L’immunité aux lois extraterritoriales, un prérequis pour renforcer la souveraineté numérique européenne.

10 mai 2021

L’immunité aux lois extraterritoriales, un prérequis pour renforcer la souveraineté numérique européenne

C’est un constat cinglant qu’à asséné la Commission européenne dans un document officiel publié en mars, qui expose ses objectifs numériques à horizon 2030 : “les données produites en Europe sont généralement stockées et traitées en dehors de l’Europe et leur valeur est également extraite en dehors de l’Europe”. C’est aussi la première fois que l’exécutif européen a pointé du doigt les risques en termes de sécurité et de souveraineté engendrés par l’exposition des données européennes à des lois tierces, à portée extraterritoriale.

Ces risques se rapportent évidemment à la captation du patrimoine informationnel par une puissance tierce, y compris de données stratégiques stockées dans le cloud – tendance amplifiée, du fait de la numérisation renforcée de nos économies et du recours accru aux infrastructures de cloud, sous l’effet de la crise sanitaire. Suite à l’arrêt Schrems II prononcé par la Cour de Justice de l’UE en juillet dernier, le risque est également juridique, les entreprises procédant à des transferts de données vers les États-Unis pouvant s’exposer à de gigantesques montants d’amende, si elles contreviennent au RGPD.

En dépit d’une prise de conscience politique croissante, de nombreux acteurs économiques semblent encore méconnaître les risques induits par une telle exposition de leurs données, qu’ils ont d’ailleurs des difficultés à mesurer. Les acteurs dominants du numérique, soumis dans l’ensemble à ce genre de législations non-UE, se gardent bien évidemment de communiquer clairement à cet égard auprès de leurs clients et du grand public en Europe. En bref : flou total, risque maximal !

 De fait, on manque cruellement d’une checklist, faisant autorité, de critères évaluant l’assujettissement des fournisseurs de services cloud à des lois non-européennes à visée extraterritoriale. Cette absence de critères transparents et mesurables est d’abord néfaste à la liberté comme à la souveraineté de choix des clients du cloud puisque leur capacité de prendre des décisions stratégiques bien documentées est tronquée. Cela empêche également les fournisseurs de cloud européens qui proposent des offres “souveraines” de se différencier de leurs concurrents alors que des attentes croissantes sont exprimées sur le marché en matière de souveraineté et de contrôle des données dans le cloud.

La bonne nouvelle, c’est que le combat pour l’immunité aux lois extraterritoriales dans le cloud n’est pas perdu : il commence à peine, au niveau national et européen. D’autant qu’il existe désormais quelques acteurs régionaux sérieux qui peuvent répondre aux besoins européens en matière de cloud.

A l’échelle nationale, les Ministres Amélie de Montchalin et Cédric O finalisent en ce moment une nouvelle stratégie cloud de l’État. Comme cela a été révélé début mars, cette stratégie doit viser autant à “garantir notre souveraineté numérique et assurer notre autonomie de décision” qu’au “développement de la filière numérique européenne”. Ces deux objectifs sont indissociables pour éviter des effets de bords indésirables : face à des exigences de souveraineté accrues, nul doute que les grands acteurs du cloud vont rivaliser d’ingéniosité pour proposer rapidement des offres dites de confiance, voire souveraine – au risque de marginaliser l’écosystème industriel français sur tout ou partie de la chaîne de valeur du cloud, en particulier concernant l’offre logicielle, génératrice de la plus forte valeur ajoutée 

A l’échelle européenne, c’est un schéma de certification de cybersécurité pour les fournisseurs de cloud qui est en cours d’élaboration. Ce texte présente un énorme potentiel pour fixer des critères permettant de définir l’immunité aux lois extraterritoriales, depuis la dimension physique jusqu’aux composants logiciels qui constituent le cloud – dans le but de fournir une transparence totale sur la juridiction applicable en fonction des conditions de stockage, de calcul et de traitement des données. Cette certification constitue surtout un levier unique pour donner une assurance haute d’immunité aux législations extraterritoriales des services cloud fournis sur le territoire européen.

