Données personnelles : Cyber sécurité, croissance et influences géopolitiques

Avec le développement considérable des capacités d’émissions, enregistrements et traitements des données (Internet of Things, 5G, Cloud storage), les données personnelles – celles permettant l’identification d’un individu et la traçabilité de ses comportements et sensibilités – représentent l’or digital, la ressource essentielle des enjeux majeurs en matière économique (GAFAM contre BATX, e-commerce, voiture autonome), sociale et politique (désinformation et élections, soft, smart & sharp power). Mais elles recèlent un enjeu de sécurité et de souveraineté majeur.

Les pays et régions économiques majeurs ont préparé leurs dispositifs juridiques respectifs de protection des données en général et des données à caractère personnel en particulier, avec des objectifs officiellement similaires (protection des données personnelles des citoyens et responsabilité des opérateurs desdits traitements de données). Toutefois, des différences significatives entre ces dispositifs sont observées tant dans leur vision que dans leurs effets respectifs.

Quand le dispositif européen visait essentiellement, à tout le moins à son origine, à la protection des données personnelles de ses citoyens par l’encadrement de la collecte et de l’utilisation de ces données, le dispositif américain, similaire en apparence, a soulevé de nombreuses interrogations et oppositions côté européen. En effet, la porosité réelle ou supposée des données à caractère personnel des citoyens européens – collectées par les opérateurs privés américains – vers les services de renseignements militaires ou économiques contrevient aux garanties attendues en la matière. Le dispositif chinois de cyber sécurité et de protection des données personnelles, pour sa part, présente la singularité d’une approche globale et explicite de la défense des intérêts nationaux, que ceux-ci soient économiques, politiques ou sociaux[1] au surplus de comporter des effets extraterritoriaux.

La volonté de capter les données à des fins de renseignement militaire ou économique affecte significativement les conditions de localisation des stockages et des flux de données transfrontaliers des entreprises. Il en résulte, une insécurité élevée pour les acteurs économiques face à des exigences potentiellement conflictuelles entre pays ou zones économiques. La réaction des pays varie face à ce phénomène en expansion.

 

I. Une guerre économique à 410 milliards de dollars

  • Protectionnisme et développement des champions nationaux

Les Jeux Olympiques de Pékin 2022 s’ouvraient à peine et déjà se faisaient jour quelques inquiétudes, notamment de la délégation américaine, relatives à la collecte par les autorités locales de données personnelles des utilisateurs via les applications dédiées aux JO[2]. Que cette suspicion soit infondée ou que le logiciel ait une dimension malveillante, cette situation expose avant tout la rivalité et l’enjeu de guerre économique autour de la captation et de l’utilisation de ces données assurément sensibles.

Cette rivalité n’est pas nouvelle et se situe dans la droite ligne d’un dispositif protectionniste, préexistant de longue date. Le China Great Firewall mis en œuvre à la fin des années 90 est un système de pare-feu informatique bloquant, au moins en partie, l’accès internet depuis la Chine aux sites internet non-chinois (notamment Google, Facebook, Twitter…). Outre la limitation des influences extérieures en Chine par le contrôle des informations accessibles depuis le territoire national chinois, ce dispositif aura achevé les multiples tentatives hégémoniques des GAFAM (Google, Apple, Facebook(Meta), Amazon, Microsoft) américains de s’ouvrir le marché chinois[3].

L’encadrement des sites internet accessibles en Chine et du traitement des données personnelles en Chine peut s’apparenter à une forme de protectionnisme[4] en ce qu’il exclut les acteurs non-nationaux et particulièrement les acteurs puissants de l’internet et du e-commerce américain (l’Europe en étant, à cette échelle, plus ou moins dépourvue[5]). En effet, le secteur du digital et les données suivent ici les mêmes prescriptions que celles que le commerce mondial et la circulation des marchandises ont éprouvé ces derniers siècles. Alexander Hamilton, Premier secrétaire du Trésor américain évoquait au 18e siècle la nécessité pour l’industrie américaine d’être protégée « dans son enfance », par autant de barrières juridiques et douanières que possible, de la concurrence internationale et particulièrement britannique[6].

L’édiction et le maintien, toutes ces années durant, de cette barrière à l’entrée du marché numérique chinois pour les acteurs étrangers aura offert le temps nécessaire pour l’émergence de géants chinois du numérique. En 2022, bien que leur expansion internationale ait été contrariée par la crise du covid19 et une défiance de la part des décideurs occidentaux, les champions chinois du numérique se sont fait une place, un nom et une expertise incontestables (les fameux BATX : Baidu, Alibaba, Tencent, Xiaomi auxquels s’ajouteraient utilement Huawei et ByteDance) tandis que l’Europe souffre encore de la comparaison.

