Ces questions sont complexes, car elles se situent au croisement de deux logiques. La première est la liberté d'établissement et la caractérisation de l'établissement en droit européen. À ce sujet, les jurisprudences diffèrent selon les champs considérés. La deuxième est la logique propre à la commande publique. Les entreprises qui soumissionnent à des contrats de marché, informatiques ou autres, sont considérées comme des opérateurs économiques. Or, la notion d'opérateur économique est extrêmement large. N'importe quelle entité qui peut produire une offre et soumissionner à un contrat, sans être nécessairement une entreprise, est un opérateur économique. Par conséquent, toute entité publique ou privée, dès lors qu'elle est apte à faire une offre, peut se porter candidate indépendamment de sa localisation ou de son établissement. Ces critères n'apparaissent pas dans la définition des parties à un contrat de commande publique.
La nationalité des opérateurs des sociétés et de leurs filiales est une question également complexe. La jurisprudence a admis un certain nombre d'hypothèses de transfert de sièges sociaux et d'implantation de filiales par rapport à des sociétés mères. L'interface par rapport à la commande publique s'effectue essentiellement selon les conditions d'aptitude. Un acheteur peut invoquer les obligations d'enregistrement au registre du commerce et quant à l'immatriculation sociale et fiscale.
La question de l'abus de droit doit également être examinée avec attention. Face à certains montages fiscaux élaborés par les GAFA, la Cour européenne a ouvert la voie à des localisations qui seraient constitutives d'abus de droit, au terme du droit européen et du droit interne, en tant qu'elles visent à contourner les règlementations existantes. La qualification d'abus de droit devrait être mieux exploitée en matière de commande publique.
Enfin, la localisation et les transferts de données nous ramènent à une problématique de « bouclier ». Le risque est le transfert des données européennes aux États-Unis. La jurisprudence Schrems a donné lieu à plusieurs arrêts, dont le dernier de juillet 2020. Nous sommes confrontés à un enjeu de reconnaissance mutuelle : dans quelle mesure peut-on admettre qu'on a un système de protection à peu près équivalent chez des États tiers, en particulier aux États-Unis ? La question est très difficile, car par application du Cloud Act aux États-Unis, les renseignements américains exerceront toujours un contrôle sur les données qui doivent être transmises par les grandes entreprises. La Commission a soulevé récemment les autres questions de la cybersécurité et de la cyberdéfense. La révision des directives de cybersécurité des données et de cyberdéfense est différente du Digital Act. Elle constitue à mon avis un élément de réponse sur lequel le législateur français devrait prendre position.