SOUVERAINTE NUMERIQUE : Questions juridiques autour de la souveraineté numérique

Depuis la crise du Coronavirus, la souveraineté est dans tous les esprits. Cette volte-face à 180° par rapport au « monde d’avant » amène à revenir sur le concept d’autonomie stratégique dans le cyberespace.

Présenté à l’origine comme un nouvel espace transfrontalier – on parlait alors « d’autoroutes de l’information » - affranchi de toute autorité tutélaire, où la liberté d’expression devait être un espace sans censure à l’échelle planétaire (c’était avant la Loi Avia, fort heureusement largement vidée de sa substance liberticide), Internet est devenu depuis lors en enjeu géostratégique.

Au-delà d’un espace conflictuel de type cyberguerre – permettant de neutraliser des armées en les privant de signaux GPS, en brouillant des échanges, en divulguant de fausses informations, … - ou de cyberdéfense, Internet est aussi un monde beaucoup plus régulé qu’on ne le croit, où les Etats-Unis cherchent souvent à dominer sans partage. 

 
I - Une structure internationale administrée par les USA

L’Internet est une extension virtuelle des Etats-Unis sous leur domination absolue :
la loi régit le comportement dans le monde physique ; le code, dans le monde virtuel, détermine l’existence même. (Pierre BELLANGER, Président fondateur de Skyrock [1])
 
Depuis le premier réseau (né avec Arpanet en 1969 pour relier les universités américaines entre les deux côtes Ouest-Est, puis préempté par l’armée américaine), dissocié de l’usage militaire en 1980, Internet a évolué au cours de ces quatre dernières décennies vers des activités civiles par la création de la « toile » ou world wide web (1989), avec une accélération exponentielle conduisant à la création du cyberespace.
 
Internet ayant été conçu en Californie à l’Université de Californie de Los Angeles (UCLA), la gestion en a été déléguée à une société privée de droit californien dont le siège est à Marina del Rey, dans le district de Los Angeles. En tant que société commerciale, l’ICANN est placée sous l’autorité du Department of Commerce fédéral.
 
L’administration d’Internet dépend ainsi de l’ICANN (ou Internet Corporation for Assigned Names and Numbers) qui gère les attributions de protocoles Internet (IP), assemblages de chiffres formant une adresse informatique. Chaque ordinateur dispose d’une adresse IP qui est sa propre signature. L’ICANN enregistre également les noms de domaines des sites Internet (ou DNS).
 
Ainsi, bien que se voulant un vaste lieu d’échange et de communication mondial, Internet dépend d’une personne morale privée et non pas d’une institution supranationale. Il n’existe aucune convention internationale régissant cette structure et les flux qui en découlent, comme cela s’est vu a contrario en matière spatiale ou maritime.
 
Selon les parlementaires Jacques MYARD et Jean-Michel BOUCHERON, « Il est symptomatique que les Etats-Unis soient très fermement attachés à la localisation de l’ICANN et des ordinateurs (…) sur le sol américain. Le ficher mondial des abonnés et des sites Internet se trouve ainsi sur leur territoire, avec de larges possibilités d’accès, soit par voie de justice, soit de manière plus discrète » [2]
 
Si localisation des instances régissant Internet favorise sans nul doute les GAFAM, bien que cet administration soit décriée au niveau international, notamment par les émergents et leurs fleurons de l’industrie numériques tels de Baïdu, Xiaomi, Alibaba, Huamei et consorts. 

 
II - Une tentative d’indépendance numérique européenne en matière de données personnelles ?

 
Les Français et les Européens transfèrent massivement leurs données personnelles sur le continent nord-américain. La France fait partie certainement des premiers exportateurs mondiaux de vie privée. (…)
Nous avons accepté des contrats que nous n’avons jamais lus, aux clauses obscures et changeantes par ailleurs. Nous avons cédé les droits et la propriété de souvenirs, d’images, de notre passé, de nos pensées à des sociétés de services informatiques sur un autre continent régi par un autre droit, une autre langue et sur lequel la moindre procédure judiciaire est d’un coût dissuasif. (Pierre BELLANGER)
 
Sur ce terrain, la réplique est incontestablement venue des juges européens. Témoignant en effet d’un regain de souveraineté quasi inattendu, la Cour de Justice de l’Union Européenne (CJUE) [3], a rendu un arrêt infligeant un camouflet aux autorités américaines. En l’espèce, un internaute autrichien, du fait des révélations « d’espionnage numérique » dans la foulée du scandale Snowden-PRISM [4], s’inquiétait que ses données personnelles recueillies depuis son compte Facebook, puissent être scrutées par la NSA ou le FBI, en vertu des lois américaines de lutte contre le terrorisme [5]. Or, si Facebook a effectivement son siège européen en Irlande, pour des raisons fiscales, les données sont quant à elles exportées, conservées et traitées depuis les data centers basés aux Etats-Unis. Dès lors, elles se trouvent placées sous le contrôle des autorités américaines et soumises aux activités des services de renseignement.
 
