Avec le développement de l’espace numérique, la souveraineté pourrait s’entendre à la fois comme la capacité des États à fixer les règles de l’espace numérique et à les faire respecter, mais également comme la souveraineté des utilisateurs, capables de s’autodéterminer dans ce monde digital. Mais dans cette dernière conception, ce qui intéresse davantage ce sont « les droits [dont disposent ces utilisateurs] de décider et de contrôler les usages qui sont faits des données à caractère personnel »[1]. Ces droits impliquent que l’État assure la protection des données de ses citoyens. Dès lors, l’expression de souveraineté numérique serait la « capacité des États à agir dans le cyberspace »[2], en ce compris leur capacité à faire respecter leur autorité, défendre leurs intérêts dans l’espace numérique et protéger leurs citoyens. L’enjeu est d’autant plus grand pour les États européens qu’ils sont confrontés à la multiplication de menaces cyber et à la domination technologique des géants nord-américains, notamment dans le domaine du service numérique en nuage - le cloud - qui constitue aujourd’hui un des piliers de la souveraineté numérique.
Les enjeux de la souveraineté numérique
L'essor fulgurant des technologies a provoqué une recrudescence des dangers en matière de sécurité informatique, avec notamment la propagation de la cybercriminalité qui menace de plus en plus fréquemment les entreprises et les particuliers.
Sécuriser les données personnelles stockées sur le cloud et encadrer les transferts de données en dehors de l’Union européenne
Dans son rapport publié le 24 janvier 2022[3], l’Agence nationale de la sécurité des systèmes d’information (ANSSI) conclut à un maintien de la menace cyber avec 831 intrusions portées à sa connaissance pour l’ensemble de l’année 2022. Au-delà de ce chiffre, en légère diminution par rapport à 2021, l’ANSSI alerte sur l’évolution générale de la menace qui se maintient à un niveau élevé en se déportant sur des entités faibles telles que les hôpitaux et les PME.
Au fur et à mesure que les données personnelles sont stockées dans le cloud, le risque de voir ces informations compromises augmente de manière exponentielle. Les experts en sécurité informatique s'accordent à dire que la centralisation de ces données sensibles dans des serveurs distants accroît considérablement les vulnérabilités, ouvrant la porte à des cyberattaques sophistiquées et dévastatrices. Avant même la création de la plateforme nationale Health Data Hub (HDH), la Commission nationale de l’informatique et des libertés (CNIL) mettait en garde sur « les risques inhérents à la concentration éventuelle des données sensibles sur la plateforme technologique »[4]. De ce fait, la sécurité des données stockées dans le cloud est devenue une préoccupation majeure pour les organisations et les Etats à travers le monde.
Egalement, le transfert des données à caractère personnel est un enjeu majeur de la souveraineté numérique qui se manifeste notamment par le transfert massif de ces données vers les États Unis étant donné que les géants du numérique sont nord-américains. Les GAFAM sont largement dominants dans le secteur du cloud : les services d’Amazon, de Microsoft et de Google représentent à eux seuls 70% des parts mondiales du marché de l’informatique en nuage[5]. L’enjeu pour les États européens est donc d’encadrer ce transfert des données hors de l’Union européenne et de l’Espace Économique Européen afin de maintenir un certain niveau de protection des données des citoyens européens[6].
Le transfert de données personnelles vers les États-Unis et la nécessité de l’encadrer ne sont pas des sujets nouveaux. En 1995, l'Union européenne a adopté la directive 95/46/CE pour protéger les citoyens européens contre le transfert incontrôlé de leurs données personnelles vers des pays tiers. Cette directive prévoyait que ce type de transfert n’était autorisé qu’à la condition que ledit pays fournisse un niveau de protection adéquat. Finalement, c'est en 2000 que la Commission européenne a autorisé le transfert des données personnelles vers les États-Unis grâce à la décision d'adéquation n°2000/520. Dès lors, les entreprises nord-américaines ont largement adhéré au programme “Safe Harbor”, en s’engageant à assurer aux traitements reçus d’Europe une protection équivalente à celle accordée au sein de l’Union européenne.
