Par Louis Perez, le 1er février 2021
Dans un précédent billet ThucyBlog, nous déconstruisions l’idée d’une souveraineté des GAFAM. Nous poursuivons ici cette thématique en analysant les prétendues atteintes opérées par les GAFAM contre la « souveraineté numérique » d’États européens qui apparaitraient désarmés face à ces géants.
De la « souveraineté numérique » abstraite à la sécurité numérique concrète
Les États européens, et dans une moindre mesure les États-Unis, verraient leur souveraineté menacée en raison de la puissance des GAFAM et de leurs attributs souverains. Pourtant la souveraineté de ces États semble intacte. Ces États ont consenti au développement des GAFAM sur leurs territoires et ont passé des contrats avec eux sans que rien ne leur ait été imposé.
D’aucuns rétorquerons qu’il y a une pression de facto liée au retard numérique important de ces États. Refuser les services des GAFAM, ce serait ainsi se diriger vers un retard économique important. Ils demeurent que ces États restent souverains au sens où, selon Jellinek, « aucun autre pouvoir ne peut juridiquement [les] empêcher de changer [leur] ordre juridique propre ». En dépit de cette souveraineté intacte, nombreux sont ceux qui considèrent que les États européens sont pris dans un piège en train de se refermer. S’ils demeurent souverains, il y a peu de chances, pour les raisons économiques citées, qu’ils usent radicalement de leur souveraineté pour expulser les GAFAM sur leurs territoires. C’est ce constat d’une souveraineté persistante mais inexploitable qui fonde les craintes d’une prétendue « souveraineté numérique » en perdition. Craintes qui occultent toutefois l’idée, beaucoup plus préoccupante, d’une Europe « dénumérisée » et nécessiteuse, dans l’hypothèse où elle se séparerait des GAFAM sans aucune alternative. De cette démonstration, on comprendra qu’il s’agit bien plus d’un enjeu de sécurité numérique que de souveraineté. Ce sont des questions d’équilibres et d’intérêts qui sont en jeu et non de souveraineté. C’est à tort qu’il faut voir les États européens comme subissant les GAFAM : ils les tolèrent et négocient avec eux, mais demeurent maîtres.
Les nouveaux instruments juridiques européens pour réguler les GAFAM
À ce titre, l’Union européenne (UE) a récemment présenté les très attendus Digitial Services Act et Digital Market Act, fer de lance de la riposte anti-GAFAM. Ces deux instruments ont pour objectif de mieux réguler internet et ses acteurs sur le sol européen. Le premier s’intéresse avant tout au contenu des plateformes numériques tandis que le second vise les pratiques commerciales des acteurs. Les GAFAM ne sont pas nommés directement mais désignés comme des gatekeeper en raison des responsabilités qu’implique leur poids sur le marché européen. Les gatekeeper doivent ainsi souscrire à des obligations ayant trait à la transparence ou au traitement des données. Un point particulièrement remarquable et pertinent au regard des enjeux de sécurité numérique est celui des sanctions infligées en cas de non-respect de ces obligations. Ces textes prévoient en effet de lourdes amendes pouvant aller jusqu’à 10% du chiffre d’affaires annuel. En cas de récidive, le démantèlement de ces entités tentaculaires ou l’interdiction d’exercer en Europe sont envisagés. L’UE affirme ici une position forte qui s’accompagne de moyens appropriés pour la mettre en œuvre.
Si les réactions des GAFAM ont été variées, il est opportun d’interroger la position des États-Unis à cet égard. Cette démonstration de force européenne est en effet particulièrement dépendante de l’allié américain, terre natale des GAFAM. Bien que les intérêts communs des GAFAM et des États-Unis soient fluctuants, il semble très peu probable qu’un démantèlement de ces entités s’opère un jour sur le sol européen sans un accord tacite américain. Dès lors, l’enjeu de sécurité numérique en Europe apparait intrinsèquement lié aux relations entre l’Europe et les États-Unis, d’une part, et entre les États-Unis et les GAFAM, d’autre part.
