Souveraineté numérique dans le cyberespace (7)

L’Europe : un \ »marché unique de la donnée\ » sous dépendance numérique ?

Nous proposons à travers plusieurs études, dont celle-ci constitue la septième contribution, une analyse juridique globale de la souveraineté numérique dans le cyberespace.

Publié le
Lecture : 12 min
Souveraineté numérique dans le cyberespace (7)
Souveraineté numérique dans le cyberespace (7) - © journaldeleconomie.fr

Nous interrogeons ici la règlementation européenne :
 
 Les Français et les Européens transfèrent massivement leurs données personnelles sur le continent nord-américain. La France fait partie certainement des premiers exportateurs mondiaux de vie privée. (…)
Nous avons accepté des contrats que nous n’avons jamais lus, aux clauses obscures et changeantes par ailleurs. Nous avons cédé les droits et la propriété de souvenirs, d’images, de notre passé, de nos pensées à des sociétés de services informatiques sur un autre continent régi par un autre droit, une autre langue et sur lequel la moindre procédure judiciaire est d’un coût dissuasif.
Pierre BELLANGER
 
L’Europe de la commission Junker (2014-2019) s’était donné pour objectif de créer un marché unique de la donnée, dans le cadre du plan dénommé « Horizon 2020 ».
C’est tout particulièrement sous l’angle de la cybersécurité que cette approche s’est traduite.
 
Ainsi, ce que l’on nomme désormais le « Paquet numérique 1 », par lequel, l’Union européenne a accompagné ce mouvement et l’a largement amplifié, s’est traduit par :

  • La directive UE 2013/40 relative aux attaques contre les systèmes d’information ;
  • Le règlement UE 910/2014 du 23 juillet 2014 sur l’identification électronique et les services de confiance (eDIAS) :
  • Le règlement UE 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel ;
  • La directive UE 2016/943 du 8 juin 2016 sur la protection du secret des affaires (sécurité des données stratégiques) ;
  • La directive UE 2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (NIS) ;
  • Règlement (UE) 2018/1807 du Parlement européen et du Conseil du 14 novembre 2018 établissant un cadre applicable au libre flux des données à caractère non personnel dans l’Union européenne.

 
Si ces textes pris dans leur ensemble établissent des règles strictes de sécurité numérique, à l’instar du SECNUMCLOUD érigé par l’ANSSI en France, ou avec la création de statuts spécifiques des Opérateurs de Services Essentiels (OSE) et des Fournisseurs de services numériques (FSN) issus de la Directive NIS, aucune restriction n’a été intégrée, eu égard à la nationalité des opérateurs de cloud ou de services numériques, ni par conséquent compte tenu de l’éventuelle l’ingérence par le truchement de règlementations extra-européennes.
 
La souveraineté numérique est ainsi l’angle mort des textes de cybersécurité. Nous revenons ci-après sur l’état des lieux des règlementations européennes et leurs éventuelles imperfections en matière de souveraineté numérique.
 
 
La tentation extraterritoriale du RGPD
 
Dans le cadre du choc culturel eu égard à la place de la donnée personnelle dans l’économie numérique et à sa valeur associée, l’Europe a répliqué aux révélations d’Edward Snowden par la protection accrue des données des citoyens européens (RGPD) [1].
 
Ce faisant, la réglementation sur les transferts de données hors Union européenne a été remaniée par le règlement dans le double objectif d’harmonisation du cadre juridique applicable et de sécurisation des transferts de données afin d’assurer un contrôle renforcé sur le traitement de données personnelles en dehors de l’Union européenne.
 
Il ressort des disposions du RGPD quatre modes autorisés de transfert de données à caractère personnel :
 

  • Les transferts fondés sur une décision d’adéquation adoptée par la Commission européenne constatant qu’un territoire ou plusieurs secteurs déterminés dans le pays ou l’organisation internationale en question assure un niveau de protection adéquat [2] .

 

  • Sous réserve de l’autorisation de l’autorité de contrôle compétente comme la CNIL, peuvent être adoptées des clauses contractuelles (CCT) ad hoc entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données dans le pays tiers ou l’organisation internationale.

 

  • Les transferts dans le cadre des règles d’entreprise contraignantes (BCR) [3] . Pour être conformes au règlement, les BCR devront garantir leur caractère opposable et contraignant tant aux entités qui forment le groupe qu’aux personnes concernées par les traitements ainsi que leur effectivité par la mise en œuvre de dispositifs adéquats.

 

  • Les transferts en vertu d’une décision d’une juridiction ou d’une autorité administrative d’un pays tiers fondée sur un accord international tel qu’un traité d’entraide judiciaire, en vigueur entre le pays tiers demandeur et l’Union ou un État membre, sans préjudice d’autres motifs de transfert [4] .

 
À travers cette réglementation contraignante, l’Union européenne a clairement acté de l’extraterritorialité de son droit en matière de protection des données à caractère personnel, sous les articles 46 et suivants. Dès lors, cette législation trouve à s’appliquer pour les opérateurs numériques, sous-traitants d’entreprises européennes, les obligeant à présenter des garanties suffisantes et proportionnées en matière de sécurité des données.
 
Toutefois, comme nous l’avons précédemment soulevé, le cloud act notamment trouve à s’appliquer en violation de l’article 48 du RGPD et, in fine, l’opérateur américain pèse le risque le plus important selon le montant des amendes les plus conséquentes pour se soumettre, ou non, à la règlementation la plus stricte. C’est ainsi que le RGPD se voit en réalité limité dans son champ d’action malgré des amendes prononcées, encore insignifiantes en regard du chiffre d’affaires des big techs.
 