Le scandale Snowden a changé la donne et a finalement conduit la Cour de justice européenne à invalider la décision d'adéquation dans l'arrêt Schrems I, rendu en 2015. La Cour a jugé que les principes du Safe Harbor ne garantissaient pas un niveau de protection suffisant pour les citoyens européens en matière de respect de leur vie privée, tel que prévu par l’article 7 de la Charte des droits fondamentaux de l'Union européenne[7].En réponse à cette invalidation, la Commission européenne et les autorités fédérales des Etats-Unis ont proposé l'accord Privacy Shield, qui a été validé en 2016 par une décision d'exécution. Ce "bouclier de protection des données" est intervenu la même année que l'adoption du Règlement Général sur la Protection des données (RGPD), qui a renforcé l'encadrement des transferts de données personnelles vers des pays tiers.
Afin d’assurer un haut niveau de protection des données transférées du territoire européen vers des Etats tiers, le RGDP prévoit plusieurs outils juridiques tels que prévus par le Chapitre V “Transferts des données à caractère personnel vers des pays tiers ou des organisations internationales”. Lesdits transferts peuvent être fondés sur une décision d’adéquation de la Commission européenne assurant qu’un pays tiers donné assure un niveau de protection adéquat (article 45 du RGPD). En l’absence d’une telle décision, les transferts des données personnelles peuvent être fondés sur les clauses-contractuelles types (CCT) (article 46 du RGPD) ou les règles d’entreprise contraignantes (Binding Corporate Rules ou BCR) (article 47 du RGPD)[8]. Ils peuvent également être fondés par un code de conduite approuvé ou un mécanisme de certification qui prennent la forme d’un engagement par le pays tiers d’appliquer les garanties appropriées[9]. A défaut d’un niveau de protection adéquat ou de garanties appropriées encadrant ce transfert vers un Etat tiers, il est possible de déroger à ces règles dans des situations particulières telles que des motifs d’intérêt public, des fins judiciaires, l’exécution d’un contrat, la sauvegarde des intérêts vitaux d’une personne, l’ouverture publique des données ou lorsque la personne concernée a donné son consentement (article 49 du RGPD). Le RGPD prévoit également que si une juridiction ou une autorité administrative d'un pays tiers exige le transfert de données personnelles, cela ne peut être autorisé que dans le cadre d'un accord international, tel qu'un traité d'entraide judiciaire (article 48 du RGPD).
Les dispositions du RGPD en matière de transfert des données personnelles des citoyens européens, pourtant très strictes, ont néanmoins été contrecarrées par les réglementations outre-Atlantique.
Un affaiblissement du cadre juridique par l'invalidation du Privacy Shield et la portée extraterritoriale des règlementations
Contournant les règles classiques de coopération judiciaire internationale prévues notamment à l’article 48 du RGPD, le Clarifying Lawful Overseas Use of Data Act dit Cloud Act, adopté par le Congrès américain en 2018, autorise les autorités des Etats-Unis à se faire communiquer directement les données détenues par les prestataires de services électroniques immatriculés aux Etats-Unis et ce, quel que soit le lieu de stockage de ces données. Il résulte de la portée extraterritoriale de cette législation que les grandes entreprises nord-américaines du secteur numérique pourraient communiquer les données personnelles des citoyens européens aux autorités américaines. A titre d’exemple, les données de santé de la plateforme nationale Health Data Hub sont hébergées par Microsoft Azure ; dès lors, la portée extraterritoriale du Cloud Act implique que, même si l’entreprise se sert d’un centre de données basé aux Pays-Bas, elle entre dans le champ d’application de cette réglementation qui autorise les autorités nord-américaines à récupérer les données hébergées par une entreprise nord-américaine dans certaines conditions[10].
Quant à l’invalidation du Privacy Shield, elle est venue remettre en cause le cadre juridique relatif aux transferts de données à caractère personnel réalisés vers les Etats-Unis[11]. La Cour de justice de l’Union européenne (CJUE), dans son arrêt Schrems II rendu le 16 juillet 2020, a invalidé la décision d’exécution du 12 juillet 2016, ne rendant alors plus possible de fonder les transferts de données personnelles vers les Etats-Unis sur le fondement de l’accord Privacy Shield en raison de l’absence d’un niveau de protection substantiellement équivalent à celui offert par le droit de l’Union. Cette décision implique de choisir une garantie appropriée au sens du RGPD pour réaliser un transfert de données à caractère personnel vers les Etats-Unis à l’instar des CCT ou des BCR[12].
