La souveraineté numérique est un concept émergent en droit. Il ne fait pas l'objet, pour l'instant, d'une définition juridique. Comment la définir par référence au concept classique de souveraineté ? La souveraineté désigne le caractère suprême d'une puissance qui n'est soumise à aucune autre. Trois caractéristiques sont généralement mises en avant pour préciser sa définition. On s'attache tout d'abord au titulaire de celle-ci – qui est souverain ? On s'attache ensuite aux prérogatives mises en œuvre – quelle est la puissance souveraine ? On considère enfin la souveraineté comme une qualité constitutive de l'État : elle permet de distinguer l'État des autres organisations. Ce concept est donc étroitement dépendant d'une logique territoriale, qui pose difficulté dans l'environnement numérique.
Comment définir la souveraineté dans l'environnement numérique ? La souveraineté comme expression d'une puissance souveraine – c'est-à-dire la possibilité d'adopter des normes et de les faire appliquer dans l'environnement numérique – est un aspect admis de la souveraineté. De ce point de vue, l'État exerce une souveraineté sur l'espace numérique par les dispositions qu'il adopte, sous réserve des difficultés liées à la compétence territoriale.
La souveraineté numérique est, dans l'ordre externe, la capacité de l'État à demeurer indépendant. Ce deuxième aspect de la souveraineté numérique complète le premier : il existe, d'une part, l'aptitude à émettre des normes dans l'environnement numérique, et, d'autre part, son autonomie stratégique dans l'environnement numérique.
À mon sens, ces deux aspects permettent de définir la souveraineté numérique : elle recouvre un aspect normatif et un aspect lié à l'autonomie stratégique – économique, juridique et technologique. Ces deux aspects rejoignent, d'une certaine manière, la distinction classique entre la souveraineté interne et la souveraineté externe.
Le terme de souveraineté numérique n'est généralement pas admis en droit, pour une raison assez simple : Internet repose sur une logique initialement libertarienne. Ce réseau pourrait donc se passer d'État. Cette approche trouve son fondement dans la déclaration d'indépendance du cyberespace de 1996. Elle est aujourd'hui remise en cause par les acteurs d'Internet, puisque nous assistons à un mouvement de privatisation de ce réseau. L'émergence d'acteurs importants comme les géants du web américains – Google, Apple, Facebook, Amazon et Microsoft (GAFAM) – et chinois – Baidu, Alibaba, Tencent, Xiaomi (BATX) – met en exergue l'idée selon laquelle les États deviennent des colonies numériques. Il est vrai que la souveraineté réelle de l'État interroge, dès lors que des acteurs maîtrisent des données, émettent une monnaie, contrôlent les paiements, maîtrisent les places de marché, contrôlent la liberté d'expression en ligne et proposent des solutions d'identité numérique. Les différents modes d'expression de l'État sont ainsi petit à petit « mangés » par ces acteurs.
Il existe une production législative très importante pour encadrer le numérique, depuis une dizaine d'années, à l'initiative de l'Union européenne. Nous faisons face à un empilement très important de textes qui apportent des dispositions en matière de services de confiance, de protection des données personnelles et non personnelles, de protection des équilibres économiques. Nous assistons à une densification normative pour encadrer le numérique. Je ne suis pas persuadé que les réponses à ces enjeux soient nécessairement toujours juridiques. Il y a, à mon sens, un vrai problème de politiques publiques en matière de souveraineté numérique.
J'en veux pour exemple l'identité numérique, qui traduit l'aptitude des États à exercer leur souveraineté numérique. Elle constitue une clé pour transformer les services publics et pour développer la confiance dans les services en ligne. Du point de vue de l'État, ce service se développe très lentement avec France Connect Plus, qui n'est pas encore notifié à la Commission et qui n'est pas encore interopérable – alors même que des acteurs privés prétendent proposer des solutions en la matière, comme Facebook avec ID Connect. L'État a pourtant naturellement vocation à proposer une solution d'identification électronique à ses citoyens, et ainsi favoriser l'émergence d'un socle de confiance en ligne et réaffirmer sa place dans l'environnement numérique.
La souveraineté numérique s'exprime au-delà du droit par des moyens suffisants, comme les effectifs de la Commission nationale de l'informatique et des libertés (CNIL) ou de la Plateforme d'harmonisation, d'analyse, de recoupement et d'orientation des signalements (PHAROS). Il existe une vraie question d'investissement humain et technique, ainsi qu'une nécessité d'investissement dans la recherche de technologies innovantes. Cela constitue de vraies difficultés pour les États, qui doivent investir suffisamment dans l'innovation pour conserver une longueur d'avance par rapport aux acteurs privés.