  • e-commerce, bataille de géants pour les données personnelles individuelles

En 2019, et comme chaque année à l’occasion du Double Eleven (11 novembre – fête des célibataires), la plateforme de e-commerce Alibaba réalisait près de 28 milliards d’euros[7] de chiffre d’affaires en quelques jours seulement (pour 52 milliards d’euros toutes plateformes confondues). Au-delà de ces chiffres considérables en eux-mêmes, il convient de bien comprendre que ces acteurs chinois du e-commerce ne sont pas strictement comparables aux acteurs du e-commerce américain tels que Amazon ou encore l’alliance entre Wallmart et Google.

En plus d’être des plateformes de e-commerce, les groupes Alibaba et Tencent représentent des écosystèmes complets pour leurs utilisateurs car chacune de ces applications comporte son propre univers bancaire (système de paiement digital, solutions de crédits, emprunts, transferts…), de gestion des abonnements courants (téléphonie, eau, électricité, gaz…), son réseau social (création et diffusion de contenus aux connexions directes et/ou en accès public), des offres de divertissements (tickets de spectacles), des solutions de mobilité (taxi, VTC, vélos), de traduction instantanée et bien d’autres services encore.    

L’intérêt stratégique majeur et la base commune de tous ces services est bien la collecte et le traitement massif de données et particulièrement des données personnelles des utilisateurs/consommateurs (nom, adresse, téléphone, email/ID digitale, données biométriques, lien bancaire, trajets, consommation…). Avec ces données précises et massives, ces acteurs privés disposent non seulement d’une ressource rare de développement de leurs activités commerciales mais aussi de connaissances inestimables à l’action politique et à la surveillance des masses.

  • La mise sous tutelle des BATX par le pouvoir chinois

Ce carrefour de collection et traitements de données entre les mains de quelques acteurs privés et surpuissants a sans doute rapidement interpellé les autorités chinoises en faveur d’une régulation de l’usage de ces données personnelles et de contrôle des acteurs eux-mêmes.

A titre d’exemple et sans même évoquer le rappel à l’ordre dont Jack Ma a pu faire l’objet après une déclaration malheureuse à quelques jours de l’IPO prometteuse de Ant Group – filiale financière du groupe[8] – le géant du commerce en ligne Alibaba (mais aussi Tencent, Baidu, ByteDance…) a été condamné par l’autorité de la concurrence en Chine à une amende de 2,34 milliards d'euros à raison ses pratiques commerciales dominantes[9]. En sanctionnant l’abus de position dominante par lequel une plateforme, place de marché, empêche ses clients (réseau de commerçants) de proposer leurs produits et services sur d’autres plateforme ou la leur, les autorités ont souhaité empêcher un leader de prendre une place quasi monopolistique sur son marché. Ce faisant, le maintien des conditions de maintien ou d’émergence de concurrents a permis de s’assurer qu’un acteur ne concentrerait pas seul les données personnelles sensibles de centaines de millions de citoyens (nom, localisation, téléphone, habitudes de consommation, coordonnées bancaires…). Le sens et la portée de ce signal fort des autorités a d’ailleurs été bien compris de la part des géants chinois du digital. A la suite de ces condamnations, chacune de ces entreprises a déclaré publiquement que toutes les actions nécessaires seraient entreprises pour la mise en conformité de leurs pratiques commerciales dans les plus brefs délais. Ainsi, il appartient au BATX, et non à l’administration chinoise, de (i) démontrer la conformité de leurs activités au droit national, (ii) garantir l’accès des autorités chinoises à leurs programmes informatiques, et (iii) d’assurer la pertinence de la collecte, du traitement et de la conservation des données personnelles des citoyens chinois.

Les sanctions en Chine sont habituellement appliquées sans exception et avec célérité. A l’inverse, l’Union Européenne est plus lente : 12 années de bataille juridique auront permis à l’américain Intel d’obtenir la remise en cause de l’amende, significative au demeurant, que la Commission Européenne avait arrêté à son encontre[10].

Procédant du même principe de sanction de ses acteurs nationaux mais avec un effet extraterritorial majeur, la société DiDi (plateforme chinoise de commandes de taxis et VTC) a tout simplement retiré son titre de la bourse New-Yorkaise quelques temps seulement après son introduction au marché. En effet, les autorités chinoises s’étaient ouvertement inquiétées de la sécurité des données et données personnelles des utilisateurs (chinois) à partir du moment où l’entreprise aurait été soumise aux contraintes du New York Stock Exchange[11]. Lorsque l’intervention des autorités chinoise en rapport avec la sécurité des données à caractère personnel a provoqué l’abandon par DiDi de son projet de cotation du titre à la bourse de New York, la société Uber a perdu l’un des moyens essentiels de valorisation de sa participation au capital de DiDi.   Las de la compétitivité de la concurrence locale, les actionnaires de la société Uber avaient décidé de quitter le pays en cédant au concurrent local, la société DiDi, l’intégralité de leurs opérations en Chine. Cette vente de l’activité Chine de Uber s’est faite en partie contre une prise de participation de Uber groupe à hauteur de 20% dans le capital de DiDi[12].