Parce que l’Europe est composée de sensibilités très diverses sur ces sujets, c’est maintenant tout un travail de pédagogie qu’il convient de mener, au-delà des cercles d’initiés. À cette fin, la conférence sur l’avenir de l’Europe, qui a été lancée le 9 mai à Strasbourg, sera un outil intéressant pour tenter de mobiliser les composantes de la société civile européenne sur ces problématiques qui façonnent la vie numérique de nos concitoyens au quotidien.

Yann Lechelle

M. Yann Lechelle est Directeur Général de Scaleway, membre co-fondateur de l’association France Digitale, GAIA-X, HUB France IA, et contributeur à l’Institut des Droits Fondamentaux Numériques – IDFRIGHTS

L’Institut

À la fois enjeu de nos sociétés démocratiques et ingrédient stratégique pour les acteurs économiques, les données numériques sont au coeur des grands questionnements autour du monde digital. La gouvernance des données ne peut plus s’en remettre au hasard des initiatives isolées ou aux simples lois du marché : elle doit être, à différents niveaux, régulée, organisée, codifiée. Si le règlement européen RGPD constitue une avancée majeure reconnue bien au-delà des frontières de l’UE, il ne suffira pas.

Initiative de juristes, chercheurs, universitaires, ONG, acteurs de l’écosystème numérique et personnalités publiques, l’Institut des Droits Fondamentaux Numériques est né de cette importance et de l’urgence d’une réelle gouvernance des données, protectrice à la fois des droits des individus (citoyens, consommateurs), et de ceux des entreprises et organisations.

Plus d’articles

INVENTER LA CONTRIBUTION FINANCIERE DES GAFA

INVENTER LA CONTRIBUTION FINANCIERE DES GAFA

JP Spitzer
Depuis plusieurs années, tant certains Etats membres que l’Union Européenne elle-même cherchent à « taxer » les GAFAM (Google-Apple-Facebook-Amazon-Microsoft).
Leur motivation consiste à soutenir que ces entreprises, géants mondiaux, payent leurs impôts dans des paradis fiscaux, choisis pour y déclarer leurs bénéfices. Au lieu de les payer dans les Etats où ils réalisent effectivement leurs bénéfices.

lire plus
LA COUR DE JUSTICE DE L’UE : L’Avocat Général rend ses conclusions dans l’affaire opposant la Pologne au Parlement Européen et le Conseil de l’Union européenne sur la compatibilité de l’article17 de la Directive droit d’auteur avec la liberté d’expression et d’information

LA COUR DE JUSTICE DE L’UE : L’Avocat Général rend ses conclusions dans l’affaire opposant la Pologne au Parlement Européen et le Conseil de l’Union européenne sur la compatibilité de l’article17 de la Directive droit d’auteur avec la liberté d’expression et d’information

Colette Bouckaert
Le 15 juillet, l’Avocat Général a rendu ses conclusions dans l’affaire opposant la Pologne au Parlement européen et au Conseil de l’UE devant la Cour de Justice del’UE (Aff C-401/19).

lire plus
Les industries dépendant le plus des droits de la propriété intellectuelle sont essentielles pour l’économie européenne

Les industries dépendant le plus des droits de la propriété intellectuelle sont essentielles pour l’économie européenne

Paul Maier
L’importance des droits de propriété intellectuelle (DPI) ne saurait être sous-estimée. Une série d’études conjointes menées par l’Office de l’Union européenne pour la propriété intellectuelle (EUIPO) et l’Office européen des brevets (OEB) ont quantifié la contribution apportée à l’économie de l’UE par les industries à forte intensité de DPI.

lire plus

Contactez-nous

Adresse

179, boulevard Haussmann 75008 Paris

Restez informés

Recevez régulièrement les actualités de

Suivez-nous sur les réseaux