 
Une tentative d’indépendance numérique ?
 
Mais sur ce terrain de la protection des données à caractère personnel, la réplique est également venue des juges européens. Témoignant en effet d’un regain de souveraineté inattendu, la Cour de Justice de l’Union européenne (CJUE) [5] , a rendu un arrêt infligeant un camouflet aux autorités américaines.
 
En l’espèce, un internaute autrichien Maximilien Schrems du fait des révélations « d’espionnage numérique » dans la foulée du scandale Snowden-PRISM [6] , s’inquiétait que ses données personnelles recueillies depuis son compte Facebook, puissent être scrutées par la NSA ou le FBI, en vertu des lois américaines de lutte contre le terrorisme [7] . Or, si Facebook a effectivement son siège européen en Irlande, pour des raisons éminemment fiscales, les données sont quant à elles exportées, conservées et traitées depuis les data centers basés aux États-Unis. Dès lors, elles se trouvent placées sous le contrôle des autorités américaines et soumises aux activités des services de renseignement.
 
Ayant introduit un recours devant les juridictions irlandaises (non sans avoir tout d’abord essuyé un rejet de sa requête par l’Autorité de protection des données – équivalent de la CNIL), la High court de l’Eire (Haute Cour de justice), saisissait la CJUE d’une question préjudicielle (procès suspendu dans l’attente de l’interprétation de la règle par les instances suprêmes). Se livrant à l’analyse des normes en vigueur s’agissant de la protection des données personnelles, la CJUE devait trancher en regard de la Directive 95/46 aux termes de laquelle, sous l’article 28 notamment, il est énoncé que chaque pays membre de l’UE doit instituer une autorité de protection des données personnelles, que des voies de recours doivent être ouvertes aux citoyens concernant l’usage et l’exploitation de leurs données.
 
De même, il est prévu des modalités garantissant le niveau de sécurité des données personnelles des citoyens de l’UE. Enfin, dès lors que les données du compte Facebook étaient centralisées sur le territoire américain, la CJUE se devait d’examiner la décision américaine 2000/520 du 26 juillet 2000 (dite « SAFE HARBOR ») au vu des dispositions de la Directive 95/46 et de s’assurer qu’elle offrait les garanties nécessaires relatives au respect des règles de protection de la vie privée compatibles avec les normes européennes.
 
Ainsi, aux termes de l’arrêt du 6 octobre 2015, la CJUE a estimé que les États-Unis n’offraient précisément pas de garanties suffisantes quant à la sécurité des données à caractère personnel des citoyens de l’UE compte tenu des législations américaines particulièrement intrusives. Par conséquent, le « SAFE HARBOR » se voit être déclaré inopérant en regard des règles de confidentialité européennes érigées au titre la Directive 95/46.
 
Depuis, à la lueur du RGPD, il a été âprement négocié un nouvel accord « EU-US Privacy Shield » rendu public le 4 février 2016. Plusieurs exceptions demeurent, et notamment celles renforçant les obligations de coopération en matière de corruption internationale (FCPA) et de fiscalité personnelle (FATCA).
 
Le 12 juillet 2016, le Privacy Shield est finalement approuvé par la Commission européenne. Cependant, tout au long de son processus de rédaction, des voix se sont élevées pour faire part de leurs inquiétudes à l’encontre de certains points spécifiques comme la possibilité de recours juridictionnel aux États-Unis ou l’indépendance et la neutralité du médiateur Ombudsman.
 
Maximilien Schrems va introduire un nouveau recours contre Facebook, auprès de l’autorité de contrôle irlandaise, pays où siège l’entreprise. Saisie à son tour, la High Court (Cour suprême) irlandaise va à nouveau saisir la CJUE, en lui posant 11 questions préjudicielles, à la fois sur les clauses contractuelles types et le Privacy Shield, qui encadrait le transfert de données personnelles de Facebook Ireland Ltd à Facebook Inc (États-Unis).
 
Au vu de la capacité des autorités américaines d’accéder aux données personnelles censées relever du RGPD, même si elle est sous certaines conditions (sécurité nationale), la CJUE estime le Privacy Shield insuffisant pour assurer un niveau de protection adéquat. La section 702 du Foreign Intelligence Surveillance Act (FISA) ou encore le Cloud Act représentent notamment un conflit avec le RGPD (arrêt CJUE C-311/18  Data Protection Commissioner contre Facebook Ireland Ltd dit « Schrems II » du 16 juillet 2020).
 
Si le Privacy Shield se voit être annulé, cependant cette même décision de la CJUE, n’a pas invalidé les clauses contractuelles types (CCT), pourtant également invoquées dans la plainte par Maximilien Schrems.
 
Un nouvel accord semble se dessiner, mais tant que les USA n’auront pas renoncé à leurs lois de renseignement électronique (FISA, Freedom Act, Cloud Act), les données à caractère personnel des Européens feront toujours l’objet de collecte. Maximilien Schrems s’apprête d’ores et déjà à introduire un nouveau recours ce qui donnera lieu à un autre arrêt.
 
Cette velléité d’indépendance numérique suffira-t-elle si l’on se souvient des mots du Président américain, prononcés en février 2015, en réponse aux accusations d’espionnage numérique après les très nombreuses révélations de l’affaire Snowden, énonçant avec un ascendant affirmé que les États-Unis ont créé et diffusé Internet et que par conséquent ils sont propriétaires des données qui empruntent ce réseau. En termes de domination, on ne saurait être plus clair …
 
 
Les Données non personnelles (DNNP)
 
Le « Règlement (UE) 2018/1807 du Parlement européen et du Conseil du 14 novembre 2018 établissant un cadre applicable au libre flux des données à caractère non personnel (DNNP) dans l’Union européenne » a été publié au Journal officiel le 28 novembre 2018.
 