Les enjeux géopolitiques de cyber sécurité auront donc largement affecté les desseins des actionnaires respectifs de ces deux groupes.

Seulement quelques jours après cette affaire, le législateur chinois a conçu un premier projet de loi visant à introduire une nouvelle obligation pour les entreprises chinoises. Les groupes chinois désireux d’ouvrir leur capital sur les marchés boursiers étrangers, devraient se faire connaître par avance auprès de l'autorité de régulation des valeurs mobilières chinois. Le fait que ce mode de contrôle par déclaration soit réalisé a priori et non a posteriori n’offre pas seulement le mérite de la cohérence (il est plus difficile de défaire ce qui a déjà été réalisé) mais vise aussi sans doute à générer une forme d’autocensure de la part des entreprises concernées[13].

Uber n’aura pas été le seul acteur américain du numérique à être maintenu à bonne distance du marché domestique chinois. Au surplus des acteurs qui ne sont jamais parvenus à proposer leurs solutions en Chine (Google, Facebook, Twitter…), le dernier acteur américain majeur à y cesser ses activités ne fut autre que LinkedIn[14].  En octobre 2021, le réseau social professionnel a fini par renoncer à son activité locale dans un timing qui n’est manifestement pas étranger aux contraintes et contrôles de cyber sécurité chinois, et particulièrement les contraintes encadrant le transfert transfrontalier des données à caractère personnel.

  • Extraterritorialité des lois ou l’extension du domaine de la lutte

En dépit de ces départs des géants américains du numérique, il convient d’observer que cesser ses activités sur le territoire chinois ne saurait suffire.

Désormais impliquées dans le fameux piège de Thucydide, tel que brillamment exposé dans l’ouvrage de Graham Allison[15], la Chine se projetant à la tête de l’économie mondiale tandis que les États-Unis tentent de sauvegarder leur leadership économique, culturel et militaire – les enjeux de Big Data et de données personnelles incitent les pays à s’armer de lois, aux effets nationaux et extraterritoriaux, protectionnistes ou expansionnistes.

En effet, la loi chinoise de protection des informations personnelles[16] présente des effets extra territoriaux. Ainsi, les entreprises établies hors de Chine mais dont l’activité implique (i) la fourniture de biens ou services aux résidents chinois, et/ou (ii) l’analyse des comportements des individus en Chine, devront néanmoins se soumettre à la règlementation chinoise en matière de collecte et de traitement des données personnelles. Si besoin était, rappelons le sérieux du dispositif d’encadrement des activités digitales en Chine avec l’exposition de la responsabilité civile de l’entreprise contrevenante comme de leurs dirigeants (avertissement, amendes, confiscation, suspension de services, incapacité professionnelle) qu’ils soient de nationalité chinoise ou étrangère.

Le dispositif légal chinois en la matière (Cyber Security Law[17], Data Security Law[18], Personal Information Protection Law) s’est singulièrement développé ces 6 dernières années pour répondre aux enjeux nationaux précédemment définis. Ces enjeux ont été rappelés lors du 14e plan quinquennal[19] du Ministère de l’industrie et des technologies (MIIT) chinois relatif aux Big Data. Les Big Data y sont définies comme (a) un moteur de la transformation économique du pays et du commerce mondial, (b) un avantage compétitif important pour l’avenir (c) ainsi qu’une ressource nationale stratégique. Dans ce rapport, l’industrie mondiale des Big Data est présumée représenter près de 410 milliards d’euros en 2025.

Cet enjeu est également au cœur de la réflexion européenne notamment avec le très ambitieux projet GAIA-X. En cohérence avec les valeurs de l’UE autour de la transparence et de la conformité, le projet doit permettre de mettre en cohérence des plateformes digitales européennes multi-secteurs, ouvertes et souveraines. Il englobe ainsi diverses initiatives sectorielles telles que Structura-X pour un cloud européen, Catena-X pour l’automobile, AgriGaia pour l’agriculture et EuroDat en finance.

