L’immunité aux lois extraterritoriales, un prérequis pour renforcer la souveraineté numérique européenne.
10 mai 2021
L’immunité aux lois extraterritoriales, un prérequis pour renforcer la souveraineté numérique européenne.

10 mai 2021

Accueil I L’immunité aux lois extraterritoriales, un prérequis pour renforcer la souveraineté numérique européenne.

L’immunité aux lois extraterritoriales, un prérequis pour renforcer la souveraineté numérique européenne

C’est un constat cinglant qu’à asséné la Commission européenne dans un document officiel publié en mars, qui expose ses objectifs numériques à horizon 2030 : “les données produites en Europe sont généralement stockées et traitées en dehors de l’Europe et leur valeur est également extraite en dehors de l’Europe”. C’est aussi la première fois que l’exécutif européen a pointé du doigt les risques en termes de sécurité et de souveraineté engendrés par l’exposition des données européennes à des lois tierces, à portée extraterritoriale.

Ces risques se rapportent évidemment à la captation du patrimoine informationnel par une puissance tierce, y compris de données stratégiques stockées dans le cloud – tendance amplifiée, du fait de la numérisation renforcée de nos économies et du recours accru aux infrastructures de cloud, sous l’effet de la crise sanitaire. Suite à l’arrêt Schrems II prononcé par la Cour de Justice de l’UE en juillet dernier, le risque est également juridique, les entreprises procédant à des transferts de données vers les États-Unis pouvant s’exposer à de gigantesques montants d’amende, si elles contreviennent au RGPD.

En dépit d’une prise de conscience politique croissante, de nombreux acteurs économiques semblent encore méconnaître les risques induits par une telle exposition de leurs données, qu’ils ont d’ailleurs des difficultés à mesurer. Les acteurs dominants du numérique, soumis dans l’ensemble à ce genre de législations non-UE, se gardent bien évidemment de communiquer clairement à cet égard auprès de leurs clients et du grand public en Europe. En bref : flou total, risque maximal !

 De fait, on manque cruellement d’une checklist, faisant autorité, de critères évaluant l’assujettissement des fournisseurs de services cloud à des lois non-européennes à visée extraterritoriale. Cette absence de critères transparents et mesurables est d’abord néfaste à la liberté comme à la souveraineté de choix des clients du cloud puisque leur capacité de prendre des décisions stratégiques bien documentées est tronquée. Cela empêche également les fournisseurs de cloud européens qui proposent des offres “souveraines” de se différencier de leurs concurrents alors que des attentes croissantes sont exprimées sur le marché en matière de souveraineté et de contrôle des données dans le cloud.

La bonne nouvelle, c’est que le combat pour l’immunité aux lois extraterritoriales dans le cloud n’est pas perdu : il commence à peine, au niveau national et européen. D’autant qu’il existe désormais quelques acteurs régionaux sérieux qui peuvent répondre aux besoins européens en matière de cloud.

A l’échelle nationale, les Ministres Amélie de Montchalin et Cédric O finalisent en ce moment une nouvelle stratégie cloud de l’État. Comme cela a été révélé début mars, cette stratégie doit viser autant à “garantir notre souveraineté numérique et assurer notre autonomie de décision” qu’au “développement de la filière numérique européenne”. Ces deux objectifs sont indissociables pour éviter des effets de bords indésirables : face à des exigences de souveraineté accrues, nul doute que les grands acteurs du cloud vont rivaliser d’ingéniosité pour proposer rapidement des offres dites de confiance, voire souveraine – au risque de marginaliser l’écosystème industriel français sur tout ou partie de la chaîne de valeur du cloud, en particulier concernant l’offre logicielle, génératrice de la plus forte valeur ajoutée 

A l’échelle européenne, c’est un schéma de certification de cybersécurité pour les fournisseurs de cloud qui est en cours d’élaboration. Ce texte présente un énorme potentiel pour fixer des critères permettant de définir l’immunité aux lois extraterritoriales, depuis la dimension physique jusqu’aux composants logiciels qui constituent le cloud – dans le but de fournir une transparence totale sur la juridiction applicable en fonction des conditions de stockage, de calcul et de traitement des données. Cette certification constitue surtout un levier unique pour donner une assurance haute d’immunité aux législations extraterritoriales des services cloud fournis sur le territoire européen.

Parce que l’Europe est composée de sensibilités très diverses sur ces sujets, c’est maintenant tout un travail de pédagogie qu’il convient de mener, au-delà des cercles d’initiés. À cette fin, la conférence sur l’avenir de l’Europe, qui a été lancée le 9 mai à Strasbourg, sera un outil intéressant pour tenter de mobiliser les composantes de la société civile européenne sur ces problématiques qui façonnent la vie numérique de nos concitoyens au quotidien.

Yann Lechelle

M. Yann Lechelle est Directeur Général de Scaleway, membre co-fondateur de l’association France Digitale, GAIA-X, HUB France IA, et contributeur à l’Institut des Droits Fondamentaux Numériques – IDFRIGHTS

Retrouvez plus d'articles sur :

Suivez-nous

Sur Linkedin

Plus d’articles

Que se cache-t-il derrière le projet « Villers-Cotterêts » ?

Que se cache-t-il derrière le projet « Villers-Cotterêts » ?

Le 22 mai dernier, le consortium ArGiMi remportait l’appel à projet « Communs numériques pour l’Intelligence artificielle (IA) générative » que Bpifrance avait publié en octobre 2023 dans le cadre de « France 2030 », le programme phare de soutien aux investissements des entreprises françaises visant à 1) Réindustrialiser la France, 2) Atteindre les objectifs climat 2030, et 3) Assurer l’émergence et la croissance des startups Deeptech françaises. Vaste programme pour lequel Bpifrance dispose de vastes moyens, puisque la banque publique d’investissement peut compter sur ses fonds propres, mobiliser ceux de l’État et doit s’attacher à permettre l’émergence de fonds privés thématiques, avec l’objectif d’injecter pas moins de 5 Md€ entre 2024 et 2028 dans des projets d’IA tous métiers confondus.

lire plus
Analyse de la faisabilité des programmes proposés par les 7 principales listes en vue de l’élection Européenne du 9 juin 2024 – Partie 1 : Les propositions sur le fonctionnement des institutions de l’UE

Analyse de la faisabilité des programmes proposés par les 7 principales listes en vue de l’élection Européenne du 9 juin 2024 – Partie 1 : Les propositions sur le fonctionnement des institutions de l’UE

iDFrights a réalisé une synthèse des programmes des différentes listes de candidats aux élections européennes, en se concentrant sur celles dont les estimations de votes dépassent les 5%, seuil nécessaire pour envoyer des eurodéputés à Bruxelles. Dans cette analyse nous nous sommes particulièrement attachés à deux chapitres clés de ces programmes : le fonctionnement des institutions européennes et les positions concernant les nouvelles technologies et les médias. Notre objectif était d’examiner les thèmes phares abordés par chaque liste dans ces domaines, afin de mieux comprendre leurs orientations et leurs priorités.

lire plus