En presque vingt ans, le monde a assisté à une explosion des technologies du numérique. Devenues une ressource primaire, les données sont au cœur d’enjeux géopolitiques que connaissent toutes ressources indispensables. La régulation du cyberespace est alors nécessaire pour contrôler l’appétit de ces géants qui menacent l’Europe.
A l’occasion de la conférence du G8 sur la sécurité et la confiance dans le cyberespace, Jacques Chirac, alors président de la République, déclarait lors de son discours du 16 mai 2000, qu’Internet « jouera un rôle croissant dans la vie quotidienne des hommes et des femmes de nos pays » ; ajoutant « qu’il est de notre responsabilité d’en assurer le fonctionnement harmonieux ».
20 ans de discours politiques pour un seul constat : la régulation du monde immatériel est insuffisante voire inexistante
La régulation d’un monde toujours plus complexe et systémique façonné par la mondialisation est encore un enjeu majeur aujourd’hui. La prise de parole de l’actuel Président de la République, Emmanuel Macron, lors du Forum sur la gouvernance de l’Internet à l’UNESCO le 12 novembre 2018 atteste toujours de cette volonté de co-régulation.
Cette nécessité est confirmée chaque jour par des attaques informatiques de plus en plus fréquentes et coûteuses (plus de 50 000 euros en moyenne par entreprise en 2019). Ces attaques ciblent aussi bien les personnes physiques (exemple : fraude à la carte bancaire) que les entreprises (comme Sopra Steria en cette fin d’année 2020). Ces phénomènes vont s’amplifier, car 100 milliards de machines seront connectées à Internet en 2030.
Le principe de gouvernance insiste sur la nécessité d’un partage des prérogatives et d’une vision commune. Pourtant, l’Organisation des Nations Unies (ONU), représentée notamment par le Forum de la gouvernance de l’Internet, peine encore aujourd’hui à poser les bases d’une co-régulation mondiale. L’exemple de la résolution émise en décembre 2019 et prévoyant la création d’un traité international contre le recours aux technologies de communication et d'information à des fins criminelles réaffirme la difficulté de réunir autour d’un même traité des intérêts contradictoires. D’initiative russe et perçue favorablement par la Chine, ce projet se heurte à l’opposition des pays occidentaux qui y voient un moyen permettant à certains pays de contrôler et censurer la toile.
La seule manifestation supranationale existante reste alors la convention de Budapest signée en 2004. Celle-ci traite de la cybersécurité et met en place une politique pénale commune contre les infractions commises sur Internet. Pour autant, celle-ci souffre d’un manque de représentativité notamment due à l’absence de la Chine dans sa ratification. Cette gouvernance, impliquant les Etats et les entreprises est d’autant plus cruciale aujourd’hui qu’un rapport de force déséquilibré s’est installé impliquant notamment dans l’Union européenne au profit des GAFAM, les géants du numérique américains et demain peut-être les BATX chinois.
Si l’idée d’une régulation du cyberespace est avant tout de créer un monde immatériel plus sûr, il est également question pour les Etats européens d’affirmer leur souveraineté sur un espace de plus en plus stratégique. Si l’Union européenne, menée par la France, souhaite encore promouvoir ses valeurs tout en gardant une place centrale sur la scène internationale, elle devra se doter des moyens de réguler leurs frontières immatérielles et « ce Far West » décrit par Thierry Breton, l’actuel commissaire européen au marché intérieur. Malgré l’importance du défi, les européens peinent à le faire pour différentes raisons.
Les résistances sont nombreuses face à la nécessité d’un rééquilibrage des rapports de force en faveur de l’Union européenne
La pandémie de Covid-19 a eu le mérite de révéler l’emprise des GAFAM sur nos sociétés. Ces puissances du numérique détériorent l’autonomie des pays européens notamment en matière économique et commercial et les empêchent de créer un modèle alternatif. Leur quasi-monopole détruit toute tentative de création de concurrent européen et permet d’absorber l’innovation, de gagner des parts de marché et d’accaparer des données. Les licornes (start-up dont la valorisation financière est supérieure à 1 milliard de dollars) sont alors rachetées par ces prédateurs des temps modernes. L’exemple de Google-Alphabet est marquant. La société a, en 20 ans, racheté plus de 200 entreprises parmi lesquelles Youtube, Waze, Nest, DoubleClik.