Souffrant des maux européens habituels – annonces ambitieuses, retards de financement effectif, diversité et complexité immenses des acteurs impliqués – il est à craindre selon Volker Pfirsching, associé du cabinet Arthur D Little, que le projet ne s’enlise avant de faire la preuve de sa pertinence opérationnelle et économique[20].

 

II. Un enjeu majeur de politique intérieure et d’influence extérieure

  • Influence et manipulation des opinions aux limites de l’ingérence

Au-delà de l’encadrement des pratiques et des acteurs de l’économie digitale, la collecte et le traitement des données personnelles des citoyens d’un Etat est aussi un enjeu de politique intérieure et de protection vis-à-vis des influences extérieures.

Afin d’illustrer encore les enjeux multiples autour des données personnelles, on pourra utilement rappeler les révélations relatives au scandale Facebook – Cambridge Analytica[21]. Cette affaire a mis en lumière le traitement des données personnelles – collectées à partir des réseaux sociaux – de citoyens anglais, australiens mais aussi et surtout de 85 millions d’américains, afin de permettre des campagnes d’influences et de désinformation massives. Ces campagnes de communication avaient pour objectif d’affecter le cours de l’élection présidentielle américaine, d’une part, et de la campagne du référendum relatif au Brexit d’autre part, donc rien de moins que d’orienter l’avenir d’une nation par des forces, étatiques ou privées, extérieures.

Ainsi, la collecte massive et le traitement des données à caractère personnel offrent les moyens techniques et politique d’une influence potentiellement antidémocratique. Le levier qu’offre la combinaison des technologies de l’information et d’une importante puissance de calcul caractérisent selon Jessica Ludwig et Christopher les moyens du passage du « soft power » au « sharp power »[22].

Le soft power s’entend des actions non coercitives qui tendent à convaincre les esprits et les cœurs par les médias, think tanks, programmes éducatifs dont les échanges universitaires et la culture notamment. Le soft power américain est indéniablement l’un des piliers de la domination ou influence de la super puissance sur les décennies passées et peut être encore actuelles. Il n’est pas surprenant alors que toute nation ambitionnant de jouer un rôle majeur à l’échelle mondiale ait à se saisir d’un programme et des moyens de développer son soft power.

Ainsi dès 2007, lors de Congrès National du Parti Communiste chinois, le Président Hu Jintao affirmait la nécessité pour la Chine de développer son univers culturel explicitement dans le cadre du développement du soft power chinois[23]. L’usage offensif du smart power par la guerre de l’information est au cœur des stratégies américaines et chinoises. C’est ainsi que Christian Harbulot expose en miroir les dynamiques américaines et chinoises respectives, par Obama en rupture avec le hard power militaire de Bush de même que par Xi Jinping en rupture avec l’attitude internationale « profil bas » passée de Deng Xiaoping. Les nouveaux média et outils numériques de traitement des données deviennent des armes géopolitiques toujours plus efficaces de smart power.

Le Sharp Power se distingue par des actions à la fois plus discrètes et plus agressives. Il vise moins à défendre son propre modèle de société ou vision du monde qu’à affaiblir celui des autres[24]. Les sociétés du numériques et des télécommunications ont par leur activité courante la nécessité et l’intérêt de collecter un volume considérable de données, y compris de données à caractère personnel. Une stratégie de Sharp Power pourrait conduire une entreprise ou un État à utiliser, à plus ou moins bon escient, ces données sensibles, d’analyse des comportements, des géolocalisations et des données biométriques (systèmes de reconnaissance vocale, faciale), pour l’analyse des opinions (opinion mining) et des connexions sociales (relationship mapping)[25].

A la lumière de ces expériences d’influences, voire d’ingérence, les réglementations relatives aux traitements des données personnelles, tel que le RGPD européen ou le PIPL chinois, visent utilement à empêcher – ou a minima encadrer – le traitement des données personnelles (humain ou par IA) de leurs citoyens respectifs. A cet égard, le Digital Service Act européen[26] vise notamment à exclure les contenus et plateformes dont l’activité consiste ou permet les communications massives de désinformation.

Dans une autre perspective, l’une des spécificités du dispositif PIPL chinois est de proscrire l’utilisation des informations personnelles, même celles rendues publiques (réseaux sociaux), si le traitement devait avoir un effet matériel sur la ou les personnes concernées (bien que les critères d’appréciation dudit « effet matériel » ne soient pas définis ou explicités à ce jour par la règlementation ou les autorités compétentes).

  • Cybersécurité : une consolidation internationale des dispositifs est-elle possible ?

A l’instar et sur l’invitation du Président chinois Xi Jinping lors de son discours au Forum Économique Mondial (Davos 2022), l’interdépendance des nations permettra peut-être de promouvoir une approche commune et concertée des enjeux de l’économie digitale et de l’intelligence artificielle[27].