Texte d’importance, il instaure un principe de libre circulation, celui portant sur les données non personnelles (après les biens, les personnes, les capitaux).
 
Son objectif principal tient à la stimulation du marché unique numérique et à la volonté d’exploiter plus efficacement les potentiels des techniques numériques en réduisant les possibilités pour les États membres d’instaurer ou maintenir des obligations liées à la localisation des données, ainsi qu’en mettant en œuvre un principe d’accès et de partage des données.
Les exigences nationales de localisation des données sont définies comme suit par le règlement 2018/1807 (article 3.5) :
 
 « toute obligation, interdiction, condition, limite ou autre exigence prévue par les dispositions législatives, réglementaires ou administratives d’un État membre ou résultant des pratiques administratives générales et cohérentes dans un État membre et les organismes de droit public, notamment dans le domaine des marchés publics, sans préjudice de la directive 2014/24/UE, qui impose le traitement des données sur le territoire d’un État membre donné ou qui entrave le traitement des données dans un autre État membre ».
 
L’article 4 du règlement pose le principe de l’interdiction des exigences de localisation des données, sauf si elles sont justifiées par des motifs de sécurité publique.
 
Le concept de sécurité publique, au sens de l’article 52 du traité sur le fonctionnement de l’Union européenne et tel que l’interprète la Cour de justice, englobe à la fois la sécurité intérieure et extérieure d’un État membre, mais aussi les questions de sûreté publique, afin, en particulier, de faciliter la détection des infractions pénales, les enquêtes et les poursuites en la matière.
 
Par ailleurs, en matière de sécurité nationale, le même traité (article 4§2) prévoit une absence de délégation à l’Union européenne par les États membres :
 
L’Union respecte l’égalité des États membres devant les traités ainsi que leur identité nationale, inhérente à leurs structures fondamentales politiques et constitutionnelles, y compris en ce qui concerne l’autonomie locale et régionale. Elle respecte les fonctions essentielles de l’État, notamment celles qui ont pour objet d’assurer son intégrité territoriale, de maintenir l’ordre public et de sauvegarder la sécurité nationale. En particulier, la sécurité nationale reste de la seule responsabilité de chaque État membre.
Traité sur l’Union européenne, article 4 § 2
 
Il convient dès lors de prendre en considération le stockage souverain des données stratégiques sous l’angle de la sécurité nationale afin de les localiser sur le territoire national, d’une part, mais aussi de pouvoir les confier à un centre d’hébergement de données souverain, d’autre part.
 
Dans ce contexte, un dispositif interministériel de sécurité des activités d’importance vitale avait été inscrit dans le Code de la défense par la loi n°2005-1550 du 12 décembre 2005, complété par un décret n°2006-212 du 23 février 2006. Piloté par le Secrétariat Général de la Défense et de la Sécurité Nationale (SGDSN), le dispositif vise à protéger les opérateurs d’importance vitale dont le bon fonctionnement est indispensable à la nation.
 
C’est en ce sens qu’avait été pensé le régime des Opérateurs d’Importance Vitale (OIV) tel que prévu désormais par les articles L. 1332-1 et L. 1332-2 du code de la défense :
 
Les opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation, sont tenus de coopérer à leurs frais dans les conditions définies au présent chapitre, à la protection desdits établissements, installations et ouvrages contre toute menace, notamment à caractère terroriste. Ces établissements, installations ou ouvrages sont désignés par l’autorité administrative.
 
Et, aux termes de l’article R.1332-1 du Code de la défense, les opérateurs d’importance vitale sont ceux :
 
« gérant ou utilisant un ou des établissements ou ouvrages, une ou des installations dont le dommage ou l’indisponibilité ou la destruction par suite d’un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement, d’obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou de mettre gravement en cause la santé ou la vie de la population ».
 
C’est sur ces fondements juridiques que le cloud souverain doit voir le jour au lieu de s’en remettre à un « cloud de confiance » ouvert à tout vent du fait d’opérateurs et d’agents extra-européens.
 
 
La Directive (UE) NIS du 7 juillet 2016
 
La loi n°2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité a permis l’adaptation du droit positif aux standards européens de cybersécurité (directive NIS) consacrant les opérateurs de services essentiels et les fournisseurs de service numérique, indépendamment des opérateurs d’importance vitale que la France avait préalablement créés.
 
Ce faisant, l’objectif affirmé de la loi est d’assurer la sécurité des réseaux et systèmes d’information en renforçant leur capacité à résister, à un niveau de confiance donné, à :
 
« des actions qui compromettent la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, et des services connexes que ces réseaux et systèmes d’information offrent ou rendent accessibles. »
 
L’ANSSI a élaboré un référentiel strict de sécurité numérique visant es Opérateurs de Services Essentiels (OSE) et les Fournisseurs de Services Numériques (FSN).
 
Les opérateurs de services essentiels (OSE) sont définis comme des opérateurs, publics ou privés, offrant des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture desdits services.
Les règles de sécurité applicables sont également fixées par l’État, en regard notamment :

  • De la gouvernance des la sécurité des réseaux et systèmes d’information ;
  • De la protection des réseaux et systèmes d’information ;
  • De la défense des réseaux et systèmes d’information ;
  • De la résilience des activités.

