Face à des lois comme le Cloud Act (Clarifying Lawful Overseas Use of Data), avec une portée extraterritoriale, la France cherche des solutions pour assurer sa souveraineté numérique. Tout l’enjeu étant d’assurer la sécurité des données des entreprises et des citoyens français. Dans le cadre d’une commission d’enquête, un rapport du Sénat a formulé des recommandations pour renforcer la souveraineté numérique de la France.
Comme l’a noté Hexatrust dans son Livre Blanc – Le Cloud Act, une clarification pour tous – les outils numériques proposés par les GAFAM sont en situation de quasi-monopole en Europe. Les géants du numérique, notamment les GAFAM, ont donc accès à une quantité astronomique de données sur la population européenne et sur les entreprises locales. « Les résidents européens utilisent en masse leurs services. Cela les rend incontournables dans les enquêtes menées par les autorités d’enquêtes et de poursuites (police et justice) européennes pour identifier les auteurs d’infractions », peut-on lire dans le Livre Blanc.
Mais lorsque l’on est une entreprise européenne, avoir recours à des solutions américaines n’est pas toujours sans conséquence. Le Cloud Act est une loi américaine promulguée en mars 2018 par le Président Trump. Elle permet aux autorités américaines de demander l’accès à toute donnée numérique placée sous le contrôle du fournisseur de service susceptible de les intéresser dans le cadre d’une enquête. Bien qu’il s’agisse d’une loi nationale, ses effets sont extraterritoriaux dès lors qu’il existe un lien suffisant avec les Etats-Unis.
Protéger la vie numérique des Européens
« Accepter le Cloud Act revient à accepter la suprématie du droit américain sur le nôtre en matière de droit des consommateurs et à perdre peu à peu le contrôle de nos communications et de nos données », estime Jean-Noël de Galzain, président d’Hexatrust dans un livre blanc consacré au Cloud Act. « Bâtir une sphère numérique européenne forte permettrait au contraire de porter haut nos valeurs et de protéger la vie digitale de nos concitoyens et de nos entreprises, enfin développer notre industrie et créer de nombreux emplois. Nous avons aujourd’hui la capacité technologique et financière de cette autonomie stratégique ».
La France cherche aujourd’hui des solutions pour contrer les effets des textes comme le Cloud ACt. Après 6 mois de travaux, le Sénat a remis son rapport et ses préconisations sur la souveraineté numérique. Dans le cadre d’une commission d’enquête, ce rapport précise 5 mesures souhaitables pour renforcer la souveraineté numérique de la France.
Une stratégie nationale numérique
Dans son rapport rendu public début octobre, le Sénat fait plusieurs recommandations. Il propose tout d’abord de définir une stratégie nationale numérique au sein d’un Forum institutionnel temporaire du numérique. « Ce n’est ni un secrétaire d’Etat au numérique, ni le Gouvernement, ni l’industrie, ni les prestataires de service qui peuvent seuls définir la stratégie nationale numérique dont notre pays a besoin », estiment les auteurs du rapport. Un travail collectif, alliant les forces et les expériences de chacun est nécessaire. Le Sénat propose donc de transformer le Conseil national du numérique en un Forum de concertation temporaire. « D’une durée de vie limitée à deux ans, il permettrait au Gouvernement et au Parlement de réaliser les arbitrages nécessaires à la défense de notre souveraineté numérique ».
Inscrire l’effort dans le temps
La seconde recommandation du Sénat consiste à inscrire l’effort pour la souveraineté numérique dans le temps en votant une loi d’orientation et de suivi de la souveraineté numérique (LOSSN). Cette loi devrait découler des travaux du Forum. « Elle garantirait davantage de lisibilité et de stabilité aux entreprises, et mettrait en œuvre un pilotage public plus rigoureux des innovations dans les secteurs et technologies essentiels à la défense de la souveraineté numérique française ».
Assurer la protection des données personnelles et stratégiques
La troisième recommandation est consacrée à la protection des données personnelles et des données économiques stratégiques. Le Sénat recommande de restituer à chacun la maîtrise de ses données et de défendre les données stratégiques des entreprises françaises contre l’application de lois à portée extraterritoriale.
Concrètement, les auteurs du rapport suggèrent, sur la base d’un premier bilan du droit à la portabilité des données, de soutenir et d’étudier la faisabilité technique et opérationnelle d’une obligation d’interopérabilité (bénéfices, coûts, impact sur le consommateur et l’innovation), y compris comme mesure de régulation asymétrique imposée aux grands plateformes systémiques.
En ce qui concerne les données stratégiques, le Sénat a estimé qu’une obligation de localisation des données sur le territoire est une solution « imparfaite ». D’après le rapport, il convient de cartographier et de faire émerger des solutions pour l’hébergement et le stockage des données sensibles autour de prestataires français et européens non soumis aux législations étrangères à portée extraterritoriale.
Vers une modernisation de la loi de blocage
Dans un rapport publié en juin 2019 sur la protection des entreprises contre les lois à portée extraterritoriale, le député Raphaël Gauvain propose de moderniser la loi de blocage de 1968. Ce texte a pour objectif de contrecarrer les effets des sanctions extraterritoriales de pays tiers sur les personnes physiques (résident(e)s ou ressortissant(e)s de l’Union) et les personnes morales constituées en sociétés dans l’union européenne. Son principe est que les opérateurs de l’Union ont l’obligation de ne pas se conformer à toute « législation extraterritoriale concernée » (c’est-à-dire visée dans l’annexe du Règlement n°2271/96 du Conseil du 22 novembre 1996), ni aux décisions, jugements ou sentences fondées sur celle-ci, quels qu’ils soient, sous peine de sanctions.
Même son de cloche du côté du Sénat qui voit dans cette loi de blocage un outil pouvant améliorer la souveraineté numérique de la France. Ce texte doit être renforcé, sur la base du rapport du député Gauvain, afin « que les entreprises françaises ne soient plus démunies face aux procédures américaines, notamment (mise en place d’une déclaration aux autorités françaises, accompagnement par une administration dédiée et durcissement des sanctions encourues) ».
S’adapter aux défis numériques
D’après les auteurs du rapport du Sénat, il est important aujourd’hui d’adapter la réglementation aux définis numériques. Pour cela, le Sénat fixe 4 grand axes :
- Muscler le droit de la concurrence aux niveaux national et européen
- Utiliser l’information : la « régulation par la donnée »
- Etudier la faisabilité de nouvelles régulations sectorielles…
- …voire d’obligations proactives, spécifiques et multisectorielles pour les acteurs systémiques du numérique : la régulation « ex-ante ».
Innovation et multilatéralisme
Dans son rapport sur la souveraineté numérique, le Sénat préconise d’avoir recours aux leviers de l’innovation et du multilatéralisme. Cet objectif se déclinerait en deux axes. Pour commencer, le Sénat suggère d’encourager les innovations au niveau national comme au niveau européen. Parmi les pistes citées se trouvent notamment :
- La révision au niveau européen du régime des aides d’Etat
- L’utilisation du levier de l’achat public
- La clarification des conditions du crédit d’impôt recherche pour les entreprises du secteur numérique
- Etc