Si cette approche commune n’est pas définie par les États, elle le sera de facto par les entreprises dominantes du secteur dont la concentration s’accélère. Le 29 avril 2022, Google a confirmé le succès de son acquisition de la société MobilEdgeX, anciennement détenu par l’européen Deutsche Telekom, spécialisée dans les solutions d'edge computing pour les opérateurs télécom[28]. Cette acquisition vient renforcer les précédentes déjà réalisées par Google – Mandiant et Siemplify – en lien avec des services de cybersécurité. Par ailleurs, la fondation Linux a annoncé un partenariat avec Google Cloud pour le projet Nephio (simplification, déploiement et compatibilité des plateformes et infrastructures cloud multi-vendeurs) qui comprend déjà une liste extraordinaire de partenaires du secteur des télécommunications dont notamment Orange, Rakuten Mobile, Virgin Media, O2, Ericsson, Intel, Nokia. Google avait également établi précédemment des partenariats stratégiques avec le français Orange et l’américain AT&T dans le secteur des télécommunications.

Ces opérations sont en partie concomitantes de la mise à l’écart de l’opérateur chinois Huawei déclenchée par l’arrestation surprise au Canada en 2019 de la Directrice Financière de Huawei, Mme Meng Wanzhou. En rapport avec une accusation de contournement du régime des sanctions applicable à l’Iran[29] par les autorités américaines ("Chinese firms have broken our export laws and undermined sanctions, often using US financial systems to facilitate their illegal activities. This will end." US Commerce Secretary – Wilbur Ross) le dispositif américain, dans sa compétence extraterritoriale d’investigation et de sanctions, aura offert une base légale d’exclusion du géant chinois Huawei des enjeux du marché de la 5G et des données en général qui sera suivi par l’Inde et l’Australie notamment.

Au-delà de ces acteurs du numérique, l’économie « réelle » est tout autant concernée et les partenariats récents de Google Cloud dans le secteur de la mode (LVMH[30], Kiabi[31]) ou de l’automobile (Renault[32]) le démontrent. Les autres acteurs américains du Cloud ne sont pas en reste de cette course au partenariat et à la captation des données individuelles sensibles. Ainsi, les sénateurs français ont pu s’émouvoir du choix des services d’ Amazon pour accompagner la BPI[33] ou encore l’émoi de la société civile en France vis-à-vis du choix initial des services de Microsoft pour la gestion du Health Data Hub européen (service agrégeant les  données de santé des citoyens européens auprès des acteurs tant publics que privés)[34].

Il est intéressant d’observer qu’en dépit de ces nombreux partenariats et acquisitions, l’activité de Google Cloud était et demeure à ce jour une activité lourdement déficitaire[35] dans un marché contrôlé par les acteurs américains que sont Amazon et Microsoft[36]. Cependant, la crise du Covid19 a accéléré la croissance du secteur tant en terme d’adoption (+25%) que de dépenses (+35%)[37] en conséquence de quoi, Google (Alphabet) considère ces pertes comme un investissement nécessaire dans une course à la taille critique dans un marché fort de promesses et qui devrait gagner en maturité à moyen terme.

Ces partenariats privés se nouent à grande échelle et fréquence rapprochée mais les intérêts respectifs en matière de souveraineté nationale, en matières de données personnelles, risquent cependant d’être forts difficiles à surmonter ainsi que l’exposent l’échec du Privacy Shield[38] entre les États-Unis et l’Union Européenne (qui lui-même avait succédé au système de Safe Harbour), régions pourtant culturellement proches et souvent alignées.

  • USA-UE : mes hydrocarbures contre ton or digital

Avant l’intervention militaire russe en Ukraine, l’Europe se montrait peu satisfaite des conditions de transparence et de sécurité des données personnelles des citoyens européens vis-à-vis des autorités américaines et notamment des services de renseignements. La crainte ou suspicion de l’accès immodéré des autorités américaines aux données des citoyens européens, par ailleurs sans connaissance ni moyens d’actions correctifs pour ces derniers, était sanctionnée par un arrêt de la Cour de Justice de l’Union Européenne[39]. La Cour de Justice estimait notamment que « la décision d’exécution (UE) 2016/1250 de la Commission, du 12 juillet 2016, conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis, est invalide.».

Depuis cet arrêt, les négociations entre l’Europe et les États-Unis se sont poursuivies de manière à offrir à l’Europe certaines garanties ou précisions. En parallèle de ces discussions, et en l’absence du dispositif de reconnaissance mutuelle qui était assuré par le Privacy Shield, les entreprises étaient contraintes d’engager un examen lourd de conformité des clauses contractuelles, relatives à la collecte et au traitement des données, avec les dispositions impératives du Règlement général sur la protection des données (GDPR – règlement UE 2016/679).

