Dans quelle mesure l’UE est-elle prête à affirmer sa souveraineté numérique ?
Répondre à cette question a de profondes implications pour la structure du secteur technologique, ainsi que pour les flux de données transfrontaliers qui sous-tendent de plus en plus l’activité économique mondiale.
Dans sa forme la plus pure, la souveraineté numérique signifie stocker toutes les données européennes en Europe, sous le contrôle des régulateurs européens, et soumises au stockage et au traitement par des sociétés informatiques européennes. Toutes ces conditions ne peuvent pas être remplies dans tous les cas, mais c’est une ambition qui commence à avoir un impact important sur la politique numérique de l’UE.
Quiconque doute de la décision n’a pas besoin d’approfondir le projet de loi sur les données qui a été dévoilé à Bruxelles cette semaine. La loi sur les données la plus récente et la plus importante du bloc, le règlement général sur la protection des données, a établi de nouvelles normes strictes pour la protection des données personnelles. Les lois sur les données ciblent les informations non personnelles – flux de données déversés sur les chaînes de production modernes, les flottes de transport en commun et les maisons « intelligentes ».
La proposition de loi vise à donner aux clients plus de contrôle sur la manière dont ils utilisent ces données. Par exemple, les propriétaires de machines à laver « intelligentes » seront libres de choisir comment les informations qu’ils rejettent seront utilisées, leur permettant de choisir une autre société pour surveiller et réparer leurs machines à laver que celle à laquelle ils les ont achetées.
C’est une vision des marchés intérieurs européens plus ouverts aux données – mais risquant d’être étroitement isolés du reste du monde.
Les exigences législatives imposées aux entreprises de protéger les données de la surveillance des gouvernements étrangers peuvent compliquer la tâche des entreprises technologiques américaines, même si elles stockent et traitent toutes les données de leurs clients européens en Europe. Cette exigence répondait en partie à la loi américaine sur le cloud, qui a facilité l’accès transfrontalier des autorités américaines pour réclamer des données détenues par des entreprises américaines à l’étranger.
Ces préoccupations ont eu des implications pratiques. Microsoft fait face à un contrecoup en France après avoir obtenu un contrat pour agir en tant que fournisseur de cloud pour un nouvel entrepôt de données de santé gouvernemental, qui sera géré en France. Un tribunal français a confirmé le droit de l’entreprise américaine d’effectuer les travaux, mais une décision a ensuite été prise de transférer les travaux à un prestataire de services européen.
Une autre question est de savoir si des barrières délibérées seront érigées pour retenir les principales entreprises technologiques américaines. Dans sa forme initiale, la loi sur les données limitera la mesure dans laquelle les « responsables du traitement de l’information » – le terme utilisé dans la loi de l’UE sur les services numériques pour désigner ces entreprises – peuvent bénéficier des nouvelles libertés proposées en matière de transfert de données à d’autres entreprises.
D’un point de vue américain, une proposition comme celle-ci ressemble toujours à une politique industrielle destinée à aider l’Europe à soutenir son secteur technologique.
Au moins lorsqu’il s’agit de se battre pour des données personnelles, il existe des raisons de contrôle plus convaincantes. Naturellement, les gouvernements européens veulent protéger leurs citoyens des regards indiscrets des autorités américaines, en particulier après les informations divulguées par Snowden sur la surveillance numérique à grande échelle. Cependant, il y a moins de raisons de géolocaliser les données industrielles.
Les promoteurs de l’initiative gardent leurs objectifs secrets. S’adressant au Financial Times le mois dernier, Thierry Breton – membre de la Commission de l’économie numérique de l’Union européenne et ancien PDG de la société informatique française Atos – a déclaré que l’objectif était de « se préparer à ce que les données soient utilisées pour les Européens, par les Européens et par nos valeurs. » . » « .
Le projet de loi sur les données est loin d’être une loi adoptée. Actuellement, l’urgence constante de l’intervention des régulateurs nationaux en Europe, dans le cadre des règles de confidentialité du règlement général européen sur la protection des données, menace de ralentir les transferts de données transatlantiques.
Plus tôt ce mois-ci, le régulateur français des données a décidé que Google Analytics ne pouvait plus envoyer de données sur les utilisateurs de l’UE aux États-Unis, faisant écho à une décision néerlandaise antérieure.
Dans le cas le plus important et le plus important du genre, le bureau d’enregistrement des données irlandais a déclaré cette semaine qu’il avait finalisé un projet d’ordonnance visant à empêcher le géant des réseaux sociaux Meta d’envoyer les données des utilisateurs de l’UE à travers l’Atlantique. Cette menace imminente a conduit l’entreprise à avertir dans un dossier réglementaire que compte tenu de la situation actuelle, il est « possible » qu’elle doive fermer les services Facebook et Instagram en Europe.
Les négociateurs américains et européens travaillent sur un compromis qui empêcherait une telle menace, avec un accord attendu d’ici le milieu de cette année. Mais les concessions précédentes comme celles-ci ont été rejetées par les tribunaux européens, et les contestations judiciaires des défenseurs de la vie privée dans le nouvel accord semblent inévitables.