Néanmoins, dans le même arrêt, la CJUE s’est prononcée sur l’application des CCT en conditionnant leur validité à une évaluation in concreto du niveau de protection accordé par le pays tiers concernant les données à caractère personnel. Autrement dit, le transfert des données à caractère personnel ne peut être opéré qu’à la condition que l’évaluation atteste que le pays destinataire des données assure un niveau de protection suffisant ou, dans le cas contraire, que des “mesures supplémentaires” soient prises par le responsable de traitement ou le sous-traitant afin de remédier aux lacunes révélées par l’évaluation. Ce raisonnement de la Cour s’applique également aux autres instruments de transfert visés à l’article 46, paragraphe 2, du RGPD tels que les règles BCR et les clauses contractuelles ad hoc. Dans le cas d’un transfert des données à caractère personnel vers les Etats-Unis, la CJUE et le Comité européen à la protection des données (CEPD) retiennent que le droit nord-américain n’assure pas un niveau de protection adéquat.
Dans ses dernières recommandations sur les mesures complémentaires en date du 18 juin 2021[13], le CEPD propose une liste non exhaustive d’exemples de mesures supplémentaires. Le CEPD préconise notamment des mesures de sécurité telles que le cryptage du contenu des données et de leur transport, la pseudonymisation des données et le fractionnement des transferts auprès de sous-traitants distincts de sorte que les données personnelles ne puissent être attribuées aux personnes concernées sans information additionnelle. S’agissant du transfert des données de la plateforme HDH vers les Etats-Unis, la CNIL souligne que le chiffrement des données et le stockage des clés de chiffrement utilisé par Microsoft limite le risque pour l’entreprise d’accéder aux données traitées par la plateforme mais n’exclue pas, sur le plan technique, la possibilité pour Microsoft de faire droit à une demande des autorités nord-américaines[14]. Le chiffrement des données ne suffit pas à protéger les données des citoyens européens contre les ingérences des autorités nord-américaines, sauf si les parties soumises à sa juridiction n'ont pas accès aux clés de déchiffrement. Dans le cas contraire, ces autorités peuvent facilement exploiter ces données. L'exemple de Doctolib illustre bien la mise en place de mesures de sécurité pour empêcher cela, notamment en chiffrant les données et en confiant les clés de déchiffrement à un tiers de confiance situé en France, plutôt qu'aux acteurs nord-américains[15].
En réponse aux enjeux croissants posés par la souveraineté numérique, une stratégie de réponse s’est progressivement mise en place. A l’échelle nationale, cette stratégie repose sur une modernisation de l’État dans le traitement et la protection des données sensibles françaises. A l’échelle européenne, cette stratégie repose sur une politique industrielle qui fait appel à la mutualisation des acteurs privés européens et à un investissement étatique conséquent.
Le cloud : une réponse aux enjeux de la souveraineté numérique
A l’échelle nationale, la France a mis en place une stratégie qui repose sur deux volets principaux qui sont d’une part un investissement dans la recherche et l’innovation et, d’autre part, le développement d’un label « Cloud de confiance ».
Une réponse à l’échelle nationale
Dans le cadre du Plan « France Relance » et du quatrième programme d’investissements d’avenir (PIA4), le Gouvernement a lancé le 17 mai 2021 une stratégie nationale pour le Cloud, un marché identifié comme prioritaire.
Cette stratégie nationale pour le cloud s’articule autour de trois principes. Le premier est la définition et la caractérisation du « cloud de confiance », garantissant un niveau de protection juridique et cyber pour les données sensibles ; le second est la doctrine « cloud au Centre », qui fait du cloud un levier prioritaire de la transformation numérique des administrations et s’inscrit dans une politique de la demande ; le troisième volet concerne la politique industrielle qui est mise en place pour renforcer la filière française du cloud.
Précisément, le label « cloud de confiance » repose sur l’obtention du Visa de sécurité SecNumCloud, un référentiel développé par l’ANSSI. Il permet de justifier d’un haut niveau de compétence et de qualité de service en matière de cybersécurité, tout en démontrant une protection forte des données sensibles. Pour obtenir le label, les données doivent être localisées en France, les services doivent être proposés par une entité de droit français et le cloud doit être indépendant des réglementations extraterritoriales[16].
Il y a un an, c’était déjà près de 500 millions d’euros qui avaient été investis pour le développement de l’industrie française des services de cloud[17]. Dans le cadre de France 2030, dévoilé par Emmanuel Macron en octobre 2021, l’objectif pour le gouvernement est d’une part de rattraper le retard de la France dans certains secteurs historiques et, d’autre part, de créer de nouvelles filières industrielles et technologiques. Des Programmes et Équipements Prioritaires de Recherche (PEPR) sont mis en place.[18] Ils visent à construire ou consolider un leadership français dans des domaines scientifiques liés notamment à une transformation technologique considérée comme prioritaire au niveau national ou européen[19].