Cependant, du fait des sanctions décidées par l’Europe envers les activités, importations et entreprises russes, l’Europe a rapidement eu besoin de sécuriser ses approvisionnements en pétrole et gaz américains et ce faisant, s’est laissée convaincre d’établir un nouveau Privacy Shield dans un calendrier accéléré. La motivation politique et économique est le moteur de cette initiative mais la nouvelle mouture de l’accord transatlantique ne pourra faire l’économie d’adresser les points de vigilance relevés par la Cour de Justice de l’Union Européenne et le Comité Européen de la Protection des Données, telle que le rappelle la déclaration récente dudit Comité[40]. Bien que l’avis de ce dernier ne soit que consultatif, puisqu’il ne suspend ni ne contraint la Commission Européenne, les spécialistes estiment qu’il serait politiquement difficile de finaliser un accord qui obtiendrait un avis autre que favorable[41].

En l’occurrence, la proposition de réforme du Privacy Shield, permettant de nouveau le transfert libre et sans contrainte des données à caractère personnel entre les deux territoires, devrait donc s’articuler en partie autour des évolutions et garanties juridiques suivantes :

  1. l’accessibilité des services de renseignement américains aux données personnelles des citoyens et entreprises européens seraient conditionnée à des critères de nécessité, de proportionnalité et de sécurité ;
  2. (ii) un nouveau système juridique de gestion des plaintes potentielles des européens et de décision (Data Protection Review Court) serait mis en place.

Au 4 mai 2022, le Comité Européen de la Protection des Données (European Data Protection Board – EDPB) et le Contrôleur Européen de la Protection des Données (European Data Protection Supervisor – EDPS) partageaient une déclaration et opinion commune[42] relative à la proposition de Digital Market Act (DMA) & Data Governance Act (DGA)  du Conseil et de la Commission Européenne. Cette déclaration commune, bien que se félicitant du cadre élargi des produits et services concernés par la proposition de réglementation (Internet des Objets (IoT), dispositifs médicaux, assistants virtuels…), émet des inquiétudes sérieuses quant à l’accès par les institutions et autorités administratives américaines aux données personnelles des citoyens européens sans motivation, nécessité et garanties claires (“The EDPB and the EDPS have deep concerns on the lawfulness, necessity and proportionality of the obligation to make data available to public sector bodies and Union institutions, agencies or bodies in case of “exceptional need”).

Ces réserves et inquiétudes révèlent la complexité des enjeux et des intérêts respectifs des États et entreprises autour du traitement des données à caractère personnel dont Frans Imber-Vier indiquait dans un entretien récent au sujet de la France que « la souveraineté politique, la souveraineté économique et régalienne, sont aujourd’hui totalement dépendantes de la souveraineté numérique » [43].

La bataille juridique qui se livre autour des enjeux de la collecte et du traitement des données se mêle à la bataille économique pour protéger les différents acteurs. Mais elle ne cesse de s’accentuer par le protectionnisme, l’extraterritorialité des lois, les contre-mesures, le smart power, les sanctions et le rôle des institutions régionales et internationales via un processus qui finit par s’auto-entretenir. Ainsi, l’évolution du droit relatif aux données sensibles portera lui-même des conséquences économiques et géopolitiques, pour les États comme pour les entreprises, qui sont encore largement méconnues mais qui seront assurément décisives pour les opérateurs économiques. L’intelligence économique et juridique permettra-t-elle de conserver une cohérence ?

 

Nicolas Bouchou EGE – MBA Executif – Intelligence Juridique

 


[1] R&P China lawfirm – China Tech Law Newsletter – Art Dicker – 3 février 2022: “Finally, as I mentioned last time, it's again important to think about macro policy. The DSL and Cybersecurity Law, and even the PIPL, were drafted with national security in mind first in addition to concerns over data integrity and privacy.https://www.linkedin.com/pulse/practice-points-chinas-new-data-regulations-art-dicker/

[2] La Tribune – 1er février 2022 – Jeux Olympiques de Pékin : imbroglio autour de l'app officielle "My2022" accusée d'espionnage : https://www.latribune.fr/technos-medias/informatique/jeux-olympiques-de-pekin-imbroglio-autour-de-l-app-officielle-my2022-accusee-d-espionnage-903069.html