 
La loi a également institué un statut de fournisseur de service numérique (FSN) retenu comme étant « tout service fourni normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services, savoir :

  • Les services de place de marché en ligne (conclusion de vente à distance) ;
  • Les services de moteur de recherche en ligne (réponses à une requête par voie de recherche sur des bases de données électroniques) ;
  • Les services d’informatique en nuage – ou cloud – entendu comme un ensemble de ressources informatiques pouvant être partagées.

 
Dans le cadre de leurs services, au titre des obligations mises à leur charge, les opérations de service numérique doivent garantir un niveau élevé de sécurité des réseaux et des systèmes d’information à leurs activités, eu égard aux risques existants.
 
De fait, il leur appartient d’identifier et d’actualiser lesdits risques existants et/ou d’affecter leurs réseaux et systèmes et d’adopter des contre-mesures dans les domaines prévus par la loi (article 12) :

  • La sécurité des systèmes et des installations ;
  • La gestion des incidents ;
  • La gestion de la continuité des activités ;
  • Le suivi, l’audit et le contrôle ;
  • Le respect des normes internationales.

 
Toutefois, ces critères techniques n’englobent pas précisément les aspects de règlementation, notamment les ingérences sous forme d’extraterritorialité des lois étrangères dans le cyberespace européen.
 
 
L’Europe ne doit pas être une colonie numérique
 
Il est donc essentiel que les acteurs publics établissent un cadre économique favorable à l’émergence de nouveaux champions industriels de la donnée, dans un cadre souverain. Cette impulsion se traduit actuellement par une prise de conscience nécessaire, comme en témoigne l’énergie de Thierry Breton, commissaire européen au marché intérieur, en charge notamment de la souveraineté technologique.
 
Il convient encore de susciter un désir d’alliances industrielles communes, comme le furent Ariane ou Airbus en leur temps. Il faut créer un nouvel enthousiasme continental autour de grands projets d’instruments technologiques innovants qui font actuellement défaut.
 
Pierre Bellanger ne le dit pas autrement :
 
« Comme au bon vieux temps du Commissariat général du plan, il faut coordonner sur plusieurs années une dynamique nationale et européenne du logiciel en réseau, à l’instar de nos réussites passées : Airbus aurait pu être le nom d’un logiciel européen d’exploitation pour mobile, mutualisé entre les principaux opérateurs de télécommunications de l’Union. » (La souveraineté numérique, Stock, 2014).
 
Il est nécessaire, pour combler le vide stratégique patent – avec une vision quasi néocolbertiste – de désigner les filières d’avenir et de créer un cadre attractif, avec le concours des états dans leur pouvoir de gouvernance régalienne de la donnée. Les Chinois l’ont fait avec leur plan Made in China 2025 ciblant 10 secteurs d’innovation jugés stratégiques, mais aussi à l’instar d’un Galileo qui est une performance européenne à saluer en matière de GPS alternatif.
 
Au lieu de financer sans discernement des start-up vouées à l’échec ou rachetées in fine par des opérateurs extra-européens, des secteurs alternatifs doivent être embrassés tels que l’e-santé, les fintechs, les drones, les objets connectés, et au-delà des moyens ou des outils, faire émerger des finalités économiques d’usage déterminantes. Il faut être en capacité de générer des crypto-monnaies souveraines interopérables comme le souhaitait déjà Christine Lagarde quand elle était encore au FMI et désormais à la tête de la BCE précisément.
 
In fine, cette Europe-puissance de la donnée doit, pour ce faire, affirmer une véritable indépendance numérique, comme fut acté le choix de l’autonomie énergétique dans la France gaullienne.
 
 
Partie 1 : Souveraineté numérique dans le cyberespace (1) (journaldeleconomie.fr)
Partie 2 : Souveraineté numérique dans le cyberespace, (2) (journaldeleconomie.fr)
Partie 3 : Souveraineté numérique dans le cyberespace (3) (journaldeleconomie.fr)
Partie 4 : Géopolitique de l’hébergement de données et souveraineté numérique dans le cyberespace (4) (journaldeleconomie.fr)
Partie 5 : Géopolitique de l’hébergement des données et souveraineté numérique dans le cyberespace (5) : Le cas de la Russie (journaldeleconomie.fr)
Partie 6 : Souveraineté numérique dans le cyberespace (6) (journaldeleconomie.fr)
 
A suivre …

 


[1] Les révélations de l’affaire Snowden n’ont également pas été étrangères à cette prise de conscience et ce besoin de protéger la vie privée face aux intrusions numériques

[2] RGPD Article 45
[3] RGPD Article 47
[4] RGPD Article 48
[5] Aff C-362/14 du 6 octobre 2015
[6] Où il était mis en évidence que Mickey n’est pas le seul à avoir de grandes oreilles
[7] Patriot act, devenue Freedom act

Par Olivier de MAISON ROUGE
Avocat – Docteur en droit
Auteur de « Cyberisques. La gestion des risques juridiques à l’ère numérique » (LexisNexis, 2018)
Dernier ouvrage publié : « Gagner la guerre économique. Plaidoyer pour une souveraineté économique & une indépendance stratégique » VA éditions, mars 2022

Une réaction à partager ? Laissez votre commentaire
Le Journal de l'Economie est un quotidien d'information économique en ligne, fondé en 2013 par VA Press. VA Press est le premier éditeur d’information francophone entièrement dédié à l'univers corporate proposant un positionnement éditorial hybride entre l'information et la réflexion.
Suivez-nous sur Google NewsJournal de l'Économie. Soutenez-nous en nous ajoutant à vos favoris Google Actualités.

