L’immunité aux lois extraterritoriales, un prérequis pour renforcer la souveraineté numérique européenne

C’est un constat cinglant qu’à asséné la Commission européenne dans un document officiel publié en mars, qui expose ses objectifs numériques à horizon 2030 : “les données produites en Europe sont généralement stockées et traitées en dehors de l’Europe et leur valeur est également extraite en dehors de l’Europe”. C’est aussi la première fois que l’exécutif européen a pointé du doigt les risques en termes de sécurité et de souveraineté engendrés par l’exposition des données européennes à des lois tierces, à portée extraterritoriale.

Ces risques se rapportent évidemment à la captation du patrimoine informationnel par une puissance tierce, y compris de données stratégiques stockées dans le cloud – tendance amplifiée, du fait de la numérisation renforcée de nos économies et du recours accru aux infrastructures de cloud, sous l’effet de la crise sanitaire. Suite à l’arrêt Schrems II prononcé par la Cour de Justice de l’UE en juillet dernier, le risque est également juridique, les entreprises procédant à des transferts de données vers les États-Unis pouvant s’exposer à de gigantesques montants d’amende, si elles contreviennent au RGPD.

En dépit d’une prise de conscience politique croissante, de nombreux acteurs économiques semblent encore méconnaître les risques induits par une telle exposition de leurs données, qu’ils ont d’ailleurs des difficultés à mesurer. Les acteurs dominants du numérique, soumis dans l’ensemble à ce genre de législations non-UE, se gardent bien évidemment de communiquer clairement à cet égard auprès de leurs clients et du grand public en Europe. En bref : flou total, risque maximal !

 De fait, on manque cruellement d’une checklist, faisant autorité, de critères évaluant l’assujettissement des fournisseurs de services cloud à des lois non-européennes à visée extraterritoriale. Cette absence de critères transparents et mesurables est d’abord néfaste à la liberté comme à la souveraineté de choix des clients du cloud puisque leur capacité de prendre des décisions stratégiques bien documentées est tronquée. Cela empêche également les fournisseurs de cloud européens qui proposent des offres “souveraines” de se différencier de leurs concurrents alors que des attentes croissantes sont exprimées sur le marché en matière de souveraineté et de contrôle des données dans le cloud.

La bonne nouvelle, c’est que le combat pour l’immunité aux lois extraterritoriales dans le cloud n’est pas perdu : il commence à peine, au niveau national et européen. D’autant qu’il existe désormais quelques acteurs régionaux sérieux qui peuvent répondre aux besoins européens en matière de cloud.

A l’échelle nationale, les Ministres Amélie de Montchalin et Cédric O finalisent en ce moment une nouvelle stratégie cloud de l’État. Comme cela a été révélé début mars, cette stratégie doit viser autant à “garantir notre souveraineté numérique et assurer notre autonomie de décision” qu’au “développement de la filière numérique européenne”. Ces deux objectifs sont indissociables pour éviter des effets de bords indésirables : face à des exigences de souveraineté accrues, nul doute que les grands acteurs du cloud vont rivaliser d’ingéniosité pour proposer rapidement des offres dites de confiance, voire souveraine – au risque de marginaliser l’écosystème industriel français sur tout ou partie de la chaîne de valeur du cloud, en particulier concernant l’offre logicielle, génératrice de la plus forte valeur ajoutée 

A l’échelle européenne, c’est un schéma de certification de cybersécurité pour les fournisseurs de cloud qui est en cours d’élaboration. Ce texte présente un énorme potentiel pour fixer des critères permettant de définir l’immunité aux lois extraterritoriales, depuis la dimension physique jusqu’aux composants logiciels qui constituent le cloud – dans le but de fournir une transparence totale sur la juridiction applicable en fonction des conditions de stockage, de calcul et de traitement des données. Cette certification constitue surtout un levier unique pour donner une assurance haute d’immunité aux législations extraterritoriales des services cloud fournis sur le territoire européen.

Parce que l’Europe est composée de sensibilités très diverses sur ces sujets, c’est maintenant tout un travail de pédagogie qu’il convient de mener, au-delà des cercles d’initiés. À cette fin, la conférence sur l’avenir de l’Europe, qui a été lancée le 9 mai à Strasbourg, sera un outil intéressant pour tenter de mobiliser les composantes de la société civile européenne sur ces problématiques qui façonnent la vie numérique de nos concitoyens au quotidien.