Cette domination inquiétante des marchés s’illustre également par l’hébergement du Health Data Hub (HDH), la base de données de santé des français chez Microsoft. Selon la directrice du HDH, Stéphanie Combes, faute d’offres d’hébergement aussi intéressantes en Europe pour répondre à ce besoin, Microsoft a été choisi (aucun État n’avait d’ailleurs manifesté un intérêt pour certifier rapidement une entreprise européenne pour y répondre). Il semblerait donc que le lobbying de Microsoft fonctionne et détruit toute confiance dans les possibilités offertes par des entreprises européennes. Google, Amazon, Microsoft, Facebook et Apple, selon le New York Times, auraient dépensé plus de 20 millions d’euros rien qu’au premier semestre de l’année 2020 pour influencer les eurodéputés dans des prises de décisions relatives à la régulation numérique entre autres. En comparaison, ils avaient dépensé la même somme cette fois pour l’année 2019 toute entière.
Outre le risque d’abus de position dominante sur le marché, la question de la sécurisation des données personnelles inquiète. En effet, ces données sont récupérées facilement par les services de renseignements américains via « le Cloud Act » comme l’affirme l’arrêt Shrems II de la Cour de justice de l’Union européenne (CJUE) du 16 juillet 2020. Alors que les données sont hébergées aux Pays-Bas par Microsoft, les Etats-Unis, grâce à cette loi de 2018, peuvent en demander la restitution. Il s’agit là d’une forme d’extra-territorialité de la loi américaine sur le sol européen qui attente gravement à la souveraineté numérique des pays membres. En outre, il est à noter que Microsoft a incité les Etats-Unis à créer le “Cloud Act” pour contrer le droit de la protection intellectuelle européen et justifier ainsi l’espionnage économique qui menace une concurrence loyale en Europe.
De plus, pour que des concurrents aux GAFAM puissent exister, il faut pouvoir les inventer. Hors, le défi lié de la fuite des cerveaux français vers la Silicon Valley (estimée à 10 000 en 2015), qui ne fait qu’amplifier leur domination, et donc la perte de souveraineté, est un problème irrésolu. La réputation des universités d’outre-Atlantique fait rêver, autant que les carrières proposées chez les géants du numérique américains. La pénurie de talents est une réalité (3,5 millions de postes en cybersécurité ne seront pas pourvus dans le monde en 2021). Chaque année, des postes dans le domaine de la cyber sécurité, le développement informatique ne sont pas pourvus. A ce titre, l’initiative associative « France Digitale » créée en 2019, a pour objectif d’encourager les talents expatriés à revenir en France et attirer les étrangers pour travailler notamment dans le digital français. Tout en proposant des offres d’emplois intéressantes, France Digitale propose son aide pour les problématiques administratives, fiscales etc…
Le droit européen de la concurrence a quant à lui ses limites. Les années d’enquêtes et de procédures judiciaires sont coûteuses malgré des amendes importantes. De plus, les comportements des GAFAM ne changent pas. Malgré une amende de 5 milliards d’euros infligés par la Commission européenne pour non-conformité au droit de la concurrence en 2018 (elle remet en question la distribution d’Android), Microsoft use toujours de sa position dominante et a conscience que les consommateurs et les fabricants de smartphones sont dépendants de ses services. L’encerclement commercial s’applique aussi à une majorité d’entreprises françaises qui utilisent des outils de Google pour fonctionner. Elles sont sous la menace d’une hausse unilatérale du prix de ses services.
Quelles solutions pour réguler le cyberespace de demain et préserver la souveraineté économique européenne ?