Laisser un commentaire

Souveraineté numérique dans le cyberespace (7)

L’Europe : un \ »marché unique de la donnée\ » sous dépendance numérique ?

Nous proposons à travers plusieurs études, dont celle-ci constitue la septième contribution, une analyse juridique globale de la souveraineté numérique dans le cyberespace.

Publié le
Lecture : 12 min
Souveraineté numérique dans le cyberespace (7)

Nous interrogeons ici la règlementation européenne :
 
 Les Français et les Européens transfèrent massivement leurs données personnelles sur le continent nord-américain. La France fait partie certainement des premiers exportateurs mondiaux de vie privée. (…)
Nous avons accepté des contrats que nous n’avons jamais lus, aux clauses obscures et changeantes par ailleurs. Nous avons cédé les droits et la propriété de souvenirs, d’images, de notre passé, de nos pensées à des sociétés de services informatiques sur un autre continent régi par un autre droit, une autre langue et sur lequel la moindre procédure judiciaire est d’un coût dissuasif.
Pierre BELLANGER
 
L’Europe de la commission Junker (2014-2019) s’était donné pour objectif de créer un marché unique de la donnée, dans le cadre du plan dénommé « Horizon 2020 ».
C’est tout particulièrement sous l’angle de la cybersécurité que cette approche s’est traduite.
 
Ainsi, ce que l’on nomme désormais le « Paquet numérique 1 », par lequel, l’Union européenne a accompagné ce mouvement et l’a largement amplifié, s’est traduit par :

  • La directive UE 2013/40 relative aux attaques contre les systèmes d’information ;
  • Le règlement UE 910/2014 du 23 juillet 2014 sur l’identification électronique et les services de confiance (eDIAS) :
  • Le règlement UE 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel ;
  • La directive UE 2016/943 du 8 juin 2016 sur la protection du secret des affaires (sécurité des données stratégiques) ;
  • La directive UE 2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (NIS) ;
  • Règlement (UE) 2018/1807 du Parlement européen et du Conseil du 14 novembre 2018 établissant un cadre applicable au libre flux des données à caractère non personnel dans l’Union européenne.

 
Si ces textes pris dans leur ensemble établissent des règles strictes de sécurité numérique, à l’instar du SECNUMCLOUD érigé par l’ANSSI en France, ou avec la création de statuts spécifiques des Opérateurs de Services Essentiels (OSE) et des Fournisseurs de services numériques (FSN) issus de la Directive NIS, aucune restriction n’a été intégrée, eu égard à la nationalité des opérateurs de cloud ou de services numériques, ni par conséquent compte tenu de l’éventuelle l’ingérence par le truchement de règlementations extra-européennes.
 
La souveraineté numérique est ainsi l’angle mort des textes de cybersécurité. Nous revenons ci-après sur l’état des lieux des règlementations européennes et leurs éventuelles imperfections en matière de souveraineté numérique.
 
 
La tentation extraterritoriale du RGPD
 
Dans le cadre du choc culturel eu égard à la place de la donnée personnelle dans l’économie numérique et à sa valeur associée, l’Europe a répliqué aux révélations d’Edward Snowden par la protection accrue des données des citoyens européens (RGPD) [1].
 
Ce faisant, la réglementation sur les transferts de données hors Union européenne a été remaniée par le règlement dans le double objectif d’harmonisation du cadre juridique applicable et de sécurisation des transferts de données afin d’assurer un contrôle renforcé sur le traitement de données personnelles en dehors de l’Union européenne.
 
Il ressort des disposions du RGPD quatre modes autorisés de transfert de données à caractère personnel :
 

  • Les transferts fondés sur une décision d’adéquation adoptée par la Commission européenne constatant qu’un territoire ou plusieurs secteurs déterminés dans le pays ou l’organisation internationale en question assure un niveau de protection adéquat [2] .

 

  • Sous réserve de l’autorisation de l’autorité de contrôle compétente comme la CNIL, peuvent être adoptées des clauses contractuelles (CCT) ad hoc entre le responsable du traitement ou le sous-traitant et le responsable du traitement, le sous-traitant ou le destinataire des données dans le pays tiers ou l’organisation internationale.

 

  • Les transferts dans le cadre des règles d’entreprise contraignantes (BCR) [3] . Pour être conformes au règlement, les BCR devront garantir leur caractère opposable et contraignant tant aux entités qui forment le groupe qu’aux personnes concernées par les traitements ainsi que leur effectivité par la mise en œuvre de dispositifs adéquats.

 

  • Les transferts en vertu d’une décision d’une juridiction ou d’une autorité administrative d’un pays tiers fondée sur un accord international tel qu’un traité d’entraide judiciaire, en vigueur entre le pays tiers demandeur et l’Union ou un État membre, sans préjudice d’autres motifs de transfert [4] .

 
À travers cette réglementation contraignante, l’Union européenne a clairement acté de l’extraterritorialité de son droit en matière de protection des données à caractère personnel, sous les articles 46 et suivants. Dès lors, cette législation trouve à s’appliquer pour les opérateurs numériques, sous-traitants d’entreprises européennes, les obligeant à présenter des garanties suffisantes et proportionnées en matière de sécurité des données.
 
Toutefois, comme nous l’avons précédemment soulevé, le cloud act notamment trouve à s’appliquer en violation de l’article 48 du RGPD et, in fine, l’opérateur américain pèse le risque le plus important selon le montant des amendes les plus conséquentes pour se soumettre, ou non, à la règlementation la plus stricte. C’est ainsi que le RGPD se voit en réalité limité dans son champ d’action malgré des amendes prononcées, encore insignifiantes en regard du chiffre d’affaires des big techs.
 