[3] France 24 – Facebook serait prêt à tout pour revenir en Chine, même coopérer avec la censure- 23 novembre 2016  : https://www.france24.com/fr/20161123-facebook-serait-pret-a-tout-revenir-chine-meme-cooperer-censure / LeMonde – Mark Zuckerberg, ami Facebook de la propagande chinoise – 8 décembre 2014 : https://www.lemonde.fr/m-actu/article/2014/12/08/mark-zuckerberg-ami-facebook-de-la-propagande-chinoise_4536537_4497186.html

[4] Reuters – U.S. says China internet censorship a burden for businesses – 8 avril 2016 : https://www.reuters.com/article/us-usa-china-trade-internet-idUSKCN0X50RD

[5] Forbes – Top 100 Digital Companies: https://www.forbes.com/top-digital-companies/list/

[6] Christian Harbulot, Manuel d’intelligence économique

[7] CNBC – 11 octobre 2019 – “Alibaba breaks Singles Day record with more than $38 billion in sales”  https://www.cnbc.com/2019/11/11/alibaba-singles-day-2019-record-sales-on-biggest-shopping-day.html

[8] The Financial Times – 15 avril 2021 – The vanishing billionaire: how Jack Ma fell foul of Xi Jinpinghttps://www.ft.com/content/1fe0559f-de6d-490e-b312-abba0181da1f

[9] The New York Times – 9 avril 2021 – China Fines Alibaba $2.8 Billion in Landmark Antitrust Case https://www.nytimes.com/2021/04/09/technology/china-alibaba-monopoly-fine.html#:~:text=By%20hitting%20the%20e%2Dcommerce,got%20our%20eyes%20on%20you.

[10] Reuters – 27 janvier 2022 – Intel scores major win as court scraps $1.2 bln EU antitrust finehttps://www.reuters.com/technology/intel-wins-appeal-against-12-bln-eu-antitrust-fine-2022-01-26/

[11] The New York Times – 2 décembre 2021 – With Its Exit, Didi Sends a Signal: China No Longer Needs Wall Street: https://www.nytimes.com/2021/12/02/business/china-didi-delisting.html

[12] The Harvard Business Review – 2 août 2016 – The Real Reason Uber Is Giving Up in China: https://hbr.org/2016/08/the-real-reason-uber-is-giving-up-in-china

[13] Les Echos – 26 décembre 2021 – La Chine durcit les règles pour ses entreprises cotées à l'étranger : https://www.lesechos.fr/finance-marches/marches-financiers/la-chine-durcit-les-regles-pour-ses-entreprises-cotees-a-letranger-1374876

[14] The New York Times – 14 octobre 2021 – LinkedIn to Shut Down Service in China, Citing ‘Challenging’ Environment https://www.nytimes.com/2021/10/14/technology/linkedin-china-microsoft.html

[15] Graham Allison “Destined for War – America, China and Thucydide’s trap” – Houghton Mifflin Harcourt

[17] Cyber Space Administration of China – Cyber Security Law  http://www.cac.gov.cn/2016-11/07/c_1119867116.htm

[18] Cyber Space Administration of China – Data Security Law http://www.cac.gov.cn/2021-06/11/c_1624994566919140.htm

[20] CIO – 22 avril 2022 – European cloud project Gaia-X is stuck in the concept stage: https://www.cio.com/article/308818/european-cloud-project-gaia-x-is-stuck-in-the-concept-stage.html

[21] New York Times, 4 avril 2018, Cambridge Analytica and Facebook: The Scandal and the Fallout So Far :  https://www.nytimes.com/2018/04/04/us/politics/cambridge-analytica-scandal-fallout.html

[22] National Endowment For Democracy – International Forum For Democratic Studies – “Sharp Power: Rising Authoritarian Influence” – Introduction by Christopher Walker and Jessica Ludwig “From Soft Power to Sharp Power”

[23] Report to the Seventeenth National Congress of the Communist Party of China – 15 octobre 2007 – President Hu Jintao

[24] Note : C’est aussi dans les années 2000 que la Russie a entrepris de développer la chaîne de télévision Russia Today comme un outil majeur de diffusion global d’actualités traitées au prisme de lecture du pouvoir en place. L’ambition de ce média et son mode de traitement de l’information étaient trop discordants de ceux des médias occidentaux lors de l’intervention militaire russe en Ukraine et les autorités françaises, entre autres, n’ont pas tardé à en restreindre l’accès au titre des diverses sanctions envers la Russie.

