient en 2018 – contre 28% en 2020. La croissance est exponentielle, et ne devrait que s’accélérer lors de la prochaine décennie.
Or, la plupart des grands fournisseurs de Cloud sont américains : Amazon Web Services, Microsoft Azure… Alors que l’Union Européenne a en grande partie raté le virage des données individuelles (qui ont très largement fait le business model des GAFAM), l’idée est désormais de monter à bord du train des données industrielles. Gaia-X contribue à cet objectif, en établissant des ‘policy rules’ clairs entre fournisseurs et utilisateurs.
De la nécessité de réguler le cyberespace
Pour le mettre en un mot, la souveraineté numérique réfère à la manière dont l’Etat affirme sa puissance dans un espace numérique dématérialisé, virtuel. Alors que beaucoup d’acteurs du cyberespace ne voulaient pas de règlementation à son émergence dans les années 1990s, des voix se sont depuis élevées. Si au 21e siècle le cyberespace a vocation à devenir un espace crucial de nos vies, il ne peut être un espace sans foi ni loi. Tim Wu, juriste américain, avait d’ailleurs été l’un des premiers à mettre en avant que l’Internet est un espace comme un autre.
Il y a désormais un consensus assez large sur cette nécessité d’ordre juridique. Personne ne veut d’un Far West numérique – mais, pour pérenniser notre avenir, il est encore l’heure de pousser pour une plus large extension de ces règles au niveau européen.