Un PEPR, copiloté par l’Institut national de recherche en sciences et technologies du numérique (INRIA) et le CEA, a été doté de 56 millions pour servir la stratégie nationale pour le Cloud. L'objectif principal est de favoriser l'essor des modèles de cloud hybrides qui combinent à la fois des solutions de cloud public et privé, ainsi que des solutions de stockage et de traitement de données situées à proximité des utilisateurs (Edge computing)[20].
Afin de permettre à la filière française du cloud de se positionner stratégiquement pour accroitre sa souveraineté numérique, l'État a ouvert un appel à manifestation d'intérêt (AMI) pour soutenir le développement d'offres compétitives dans ces domaines. Vingt-trois projets ont été sélectionnés pour bénéficier du soutien de l'État, pour un total de 421 millions d'euros d'aides. Ils devraient mobiliser 500 millions d'euros d'investissement privé. Les projets les plus importants seront financés dans le cadre d'un Projet Important d'Intérêt Européen Commun (PIEEC) qui rassemble actuellement 11 États membres[21]. Le PIEEC a pour objectif principal de développer une offre de cloud européenne durable dans les domaines technologiques innovants tels que le edge computing[22].
Tous les éléments de la stratégie nationale pour le cloud s’articulent avec l’échelon européen.
Une réponse à l’échelle européenne
Le cloud est le pilier de la souveraineté numérique et la clef de voute de la protection des données sensibles. Aussi, avoir le choix entre différentes solutions de cloud est indispensable pour assurer la maitrise des données des citoyens européens. Preuve que la filière du cloud est au cœur de la souveraineté numérique, la demande connait une très forte croissance : la part des sociétés françaises de plus de 10 salariés ayant besoin de services de cloud est passé de 19% en 2018 à 27% en 2020[23].
Le premier volet de la stratégie européenne repose sur une volonté commune des acteurs européens de développer des solutions qui pourront concurrencer les géants nord-américains et chinois.
Si, sur ce plan, la France dispose déjà d’acteurs importants tels que OVHCloud - premier fournisseur de Cloud européen - elle s’inscrit également dans une dynamique européenne porteuse. L’approche européenne de la France est essentielle pour retrouver de la souveraineté numérique. Par ailleurs, les entreprises européennes, qu'elles soient fournisseurs ou utilisatrices de services de cloud, sont confrontées à des problèmes communs de souveraineté des données.
La France a un rôle prépondérant dans l’ensemble des initiatives européennes, qu’elles soient publiques ou privées. Au regard des initiatives d’ordre public, elle discute actuellement avec ses partenaires européens pour faire de SecNumCloud[24] le futur standard du schéma européen de certification et elle a signé le 15 septembre 2020 une déclaration conjointe des 27 États membres sur le cloud[25]. Du point de vue des initiatives privées, la France soutient notamment, avec l’Allemagne, le projet GAIA-X qui est un projet à l’origine privé, ayant pour objectif de créer un cloud efficace et compétitif pour l'Union européenne tout en garantissant la sécurité et la fiabilité des données[26].
Avec sa stratégie européenne pour la donnée, l'Union européenne cherche à créer un marché européen de la donnée qui respecte les valeurs de l’Union. Le règlement Digital Markets Act (DMA)[27], voté le 14 septembre 2022 et qui entrera en vigueur le 2 mai 2023, vise à lutter contre les pratiques anticoncurrentielles des géants d’internet et corriger les déséquilibres de leur domination sur le marché numérique européen. Le règlement vise expressément les activités de services en nuage en les soumettant aux principes de portabilité, d'interopérabilité et de réversibilité pour faciliter l'utilisation des services cloud et limiter les stratégies de verrouillage technologique qui entravent actuellement le développement de concurrents européens. L’objectif est de faire de l'Union européenne un acteur majeur de l'économie de la donnée en combinant des mesures de régulation et de financement pour encourager le développement d'offres, d'infrastructures et de services cloud européens, ainsi que la valorisation des données.
Chronique « Droit, Juriste et Pratique du Droit Augmentés »
Cette chronique a pour objectif, de traiter de questions d'actualité relatives à cette transformation. Dans un contexte où le digital, le big data et le data analytics, le machine learning et l'intelligence artificielle transforment en profondeur et durablement la pratique du droit, créant des « juristes augmentés » mais appelant aussi un « Droit augmenté » au regard des enjeux et des nouveaux business models portés par le digital.