[25] The John Hopkins University Press – Journal of Democracy – Samantha Hoffman: “China’s Tech-Enhanced Authoritarianism” – https://muse.jhu.edu/article/852746/pdf

[26] Regulation of the European Parliament and of the Council on a Single Market For Digital Services (Digital Services Act) – 15 décembre 2020 : https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX:52020PC0825

[27] World Economic Forum – January 17th, 2022 – President Xi Jinping's message to The Davos Agenda: https://www.weforum.org/agenda/2022/01/address-chinese-president-xi-jinping-2022-world-economic-forum-virtual-session/

[28] L’Usine Digitale – Raphael Carayan – 3 mai 2022 – Edge computing : Google Cloud rachète MobiledgeX: https://www.usine-digitale.fr/article/edge-computing-google-cloud-rachete-mobiledgex.N2000937

FutureNet – Google moves further into telco, HPE automates the RAN and DISH ponders 5G deadline: https://futurenetworld.net/5g-automation-and-intelligent-edge/google-moves-further-into-telco-hpe-automates-the-ran-and-dish-ponders-5g-deadline/2022/05/ FierceWireless – Google acquires edge software provider MobiledgeX – https://www.fiercewireless.com/wireless/google-acquires-edge-software-provider-mobiledgex

[29] BBC – 29 janvier 2019 – US files charges against China's Huawei and CFO Meng Wanzhou: https://www.bbc.com/news/world-us-canada-47036515

[31] Usine Digitale – 8 décembre 2021 – Comment Kiabi pilote sa mue numérique avec Google Cloud: https://www.usine-digitale.fr/article/comment-kiabi-pilote-sa-mue-numerique-avec-google-cloud.N1167182

[32] Bloomberg – 8 juillet 2020 – Google Wins Renault Contract in First Major French Cloud Deal: https://www.bloomberg.com/news/articles/2020-07-09/google-wins-renault-contract-in-first-major-french-cloud-deal Data Center Dynamics – Renault moves its data to Google Cloud – 10 juillet 2020 – https://www.datacenterdynamics.com/en/news/google-cloud-wins-contract-store-and-process-renaults-data-industry-40-push/

[33] Le Monde – 5 février 2021 – Les partenariats entre Bpifrance et Amazon montrés du doigt : https://www.lemonde.fr/economie/article/2021/02/05/les-partenariats-entre-bpifrance-et-amazon-montres-du-doigt_6068918_3234.html

[34] Le Monde – 20 janvier 2022 – Health Data Hub : l’hébergement par Microsoft ne sera pas remis en jeu « avant la présidentielle » : https://www.lemonde.fr/economie/article/2022/01/20/health-data-hub-l-hebergement-par-microsoft-ne-sera-pas-remis-en-jeu-avant-la-presidentielle_6110275_3234.html

[35] Insider Intelligence – Google Cloud yields $3.1B loss for Alphabet – February 3rd 2022 : https://www.emarketer.com/content/google-cloud-yields-3-1b-loss-alphabet

[36] According to Canalys, “AWS, Microsoft, and Google accounted for 61% of the entire cloud services market” – Insider Intelligence – Google Cloud yields $3.1B loss for Alphabet – February 3rd 2022 : https://www.emarketer.com/content/google-cloud-yields-3-1b-loss-alphabet

[37] TechRadar – Google Cloud is still losing buckets of money– 2 février 2022 : https://www.techradar.com/news/google-cloud-is-still-losing-buckets-of-money TechCrunch – With a $22B run rate, does it matter if Google Cloud still loses money? – 3 février 2022 : https://tcrn.ch/3L3Wj8c

[38] Communiqué de Presse –  Cour de justice de l’Union européenne n° 91/20 Luxembourg, le 16 juillet 2020 : https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200091fr.pdf

[39] CJUE – 16 juillet 2020 – Facebook Ireland Ltd, Maximillian Schrems, The United States of America, Electronic Privacy Information Centre, BSA Business Software Alliance Inc., Digitaleurope: https://curia.europa.eu/juris/document/document.jsf?text=&docid=228677&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=9804230

[40] European Data Protection Board – April 6, 2022 Statement – “U.S and EU authorities announcement does not constitute a legal framework on which data exporters can base their data transfers to the United States. Data exporters must therefore continue taking the actions required to comply with the case law of the CJEU, and in particular its Schrems II decision of 16 July 2020” : https://edpb.europa.eu/system/files/2022-04/edpb_statement_202201_new_trans-atlantic_data_privacy_framework_en.pdf

[41] Pinsent Masons – 12 avril 2022 – EDPB indicates where ‘red lines’ lie on ‘Privacy Shield 2.0’:  https://www.pinsentmasons.com/out-law/news/edpb-indicates-where-red-lines-lie-on-privacy-shield-2-0

[42] EDPB-EDPS Joint Opinion 2/2022, May 4th 2022, on the Proposal of the European Parliament and of the Council on harmonized rules on fair access to and use of data (Data Act): https://edpb.europa.eu/system/files/2022-05/edpb-edps_joint_opinion_22022_on_data_act_proposal_en.pdf