 
Une tentative d’indépendance numérique ?
 
Mais sur ce terrain de la protection des données à caractère personnel, la réplique est également venue des juges européens. Témoignant en effet d’un regain de souveraineté inattendu, la Cour de Justice de l’Union européenne (CJUE) [5] , a rendu un arrêt infligeant un camouflet aux autorités américaines.
 
En l’espèce, un internaute autrichien Maximilien Schrems du fait des révélations « d’espionnage numérique » dans la foulée du scandale Snowden-PRISM [6] , s’inquiétait que ses données personnelles recueillies depuis son compte Facebook, puissent être scrutées par la NSA ou le FBI, en vertu des lois américaines de lutte contre le terrorisme [7] . Or, si Facebook a effectivement son siège européen en Irlande, pour des raisons éminemment fiscales, les données sont quant à elles exportées, conservées et traitées depuis les data centers basés aux États-Unis. Dès lors, elles se trouvent placées sous le contrôle des autorités américaines et soumises aux activités des services de renseignement.
 
Ayant introduit un recours devant les juridictions irlandaises (non sans avoir tout d’abord essuyé un rejet de sa requête par l’Autorité de protection des données – équivalent de la CNIL), la High court de l’Eire (Haute Cour de justice), saisissait la CJUE d’une question préjudicielle (procès suspendu dans l’attente de l’interprétation de la règle par les instances suprêmes). Se livrant à l’analyse des normes en vigueur s’agissant de la protection des données personnelles, la CJUE devait trancher en regard de la Directive 95/46 aux termes de laquelle, sous l’article 28 notamment, il est énoncé que chaque pays membre de l’UE doit instituer une autorité de protection des données personnelles, que des voies de recours doivent être ouvertes aux citoyens concernant l’usage et l’exploitation de leurs données.
 
De même, il est prévu des modalités garantissant le niveau de sécurité des données personnelles des citoyens de l’UE. Enfin, dès lors que les données du compte Facebook étaient centralisées sur le territoire américain, la CJUE se devait d’examiner la décision américaine 2000/520 du 26 juillet 2000 (dite « SAFE HARBOR ») au vu des dispositions de la Directive 95/46 et de s’assurer qu’elle offrait les garanties nécessaires relatives au respect des règles de protection de la vie privée compatibles avec les normes européennes.
 
Ainsi, aux termes de l’arrêt du 6 octobre 2015, la CJUE a estimé que les États-Unis n’offraient précisément pas de garanties suffisantes quant à la sécurité des données à caractère personnel des citoyens de l’UE compte tenu des législations américaines particulièrement intrusives. Par conséquent, le « SAFE HARBOR » se voit être déclaré inopérant en regard des règles de confidentialité européennes érigées au titre la Directive 95/46.
 
Depuis, à la lueur du RGPD, il a été âprement négocié un nouvel accord « EU-US Privacy Shield » rendu public le 4 février 2016. Plusieurs exceptions demeurent, et notamment celles renforçant les obligations de coopération en matière de corruption internationale (FCPA) et de fiscalité personnelle (FATCA).
 
Le 12 juillet 2016, le Privacy Shield est finalement approuvé par la Commission européenne. Cependant, tout au long de son processus de rédaction, des voix se sont élevées pour faire part de leurs inquiétudes à l’encontre de certains points spécifiques comme la possibilité de recours juridictionnel aux États-Unis ou l’indépendance et la neutralité du médiateur Ombudsman.
 
Maximilien Schrems va introduire un nouveau recours contre Facebook, auprès de l’autorité de contrôle irlandaise, pays où siège l’entreprise. Saisie à son tour, la High Court (Cour suprême) irlandaise va à nouveau saisir la CJUE, en lui posant 11 questions préjudicielles, à la fois sur les clauses contractuelles types et le Privacy Shield, qui encadrait le transfert de données personnelles de Facebook Ireland Ltd à Facebook Inc (États-Unis).
 
Au vu de la capacité des autorités américaines d’accéder aux données personnelles censées relever du RGPD, même si elle est sous certaines conditions (sécurité nationale), la CJUE estime le Privacy Shield insuffisant pour assurer un niveau de protection adéquat. La section 702 du Foreign Intelligence Surveillance Act (FISA) ou encore le Cloud Act représentent notamment un conflit avec le RGPD (arrêt CJUE C-311/18  Data Protection Commissioner contre Facebook Ireland Ltd dit « Schrems II » du 16 juillet 2020).
 
Si le Privacy Shield se voit être annulé, cependant cette même décision de la CJUE, n’a pas invalidé les clauses contractuelles types (CCT), pourtant également invoquées dans la plainte par Maximilien Schrems.
 
Un nouvel accord semble se dessiner, mais tant que les USA n’auront pas renoncé à leurs lois de renseignement électronique (FISA, Freedom Act, Cloud Act), les données à caractère personnel des Européens feront toujours l’objet de collecte. Maximilien Schrems s’apprête d’ores et déjà à introduire un nouveau recours ce qui donnera lieu à un autre arrêt.
 
Cette velléité d’indépendance numérique suffira-t-elle si l’on se souvient des mots du Président américain, prononcés en février 2015, en réponse aux accusations d’espionnage numérique après les très nombreuses révélations de l’affaire Snowden, énonçant avec un ascendant affirmé que les États-Unis ont créé et diffusé Internet et que par conséquent ils sont propriétaires des données qui empruntent ce réseau. En termes de domination, on ne saurait être plus clair …
 
 
Les Données non personnelles (DNNP)
 
Le « Règlement (UE) 2018/1807 du Parlement européen et du Conseil du 14 novembre 2018 établissant un cadre applicable au libre flux des données à caractère non personnel (DNNP) dans l’Union européenne » a été publié au Journal officiel le 28 novembre 2018.
 