Des solutions existent pourtant pour réguler le monde immatériel. L’Union européenne a montré, à travers son Règlement sur la Protection des Données (RGPD), qu’une co-régulation était possible et qu’elle pouvait protéger les données personnelles des européens. L’arrêt Shrems II, précité, en est la preuve. Par cet arrêt, la CJUE conclut que le « Privacy Shield », accord passé entre les Etats-Unis et l’Union européenne, ne permet pas d’assurer une protection des données personnelles, en provenance de l’Union, équivalente à celle permise par le RGPD. La jurisprudence issue de cet arrêt impose aux entreprises qui transfèrent des données personnelles d’européens aux Etats-Unis d’apporter davantage de garanties (comme les clauses contractuelles types). Si cela est impossible, alors ce transfert ne pourra pas se faire. Cet arrêt a le mérite d’affirmer un tournant dans la prise de position de l’Union européenne, désormais protectrice des données personnelles des citoyens européens. En outre, si aujourd’hui, l’Union européenne applique le RGPD, il n’en a pas toujours été ainsi : en effet, Margarida Silva, experte de l’activité des lobbys pour le Corporate Europe Observatory, souligne que si le règlement a été créé, son application a été ralentie, du fait du lobbying des GAFAM visant principalement les décideurs européens statuant au Parlement européen, au Conseil et à la Commission européenne.
Le RGPD est aujourd’hui repris par des législations étrangères comme en Californie, en Australie et au Japon, ce qui illustre son succès. Il participe à la non-privatisation de la régulation par certaines multinationales et permet à l’Union européenne d’affirmer sa souveraineté sur son espace numérique en appliquant de lourdes sanctions financières sur les entreprises contrevenantes.
L’actuel projet européen Gaia X est également une illustration de la prise de conscience par les Européens de l’importance de la donnée. Si son objectif est clair – reconquérir la souveraineté de l’Europe face aux géants du numérique mondiaux – les récentes adhésions de certains GAFAM au projet laissent perplexe. Formidable solution pour une économie de la donnée en Europe, le projet franco-allemand devra tout de même se faire une place sur un marché déjà très concurrentiel pour parvenir à ses fins.
Une chose est sûre, les discours insufflent les projets, mais ne suffisent pas. La volonté politique doit être majoritaire en Europe pour faire face à la force du lobbying des géants du numérique. Et de manière générale, l’Union européenne peine à trouver des compromis à 27 membres. Sur ce point, l’exemple du RGPD est parlant. Il a fallu attendre les révélations d’Edward Snowden sur les écoutes réalisées par la NSA, sur la chancelière allemande Angela Merkel pour qu’un accord soit enfin trouvé. Et si le doute persiste quant à la force des lobbyings précédemment évoqués, un document d’Amazon datant de 2017 a fuité en cette fin d’année 2020. Dans ce document, la firme de Jeff Bezos fait un éloge de sa campagne de lobbying contre la directive e-privacy au Parlement européen où le projet n’a pas reçu un fort soutien. L’objectif affiché était donc de l’influencer pour affaiblir son rôle dans les négociations.
Les deux projets de règlement européens, présentés par la Commission européenne le 15 décembre 2020, le « Digital Services Act » (DSA) et le « Digital Markets Act » (DMA) doivent faire naître un cadre de régulation de l’Internet. Le premier doit permettre la mise en place d’un système d’obligation visant les grands acteurs du numérique. Quant au deuxième, il doit permettre une meilleure régulation des contenus à risques et illégaux comme l’apologie du terrorisme ou la pédopornographie. Ces règlements devraient également prévoir en cas de non-respect des obligations et en dernier recours, le démantèlement ou l’interdiction d’accès au premier marché au monde. L’adoption définitive de ces textes devrait se faire d’ici le début de l’année 2022. Il semblerait donc que l’influence visant les hauts responsables de l’Union européenne fasse de moins en moins effet ou que ces derniers soient bien décidés à faire de l’Union européenne une entité souveraine, capable d’agir.
Cet article s'appuie en partie sur la conférence du 9 décembre 2020, relative à la co-régulation du cyber espace et réalisée en ouverture de l'Agora du FIC.
Clément Richet pour le Club Cyber AEGE
Pour aller plus loin :