Avec son Augmented Law Institute, l'EDHEC Business School dispose d'un atout majeur pour positionner les savoirs, les compétences et la fonction du juriste au centre des transformations de l'entreprise et de la société. Il se définit autour de 3 axes de développement stratégiques : son offre de formations hybrides, sa recherche utile à l'industrie du droit, sa plateforme de Legal Talent Management. https://www.edhec.edu/fr/ledhec-augmented-law-institute
[1] Article 1er, alinéa 2 de la loi Informatique et Libertés
[2] G. Longuet, Rapport d’information sur « Le devoir de souveraineté numérique », déposé au Sénat le 1er octobre 2019, https://www.senat.fr/notice-rapport/2019/r19-007-1-notice.html
[3] Rapport CERTFR-2023-CTI-001, « Menaces et Incidents du CETR-FR », ANSSI, https://www.cert.ssi.gouv.fr/uploads/CERTFR-2023-CTI-001.pdf
[4] Délibération n°2019-008 du 31 janvier 2019 portant avis sur un projet de loi relatif à l’organisation et à la transformation du système de santé, https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000038142154/
[5] Rapport d’information du Sénat, “cinq plans pour reconstruire la souveraineté économique”, http://www.senat.fr/rap/r21-755/r21-75516.html
[6] CNIL, « Transférer des données hors de l’UE », https://www.cnil.fr/fr/transferer-des-donnees-hors-de-lue
[7] F. G’Sell, « Remarques sur les aspects juridiques de la souveraineté numérique », La Revue des juristes de Sciences Po, 9 juillet 2020, https://www.sciencespo.fr/public/chaire-numerique/2020/07/09/quest-ce-que-la-souverainete-numerique/
[8] RGPD, Chapitre 5 “Transferts des données à caractère personnel vers des pays tiers ou des organisations internationales”, https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre5
[9] CNIL, “Transferts de données hors UE : le cadre général prévu par le RGPD”, https://www.cnil.fr/fr/transferts-de-donnees-hors-ue-le-cadre-general-prevu-par-le-rgpd
[10] Rapport d’information n°4213 sur les géants du numérique, présentés par les députés Alain David et Marion Lenne, https://www.assemblee-nationale.fr/dyn/15/rapports/cion_afetr/l15b4213_rapport-information
[11] M. Griguer et D. Scemama, « Impact et conséquences de la décision Schrems II sur les outils de transfert de données à caractère personnel », Cahiers de droit de l'entreprise n° 1, Janvier 2021
[12] Pour aller plus loin sur la question du transfert des données transatlantiques, voir N. El Baze et H. Carru, « La fragile souveraineté numérique des citoyens européens », Les Affiches Parisiennes, 10 février 2023, https://www.affiches-parisiennes.com/la-fragile-souverainete-numerique-des-citoyens-europeens-120492.html
[13] Recommandations 01/2020 sur les mesures qui complètent les instruments de transfert destinés à garantir le respect du niveau de protection des données à caractère personnel de l’UE, https://edpb.europa.eu/system/files/2022-04/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_fr.pdf
[14] Conseil d'État, Juge des référés, 13/10/2020, 444937, point 17, https://www.legifrance.gouv.fr/ceta/id/CETATEXT000042444915
[15] F. Zannotti, « Hébergement, transferts et données de santé - les solutions esquissées par le Conseil d’Etat », Cahiers de droit de l’entreprise n°3, mai 2021, dossier 17
[16] https://www.ssi.gouv.fr/actualite/lanssi-actualise-le-referentiel-secnumcloud/
[17] Stratégie nationale pour le cloud, Soutenir l’innovation dans le cloud, 2 novembre 2021
[18] https://www.economie.gouv.fr/france-2030
[19] Agence Nationale de la Recherche - ANR.fr
[20] Le Edge Computing est un modèle de traitement de données qui consiste à effectuer le traitement et l'analyse des données en temps réel au plus proche de leur source plutôt que de les envoyer à un centre de données centralisé pour le traitement.
[21] La France, l'Allemagne, l'Italie, l'Espagne, la Belgique, le Luxembourg, la Slovénie, la Hongrie, la République tchèque, la Pologne et la Lettonie
[23]Source : Eurostat, 2021
[24] Élaboré en 2016 par l’ANSSI, le référentiel « SecNumCloud » permet la qualification de prestataires de services d’informatique en nuage
[25] Stratégie nationale pour le cloud, Soutenir l’innovation dans le cloud, 2 novembre 2021
[26] Ibidem