Ayant introduit un recours devant les juridictions irlandaises (non sans avoir tout d’abord essuyé un rejet de sa requête par l’Autorité de protection de la vie privée – équivalent de la CNIL), la High court de l’Eire (Haute Cour de justice), saisissait la CJUE d’une question préjudicielle (procès suspendu dans l’attente de l’interprétation de la règle par les instances suprêmes). Se livrant à l’analyse des normes en vigueur s’agissant de la protection des données personnelles, la CJUE devait trancher en regard de la Directive 95/46 aux termes de laquelle, sous l’article 28 notamment, il est énoncé que chaque pays membre de l’UE doit instituer une autorité de protection des données personnelles, que des voies de recours doivent être ouvertes aux citoyens concernant l’usage et l’exploitation de leurs données.
 
De même, il est prévu des modalités garantissant le niveau de sécurité des données personnelles des citoyens de l’UE. Enfin, dès lors que les données du compte Facebook étaient centralisées sur le territoire américain, la CJUE se devait d’examiner la décision américaine 2000/520 du 26 juillet 2000 (dite « SAFE HARBOR ») au vu des dispositions de la Directive 95/46 et de s’assurer qu’elle offrait les garanties nécessaires relatives au respect des règles de protection de la vie privée compatibles avec les normes européennes.
 
Ainsi, aux termes de l’arrêt du 6 octobre 2015, la CJUE a estimé que les Etats-Unis n’offraient précisément pas de garanties suffisantes quant à la sécurité des données à caractère personnel des citoyens de l’UE. Par conséquent, le « SAFE HARBOR » se voit être déclaré inopérant en regard des règles de confidentialité européennes érigées par la Directive 95/46. Depuis, il a été âprement négocié un nouvel accord « EU-US Privacy Shield » rendu public le 4 février 2016. Plusieurs exceptions demeurent, et notamment celles renforçant les obligations de coopération en matière de corruption internationale (FCPA) et de fiscalité personnelle (FATCA).
 
Depuis lors, l’Union Européenne a adopté le RGPD en date du 26 avril 2016, renforçant le droit des titulaires sur la collecte et le traitement de leurs données. Le texte est en outre d’application extraterritoriale (article 48) et s’impose en conséquence à tout opérateur de premier ou de second rang qui se voit traiter des données personnelles acquises sur le territoire de l’Union Européenne.
Cette velléité est déjà battue en brèche depuis l’adoption du Cloud act (mars 2018) qui autorise les autorités américaines à solliciter et se faire communiquer des données par les opérateurs américains, quel que soit le lieu d’hébergement desdites données.

Cela n’est pas sans rappeler les mots du Président américain Obama, prononcés en février 2015, en réponse aux accusations d’espionnage numérique après les très nombreuses révélations de l’affaire Snowden, énonçant avec un ascendant affirmé que les Etats-Unis ont créé et diffusé Internet et que par conséquent ils sont propriétaires des données qui empruntent ce réseau.
En terme de domination et d’absence de souveraineté partagée, on ne saurait être plus clair …

Olivier de MAISON ROUGE
Journaldeleconomie.fr
Avocat (Lex-Squared) – Docteur en droit
Auteur de « Cyberisques. La gestion juridique des risques à l’ère immatérielle » (LexisNexis, 2018)


Rediffusé sur le site de l'ASAF : www.asafrance.fr
 

[1] « De la souveraineté en général et de la souveraineté numérique en particulier », Les Echos, 30 août 2011

[2] Rapport d’information parlementaire sur les vecteurs privés d’influence dans les relations internationales, par Jean-Michel BOUCHERON et Jacques MYARD, Assemblée Nationale, 18 octobre 2011, p. 66

[3] Aff C-362/14 du 6 octobre 2015

[4] Où il était mise en évidence que Mickey n’est pas le seul à avoir de grandes oreilles

[5] Patriot act, devenue Freedom act