L’immunité aux lois extraterritoriales, un prérequis pour renforcer la souveraineté numérique européenne.

10 mai 2021

L’immunité aux lois extraterritoriales, un prérequis pour renforcer la souveraineté numérique européenne

C’est un constat cinglant qu’à asséné la Commission européenne dans un document officiel publié en mars, qui expose ses objectifs numériques à horizon 2030 : “les données produites en Europe sont généralement stockées et traitées en dehors de l’Europe et leur valeur est également extraite en dehors de l’Europe”. C’est aussi la première fois que l’exécutif européen a pointé du doigt les risques en termes de sécurité et de souveraineté engendrés par l’exposition des données européennes à des lois tierces, à portée extraterritoriale.

Ces risques se rapportent évidemment à la captation du patrimoine informationnel par une puissance tierce, y compris de données stratégiques stockées dans le cloud – tendance amplifiée, du fait de la numérisation renforcée de nos économies et du recours accru aux infrastructures de cloud, sous l’effet de la crise sanitaire. Suite à l’arrêt Schrems II prononcé par la Cour de Justice de l’UE en juillet dernier, le risque est également juridique, les entreprises procédant à des transferts de données vers les États-Unis pouvant s’exposer à de gigantesques montants d’amende, si elles contreviennent au RGPD.

En dépit d’une prise de conscience politique croissante, de nombreux acteurs économiques semblent encore méconnaître les risques induits par une telle exposition de leurs données, qu’ils ont d’ailleurs des difficultés à mesurer. Les acteurs dominants du numérique, soumis dans l’ensemble à ce genre de législations non-UE, se gardent bien évidemment de communiquer clairement à cet égard auprès de leurs clients et du grand public en Europe. En bref : flou total, risque maximal !

 De fait, on manque cruellement d’une checklist, faisant autorité, de critères évaluant l’assujettissement des fournisseurs de services cloud à des lois non-européennes à visée extraterritoriale. Cette absence de critères transparents et mesurables est d’abord néfaste à la liberté comme à la souveraineté de choix des clients du cloud puisque leur capacité de prendre des décisions stratégiques bien documentées est tronquée. Cela empêche également les fournisseurs de cloud européens qui proposent des offres “souveraines” de se différencier de leurs concurrents alors que des attentes croissantes sont exprimées sur le marché en matière de souveraineté et de contrôle des données dans le cloud.

La bonne nouvelle, c’est que le combat pour l’immunité aux lois extraterritoriales dans le cloud n’est pas perdu : il commence à peine, au niveau national et européen. D’autant qu’il existe désormais quelques acteurs régionaux sérieux qui peuvent répondre aux besoins européens en matière de cloud.

A l’échelle nationale, les Ministres Amélie de Montchalin et Cédric O finalisent en ce moment une nouvelle stratégie cloud de l’État. Comme cela a été révélé début mars, cette stratégie doit viser autant à “garantir notre souveraineté numérique et assurer notre autonomie de décision” qu’au “développement de la filière numérique européenne”. Ces deux objectifs sont indissociables pour éviter des effets de bords indésirables : face à des exigences de souveraineté accrues, nul doute que les grands acteurs du cloud vont rivaliser d’ingéniosité pour proposer rapidement des offres dites de confiance, voire souveraine – au risque de marginaliser l’écosystème industriel français sur tout ou partie de la chaîne de valeur du cloud, en particulier concernant l’offre logicielle, génératrice de la plus forte valeur ajoutée 

A l’échelle européenne, c’est un schéma de certification de cybersécurité pour les fournisseurs de cloud qui est en cours d’élaboration. Ce texte présente un énorme potentiel pour fixer des critères permettant de définir l’immunité aux lois extraterritoriales, depuis la dimension physique jusqu’aux composants logiciels qui constituent le cloud – dans le but de fournir une transparence totale sur la juridiction applicable en fonction des conditions de stockage, de calcul et de traitement des données. Cette certification constitue surtout un levier unique pour donner une assurance haute d’immunité aux législations extraterritoriales des services cloud fournis sur le territoire européen.

Parce que l’Europe est composée de sensibilités très diverses sur ces sujets, c’est maintenant tout un travail de pédagogie qu’il convient de mener, au-delà des cercles d’initiés. À cette fin, la conférence sur l’avenir de l’Europe, qui a été lancée le 9 mai à Strasbourg, sera un outil intéressant pour tenter de mobiliser les composantes de la société civile européenne sur ces problématiques qui façonnent la vie numérique de nos concitoyens au quotidien.

Yann Lechelle

M. Yann Lechelle est Directeur Général de Scaleway, membre co-fondateur de l’association France Digitale, GAIA-X, HUB France IA, et contributeur à l’Institut des Droits Fondamentaux Numériques – IDFRIGHTS

L’Institut

À la fois enjeu de nos sociétés démocratiques et ingrédient stratégique pour les acteurs économiques, les données numériques sont au coeur des grands questionnements autour du monde digital. La gouvernance des données ne peut plus s’en remettre au hasard des initiatives isolées ou aux simples lois du marché : elle doit être, à différents niveaux, régulée, organisée, codifiée. Si le règlement européen RGPD constitue une avancée majeure reconnue bien au-delà des frontières de l’UE, il ne suffira pas.

Initiative de juristes, chercheurs, universitaires, ONG, acteurs de l’écosystème numérique et personnalités publiques, l’Institut des Droits Fondamentaux Numériques est né de cette importance et de l’urgence d’une réelle gouvernance des données, protectrice à la fois des droits des individus (citoyens, consommateurs), et de ceux des entreprises et organisations.

Plus d’articles

Artificial Intelligence Act : l’Union européenne invente la pyramide des risques de l’Intelligence Artificielle (IA)

Artificial Intelligence Act : l’Union européenne invente la pyramide des risques de l’Intelligence Artificielle (IA)

Alexandra Bensamoun
L’intelligence artificielle (IA) n’est plus une science réservée aux informaticiens. Le temps est venu, pour les juristes d’aujourd’hui, de s’en emparer pour construire la législation de demain. En effet, la croissance rapide de la technologie, notamment du fait de l’augmentation des capacités de calcul et de stockage, des progrès en algorithmie …

lire plus
L’arrêt French Data Network du Conseil d’Etat : l’art d’une réponse contournée à des questions fondamentales

L’arrêt French Data Network du Conseil d’Etat : l’art d’une réponse contournée à des questions fondamentales

Henri Labayle
Rares sont les jurisprudences qui donnent lieu à des appréciations aussi contrastées que celles provoquées par l’arrêt rendu en Assemblée le 21 avril 2021, French Data Network (FNA pour la commodité de l’écriture). « Frexit sécuritaire » ou « Frexit juridictionnel » pour certains ou, à tout le moins, devenu « gardien de la sécurité » pour d’autres, le même arrêt traduirait en réalité un « dialogue des juges en trompe l’œil » …

lire plus

Contactez-nous

Adresse

179, boulevard Haussmann 75008 Paris

Restez informés

Recevez régulièrement les actualités de

Suivez-nous sur les réseaux