Texte d’importance, il instaure un principe de libre circulation, celui portant sur les données non personnelles (après les biens, les personnes, les capitaux).
 
Son objectif principal tient à la stimulation du marché unique numérique et à la volonté d’exploiter plus efficacement les potentiels des techniques numériques en réduisant les possibilités pour les États membres d’instaurer ou maintenir des obligations liées à la localisation des données, ainsi qu’en mettant en œuvre un principe d’accès et de partage des données.
Les exigences nationales de localisation des données sont définies comme suit par le règlement 2018/1807 (article 3.5) :
 
 « toute obligation, interdiction, condition, limite ou autre exigence prévue par les dispositions législatives, réglementaires ou administratives d’un État membre ou résultant des pratiques administratives générales et cohérentes dans un État membre et les organismes de droit public, notamment dans le domaine des marchés publics, sans préjudice de la directive 2014/24/UE, qui impose le traitement des données sur le territoire d’un État membre donné ou qui entrave le traitement des données dans un autre État membre ».
 
L’article 4 du règlement pose le principe de l’interdiction des exigences de localisation des données, sauf si elles sont justifiées par des motifs de sécurité publique.
 
Le concept de sécurité publique, au sens de l’article 52 du traité sur le fonctionnement de l’Union européenne et tel que l’interprète la Cour de justice, englobe à la fois la sécurité intérieure et extérieure d’un État membre, mais aussi les questions de sûreté publique, afin, en particulier, de faciliter la détection des infractions pénales, les enquêtes et les poursuites en la matière.
 
Par ailleurs, en matière de sécurité nationale, le même traité (article 4§2) prévoit une absence de délégation à l’Union européenne par les États membres :
 
L’Union respecte l’égalité des États membres devant les traités ainsi que leur identité nationale, inhérente à leurs structures fondamentales politiques et constitutionnelles, y compris en ce qui concerne l’autonomie locale et régionale. Elle respecte les fonctions essentielles de l’État, notamment celles qui ont pour objet d’assurer son intégrité territoriale, de maintenir l’ordre public et de sauvegarder la sécurité nationale. En particulier, la sécurité nationale reste de la seule responsabilité de chaque État membre.
Traité sur l’Union européenne, article 4 § 2
 
Il convient dès lors de prendre en considération le stockage souverain des données stratégiques sous l’angle de la sécurité nationale afin de les localiser sur le territoire national, d’une part, mais aussi de pouvoir les confier à un centre d’hébergement de données souverain, d’autre part.
 
Dans ce contexte, un dispositif interministériel de sécurité des activités d’importance vitale avait été inscrit dans le Code de la défense par la loi n°2005-1550 du 12 décembre 2005, complété par un décret n°2006-212 du 23 février 2006. Piloté par le Secrétariat Général de la Défense et de la Sécurité Nationale (SGDSN), le dispositif vise à protéger les opérateurs d’importance vitale dont le bon fonctionnement est indispensable à la nation.
 
C’est en ce sens qu’avait été pensé le régime des Opérateurs d’Importance Vitale (OIV) tel que prévu désormais par les articles L. 1332-1 et L. 1332-2 du code de la défense :
 
Les opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation, sont tenus de coopérer à leurs frais dans les conditions définies au présent chapitre, à la protection desdits établissements, installations et ouvrages contre toute menace, notamment à caractère terroriste. Ces établissements, installations ou ouvrages sont désignés par l’autorité administrative.
 
Et, aux termes de l’article R.1332-1 du Code de la défense, les opérateurs d’importance vitale sont ceux :
 
« gérant ou utilisant un ou des établissements ou ouvrages, une ou des installations dont le dommage ou l’indisponibilité ou la destruction par suite d’un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement, d’obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou de mettre gravement en cause la santé ou la vie de la population ».
 
C’est sur ces fondements juridiques que le cloud souverain doit voir le jour au lieu de s’en remettre à un « cloud de confiance » ouvert à tout vent du fait d’opérateurs et d’agents extra-européens.
 
 
La Directive (UE) NIS du 7 juillet 2016
 
La loi n°2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité a permis l’adaptation du droit positif aux standards européens de cybersécurité (directive NIS) consacrant les opérateurs de services essentiels et les fournisseurs de service numérique, indépendamment des opérateurs d’importance vitale que la France avait préalablement créés.
 
Ce faisant, l’objectif affirmé de la loi est d’assurer la sécurité des réseaux et systèmes d’information en renforçant leur capacité à résister, à un niveau de confiance donné, à :
 
« des actions qui compromettent la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, et des services connexes que ces réseaux et systèmes d’information offrent ou rendent accessibles. »
 
L’ANSSI a élaboré un référentiel strict de sécurité numérique visant es Opérateurs de Services Essentiels (OSE) et les Fournisseurs de Services Numériques (FSN).
 
Les opérateurs de services essentiels (OSE) sont définis comme des opérateurs, publics ou privés, offrant des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture desdits services.
Les règles de sécurité applicables sont également fixées par l’État, en regard notamment :

  • De la gouvernance des la sécurité des réseaux et systèmes d’information ;
  • De la protection des réseaux et systèmes d’information ;
  • De la défense des réseaux et systèmes d’information ;
  • De la résilience des activités.