Le rôle ambivalent des États-Unis, illustré par une lutte juridique sur la question des données
Dans ce bras de fer UE/GAFAM, la position des États-Unis est intéressante. Par endroits, les États-Unis sont eux aussi engagés dans une lutte de puissance avec les GAFAM. L’idée d’un démantèlement a également était émise au sein d’un rapport parlementaire. À la différence de leurs concurrents chinois, États-Unis et GAFAM n’ont donc pas toujours des intérêts alignés. Pour autant, ils sont en mesure de rappeler leur position suprême. Les États-Unis ont en effet cet avantage d’être la mère patrie des GAFAM.
Les règles sont différentes pour les pays européens. En s’attaquant aux GAFAM, l’Europe se confronte aussi à son allié américain, notamment sur le plan sécuritaire. Sur ce terrain, les GAFAM apparaissent davantage comme un outil qu’un acteur. Cette lutte a pris un autre tournant juridique ponctué par des négociations, adoptions, voire annulation, en cascade de textes destinés à encadrer les rapports entre les États européens et les géants américains du numérique au sujet des échanges de données.
Dans le contexte des révélations de l’affaire Snowden en 2013, l’accord Safe Harbor, relatif aux transferts de données entre l’UE et les États-Unis, a été invalidé par la Cour de justice de l’Union européenne (CJUE) en 2015. C’est en effet sous l’impulsion de Maximilien Schrems, citoyen irlandais préoccupé de voir ses données personnes transférées vers Facebook aux États-Unis, que cette procédure s’est initiée. Suivant cette invalidation, un nouvel accord, censé être plus protecteur, a été adopté en 2016, le Privacy Shield.
En parallèle, deux autres textes ont été adoptés en 2018. En Europe, le Règlement général sur la protection des données (RGPD) et aux États-Unis, le Cloud Act. Si les objectifs de ces instruments sont différents, ils se croisent, voire s’opposent. Alors que le RGPD entend encadrer strictement le transfert de données en dehors de l’UE, le Cloud Act prévoit un accès, dans certaines conditions, aux données des serveurs européens des GAFAM, donc des données personnelles européennes. Ainsi, de manière simplifiée, un GAFAM qui transmettrait, sous la pression du Cloud Act, des données européennes aux États-Unis violerait le RGPD. Ce constat a abouti en juillet 2020, toujours sous l’impulsion de Schrems, à une nouvelle invalidation de la CJUE concernant le Privacy Shield. La Cour a en effet estimé que les outils de surveillance américains n’étaient pas compatibles avec la protection offerte par le RGPD. Cette lutte juridique illustre l’intérêt des États-Unis dans l’épanouissement des GAFAM en Europe et la position des États européens, moins dociles qu’il n’y paraît.
Cette armada de textes et accords illustre la situation complexe des États européens. Internet, ses plateformes et ses acteurs peuvent conduire à de nombreuses dérives (données personnelles, contenus dangereux, monopole etc.) qui menacent les droits et libertés des citoyens européens. Les États ont donc le devoir de réguler ce domaine pour assurer la protection des individus. Cette régulation implique de négocier en premier lieu avec les GAFAM, qui prodiguent à l’Europe sa capacité numérique. Ces entités ont un poids économique, et donc politique, démesuré, mais demeurent des personnes morales de droit privé américaines soumises à la souveraineté des pays où elles agissent. Cette négociation ne peut toutefois se faire sans les États-Unis qui, tout en ayant un intérêt économique et stratégique à la prospérité des GAFAM en Europe, font eux aussi face aux dérives précitées. L’Europe est donc dans une double lutte face aux GAFAM et aux États-Unis, dont les intérêts ne sont pas toujours convergents.
Dès lors, on peut s’interroger sur la capacité réelle de l’Europe à maitriser les GAFAM si ces derniers sont soutenus par les États-Unis contre lesquels le Vieux Continent a une faible marge de manœuvre. Pourtant, il demeure des institutions apolitiques en faveur des intérêts des citoyens européens, à l’image de la CJUE qui a invalidé les accords d’échanges de données en raison du déséquilibre qu’ils portaient. Le droit, comme bouclier mais aussi comme épée, semble ainsi être l’outil cardinal pour assurer la sécurité numérique en Europe.
