En préparant cette audition, j'ai été frappé par la multiplicité des définitions données à la souveraineté numérique. Cette multiplicité montre bien l'extrême difficulté qui surgit pour qui tente de cerner cette notion, d'autant que certains refusent d'en considérer la polyvalence.
Sa meilleure définition reposerait encore, à mon sens, sur celle du cadre dans lequel elle s'exerce. M. Thierry Breton, en 2019, a évoqué le sujet lors d'une audition devant le Sénat. Il a très justement choisi de définir la souveraineté numérique comme un espace informationnel, de même qu'il existe un espace territorial, maritime ou encore aérien. Cette notion, extrêmement mouvante, d'espace informationnel recouvre l'ensemble considérable et sans cesse croissant des informations que les citoyens, les administrations et le secteur économique produisent et traitent.
La notion de souveraineté, appliquée à un État ou une nation, suppose en principe celle de frontières, qui me paraît difficile à transposer dans le domaine du numérique, encore qu'il ne faille pas écarter cette possibilité. La souveraineté repose aussi sur l'idée d'un pouvoir détenu par l'autorité publique dans un espace, en l'occurrence informationnel, pour organiser celui-ci, le structurer et le défendre. Il me semble en tout cas qu'il ne saurait exister de souveraineté numérique de l'espace informationnel sans stratégie nationale ou européenne pour le construire, sans anticipation de son devenir et sans outils pour le transformer. L'anticipation doit constituer un préalable à la stratégie, dont la mise en œuvre passera par des outils adaptés.
Je ne parviens pas, ce qui ne laisse d'ailleurs pas de me frapper, à discerner de stratégie numérique réelle en Europe, sauf depuis la récente nomination de M. Thierry Breton au poste de commissaire chargé, entre autres, du numérique. Nous nous contentons, jusqu'ici, en Europe, de naviguer à vue, en réaction à la conjoncture.
Nous avons d'abord réagi à notre environnement numérique par la convention 108 (pour la protection des données à caractère personnel) sous l'égide du Conseil de l'Europe, puis par la directive 95/46/CE (sur la protection des données). Le délai de transposition de cette directive courait jusqu'à octobre 1998. Or Google a été créée en septembre 1998. Nous constatons donc un décalage entre la réalité du monde numérique et notre législation européenne. Il a fallu attendre près de dix ans la mise en œuvre d'un outil, certes considérable, mieux adapté au contexte économique réel, tel que le Règlement général pour la protection des données (RGPD).
Il nous manque, selon moi, tant en France que dans l'Union européenne, la capacité d'anticiper. Avant de construire une stratégie et de concevoir les outils utiles à sa mise en œuvre, il faut réfléchir à ce que nous réserve l'avenir. Nous devons, à mon avis, nous appuyer sur ces trois piliers que constituent l'anticipation, la stratégie et les outils, pour viser un objectif de souveraineté numérique.
Vous m'avez interrogé sur l'existence d'une politique commune à l'Union européenne. Les 27 États qui la composent ne disposent pas tous d'une stratégie nationale de la donnée vraiment définie. La Grande-Bretagne, qui en avait une, a malheureusement quitté l'Union européenne. La France, l'Allemagne, l'Espagne et l'Italie en ont une également, mais l'on ne saurait en dire autant de tous les pays d'Europe. La seule limite que l'on constate, depuis près de vingt ans, aux politiques de la donnée vient de leur concrétisation industrielle.
En 2008, le programme Quaero ambitionnait de créer ce que l'on présentait alors comme un Google européen. Le partenaire allemand de ce projet franco-allemand s'en est retiré en 2013 et l'aventure s'est soldée par un échec. L'actuel projet GAIA-X, franco-allemand à l'origine, a depuis intégré certains opérateurs issus de géants américains du numérique et même une société chinoise. Faute, là encore, de stratégie industrielle claire, cette initiative est devenue illisible. Faut-il s'appuyer sur les grands acteurs étrangers, quitte à nouer avec eux des partenariats ? L'Europe peut-elle encore rattraper son retard ? Ces questions méritent d'être tranchées. J'estime l'Union européenne capable de combler son retard, encore faut-il qu'elle s'en donne les moyens intellectuels.
Votre application du terme « humaniste » au modèle numérique européen m'a frappé tout à l'heure. Le RGPD veille avant tout à ce que la valeur que représentent les données reste là où elle est produite. Ne rejouons pas un combat humaniste. Ce RGPD répond au défi que devait relever l'Europe d'associer la capacité de nourrir notre économie de données avec un souci de la protection de ces mêmes données et du respect de la vie privée. Les États-Unis partagent ces mêmes préoccupations. Il me semblerait excessif de prétendre que les États-Unis foulent aux pieds les droits de l'homme. La remarque ne vaut certes pas pour d'autres systèmes, dictatoriaux.
Il me paraît tout de même étonnant de qualifier d'humaniste la protection des données en Europe. Une telle assertion revient à se tromper sur l'essence même du RGPD et de tout ce que nous avons construit depuis quarante ans.