L'arrêt Schrems II est un arrêt fondamental en droit des données à caractère personnel. Cet arrêt était inattendu du point de vue de sa solution, car le contentieux qui a amené à l'arrêt Schrems II ne portait pas sur la validité de la décision d'adéquation Privacy Shield, mais sur le recours à des clauses contractuelles-types par Facebook pour transférer des données aux États-Unis.
Le contentieux ayant donné lieu aux arrêts Schrems I et II est assez ancien. L'autorité irlandaise de protection des données, amenée à se prononcer, a formulé, par deux fois, des questions préjudicielles qui ont conduit la Cour de justice à rendre un arrêt. Dans le cas de Schrems II, à l'occasion de l'appréciation de la validité des clauses contractuelles-types pour le transfert des données, la Cour de justice a jugé nécessaire de se prononcer sur la décision d'adéquation du Privacy Shield. Pour qu'un transfert de données à caractère personnel puisse avoir lieu d'Europe vers un pays tiers ou vers une organisation internationale, il faut s'appuyer sur une base juridique (comme une décision d'adéquation) permettant d'obtenir des garanties équivalentes à ce qui existe en droit de l'Union pour la protection des données, ou à défaut, sur des mécanismes beaucoup plus simples comme le consentement à un traitement de données pour des transferts ponctuels.
Dans l'arrêt Schrems, la Cour de justice a été amenée à apprécier la validité de la décision d'adéquation sur le point de savoir si les États-Unis présentaient ou non un niveau de protection des données équivalent à celui offert par le droit de l'Union. Elle a estimé que les États-Unis n'offraient pas cette protection équivalente. Elle s'est appuyée sur la protection du droit au respect de la vie privée garanti par l'article 7 de la Charte des droits fondamentaux, la protection du droit au respect des données à caractère personnel et son régime exprimé à l'article 8 de la Charte des droits fondamentaux et enfin, sur l'article 47 de la Charte des droits fondamentaux qui consacre le droit à un recours juridictionnel au titre des droits protégés par cette Charte.
Partant, la Cour de justice a été amenée à mettre en œuvre le contrôle habituel de proportionnalité. Elle s'est intéressée au but poursuivi par la législation américaine, à la nécessité de ce but et à la proportionnalité dans l'atteinte portée aux droits garantis par la Charte. À l'issue de cette analyse, la Cour de justice a estimé que la protection des données aux États-Unis ne présentait pas un niveau de garantie suffisant, car les personnes concernées ne bénéficient ni de droits effectifs et opposables, ni d'un droit à un recours juridictionnel. Elle a également jugé que le médiateur mis en place par les États-Unis, en tant qu'autorité chargée de protéger les données à caractère personnel des citoyens européens, ne présentait pas de garantie d'indépendance et ne disposait pas d'un pouvoir permettant d'adopter des dispositions contraignantes en matière de protection des données.
Par ce raisonnement, la Cour de justice a donné des indications importantes sur la manière d'apprécier le niveau de garantie équivalent présenté par une législation étrangère. Cela est important, car ce critère permet d'apprécier la validité d'une décision d'adéquation ou le caractère adéquat du recours à des garanties complémentaires, en l'absence d'une décision d'adéquation, comme des clauses contractuelles types ou des règles d'entreprise contraignantes. En rendant cet arrêt Schrems, la Cour de justice a donc donné la méthode : elle a précisé le niveau de protection des données requis en droit de l'Union, et donc requis d'un État tiers pour qu'une décision d'adéquation soit adoptée ou pour que des garanties appropriées soit adoptées pour compenser la différence de niveau de protection.
Pour les États-Unis, le recours à des clauses contractuelles-types ne permet pas de compenser la différence de niveau de protection, car celles-ci ne sont pas opposables à l'État américain et elles ne permettent pas, en elles-mêmes, d'accorder un recours juridictionnel aux citoyens européens, ni d'instituer une autorité de contrôle indépendante. En conséquence de cette décision, le transfert de données à caractère personnel vers les États-Unis est impossible. La législation américaine qui prévoit le contrôle et le stockage généralisé des données à caractère personnel transitant par les États-Unis rend difficilement possible l'adoption d'une nouvelle décision d'adéquation ou le recours à d'autres garanties appropriées. Le transfert des données vers les États-Unis est donc aujourd'hui prohibé. Le fait de procéder à un transfert de données entraîne une non-conformité au droit de l'Union, ce qui, en France, constitue une infraction pénale.
Cela cause un cataclysme dans les activités économiques. 65% de l'offre cloud est offerte par Amazon, dont une partie des serveurs se situe aux États-Unis. Dans le cas du Health Data Hub, Microsoft stocke des données en Europe, mais on sait que des opérations sur les données sont, pour partie, conduites grâce à un transfert temporaire via des serveurs américains. Ces situations causent potentiellement une non-conformité au droit de l'Union à la suite de l'arrêt Schrems II.