 
La loi a également institué un statut de fournisseur de service numérique (FSN) retenu comme étant « tout service fourni normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services, savoir :

  • Les services de place de marché en ligne (conclusion de vente à distance) ;
  • Les services de moteur de recherche en ligne (réponses à une requête par voie de recherche sur des bases de données électroniques) ;
  • Les services d’informatique en nuage – ou cloud – entendu comme un ensemble de ressources informatiques pouvant être partagées.

 
Dans le cadre de leurs services, au titre des obligations mises à leur charge, les opérations de service numérique doivent garantir un niveau élevé de sécurité des réseaux et des systèmes d’information à leurs activités, eu égard aux risques existants.
 
De fait, il leur appartient d’identifier et d’actualiser lesdits risques existants et/ou d’affecter leurs réseaux et systèmes et d’adopter des contre-mesures dans les domaines prévus par la loi (article 12) :

  • La sécurité des systèmes et des installations ;
  • La gestion des incidents ;
  • La gestion de la continuité des activités ;
  • Le suivi, l’audit et le contrôle ;
  • Le respect des normes internationales.

 
Toutefois, ces critères techniques n’englobent pas précisément les aspects de règlementation, notamment les ingérences sous forme d’extraterritorialité des lois étrangères dans le cyberespace européen.
 
 
L’Europe ne doit pas être une colonie numérique
 
Il est donc essentiel que les acteurs publics établissent un cadre économique favorable à l’émergence de nouveaux champions industriels de la donnée, dans un cadre souverain. Cette impulsion se traduit actuellement par une prise de conscience nécessaire, comme en témoigne l’énergie de Thierry Breton, commissaire européen au marché intérieur, en charge notamment de la souveraineté technologique.
 
Il convient encore de susciter un désir d’alliances industrielles communes, comme le furent Ariane ou Airbus en leur temps. Il faut créer un nouvel enthousiasme continental autour de grands projets d’instruments technologiques innovants qui font actuellement défaut.
 
Pierre Bellanger ne le dit pas autrement :
 
« Comme au bon vieux temps du Commissariat général du plan, il faut coordonner sur plusieurs années une dynamique nationale et européenne du logiciel en réseau, à l’instar de nos réussites passées : Airbus aurait pu être le nom d’un logiciel européen d’exploitation pour mobile, mutualisé entre les principaux opérateurs de télécommunications de l’Union. » (La souveraineté numérique, Stock, 2014).
 
Il est nécessaire, pour combler le vide stratégique patent – avec une vision quasi néocolbertiste – de désigner les filières d’avenir et de créer un cadre attractif, avec le concours des états dans leur pouvoir de gouvernance régalienne de la donnée. Les Chinois l’ont fait avec leur plan Made in China 2025 ciblant 10 secteurs d’innovation jugés stratégiques, mais aussi à l’instar d’un Galileo qui est une performance européenne à saluer en matière de GPS alternatif.
 
Au lieu de financer sans discernement des start-up vouées à l’échec ou rachetées in fine par des opérateurs extra-européens, des secteurs alternatifs doivent être embrassés tels que l’e-santé, les fintechs, les drones, les objets connectés, et au-delà des moyens ou des outils, faire émerger des finalités économiques d’usage déterminantes. Il faut être en capacité de générer des crypto-monnaies souveraines interopérables comme le souhaitait déjà Christine Lagarde quand elle était encore au FMI et désormais à la tête de la BCE précisément.
 
In fine, cette Europe-puissance de la donnée doit, pour ce faire, affirmer une véritable indépendance numérique, comme fut acté le choix de l’autonomie énergétique dans la France gaullienne.
 
 
Partie 1 : Souveraineté numérique dans le cyberespace (1) (journaldeleconomie.fr)
Partie 2 : Souveraineté numérique dans le cyberespace, (2) (journaldeleconomie.fr)
Partie 3 : Souveraineté numérique dans le cyberespace (3) (journaldeleconomie.fr)
Partie 4 : Géopolitique de l’hébergement de données et souveraineté numérique dans le cyberespace (4) (journaldeleconomie.fr)
Partie 5 : Géopolitique de l’hébergement des données et souveraineté numérique dans le cyberespace (5) : Le cas de la Russie (journaldeleconomie.fr)
Partie 6 : Souveraineté numérique dans le cyberespace (6) (journaldeleconomie.fr)
 
A suivre …

 


[1] Les révélations de l’affaire Snowden n’ont également pas été étrangères à cette prise de conscience et ce besoin de protéger la vie privée face aux intrusions numériques

[2] RGPD Article 45
[3] RGPD Article 47
[4] RGPD Article 48
[5] Aff C-362/14 du 6 octobre 2015
[6] Où il était mis en évidence que Mickey n’est pas le seul à avoir de grandes oreilles
[7] Patriot act, devenue Freedom act

Par Olivier de MAISON ROUGE
Avocat – Docteur en droit
Auteur de « Cyberisques. La gestion des risques juridiques à l’ère numérique » (LexisNexis, 2018)
Dernier ouvrage publié : « Gagner la guerre économique. Plaidoyer pour une souveraineté économique & une indépendance stratégique » VA éditions, mars 2022

Une réaction à partager ? Laissez votre commentaire
Le Journal de l'Economie est un quotidien d'information économique en ligne, fondé en 2013 par VA Press. VA Press est le premier éditeur d’information francophone entièrement dédié à l'univers corporate proposant un positionnement éditorial hybride entre l'information et la réflexion.
Suivez-nous sur Google NewsJournal de l'Économie. Soutenez-nous en nous ajoutant à vos favoris Google Actualités.

Laisser un commentaire

Share to...