FR EN

 

LES RÈGLEMENTATIONS SUR LES DONNÉES SAUVERONT-ELLES L’EUROPE ?

 

David LOVATO

Docteur en Droit

 

 

Les réglementations sur les données sauveront-elles l’Europe ? La question étonne, provoque et à bien y regarder suscite l’attention. L’adoption de plusieurs textes fondamentaux en la matière, en tête desquels figure le Règlement général pour la protection des données personnelles (RGPD), apparaissent comme le catalyseur d’un nouvel élan européen. À cet égard, il convient de noter que la France a initié cet élan en étant pionnière en ce domaine grâce à loi Informatique et Libertés de 1978. Au-delà du simple catalyseur, il appartient désormais d’observer la réglementation des données personnelles en tant qu’un puissant instrument de souveraineté européenne. Néanmoins, pour y parvenir et échapper à la sphère d’influence voire de domination des États-Unis ou de la Chine, seuls de hauts standards juridiques de privacy en matière de protection des données et un activisme efficient en la matière seront susceptibles de sauver la souveraineté numérique européenne. 

 

 

Lors d’une conférence sur la sécurité dans les années 90 un autocollant sur l’ordinateur d’un des intervenants avait attiré mon attention. Il y était écrit : “Le Cloud c’est l’ordinateur de quelqu’un d’autre”. Un rappel salutaire à l’heure où nouvelle génération biberonnée à l’Internet clé en main n’a pas complètement compris que l’informatique, le numérique et la géopolitique ne font désormais plus qu’un »[1]. Ce constat de l’ancien vice-président du Conseil national du numérique Tarik Krim conforte l’idée du caractère prégnant et pressant d’une réflexion approfondie sur la souveraineté numérique. Elle trouve pour axiome le refus de voir le destin des citoyens, des communautés d’utilisateurs, des États, subtilisé par des entités mal identifiées, non légitimes, et dont l’objectif s’écarte de la promotion de l’intérêt général. Or, l’expression même de souveraineté numérique interroge puisqu’elle conjugue deux termes en apparence antinomiques qui peuvent dérouter le sujet de droit, alors même qu’il est susceptible de devenir, demain, un « citoyen de la data » à part entière[2].

De prime abord, la souveraineté est une notion complexe et polysémique[3]. Le Vocabulaire juridique du doyen Cornu la définit comme le « caractère d’un organe qui n’est soumis au contrôle d’aucun autre et se trouve investi des compétences les plus élevées »[4]. Plus généralement, elle peut être entendue comme « l’attribut d’une instance telle que nul organe ne lui impose sa loi » ou, de manière plus restreinte, comme « l’attribut de l’être qui fonde l’autorité d’un État »[5]. La souveraineté s’est d’abord affirmée dans le champ religieux avant de se lier à l’idée d’État-nation, sous l’impulsion du juriste Jean Bodin[6], puis de devenir la souveraineté du peuple sous le prisme des théoriciens du contrat social[7], à l’instar de Thomas Hobbes[8], John Locke[9] ou Jean-Jacques Rousseau[10]. Ce n’est pas pour rien que le peuple exerce sa souveraineté par le truchement d’un État organisé, détenant l’autorité sur un territoire, selon la lettre de l’article 3 de la Constitution du 4 octobre 1958 proclamant la Ve République.

À partir de ce concept, la notion de « souveraineté numérique » a alors été ciselée, à la fin des années 2000, par la plume de Laurent Sorbier et Bernard Benhamou[11], puis reprise en un trait de temps par Pierre Bellanger pour qui « la souveraineté numérique est la maîtrise de notre présent et de notre destin tels qu’ils se manifestent et s’orientent par l’usage des technologies et des réseaux informatiques »[12]. Il a fallu attendre un rapport du sénateur Gérard Longuet, en 2019, pour que cette souveraineté soit entendue comme la « capacité de l’État à agir dans le cyberespace », ce qui est une « condition nécessaire à la préservation de nos valeurs » impliquant, d’une part, « une capacité autonome d’appréciation, de décision et d’action dans le cyberespace » et, d’autre part, la maîtrise de « nos réseaux, nos communications électroniques et nos données »[13]. Aussi, et à suivre le professeur Florence G’sell, « le concept même de “souveraineté numérique” semble reposer sur l’hypothèse que “la puissance absolue et perpétuelle” évoquée par Bodin aurait changé de visage pour correspondre, à l’époque contemporaine, à un pouvoir exercé de manière dématérialisée, au moyen d’un traitement informatisé, en réseau. Notre réalité hyperconnectée serait le lieu d’une nouvelle forme de pouvoir, portant non plus sur le territoire mais sur un univers virtuel indépendant de tout ancrage physique »[14].

Alors que le monde subit encore les effets de la pandémie liée au coronavirus, celle-ci ne parvient pas à cacher l’importance des tensions géopolitiques : les Britanniques quittent l’Union européenne, la pression migratoire augmente et le terrorisme frappe le « Vieux Continent »[15]. En somme, l’Europe n’a jamais été à une période aussi cruciale de son histoire. Dans un contexte de menaces protéiformes, les crises changent de nature, mutent et imposent une approche globale[16]. En ce sens, l’entrée en vigueur du Règlement général sur la protection des données (RGPD)[17], le 25 mai 2018, a démontré que jamais un texte juridique ne s’était « diffusé aussi vite dans la vie quotidienne des Européens [car] les préoccupations de l’internaute-citoyen n’étaient pas autant au centre de la règlementation nationale et européenne. Le RGPD a bouleversé cet univers : il a transformé l’internaute en un acteur d’une mondialisation régulée »[18]. Cette régulation de la donnée serait alors susceptible de constituer, non seulement, le catalyseur d’un nouvel élan européen (I), mais encore, un puissant outil de souveraineté européenne (II).

 

 

I. – LA RÈGLEMENTATION DES DONNÉES, CATALYSEUR D’UN NOUVEL ÉLAN EUROPÉEN

 

Il serait inexact de croire que les données personnelles n’intéressent que depuis l’avènement de l’informatique. Aussi surprenant que cela puisse paraître, la France s’est intéressée à cette matière il y a plusieurs siècles. L’historien Vincent Denis note que l’archevêque Boisgelin de Cucé fustigeait déjà au XVIIIe siècle le « certificat de bonne vie et mœurs » exigé des mendiants éloignés de leur domicile et défendait « la liberté de quitter un lieu, de se dissimuler, mais aussi le droit à l’anonymat et au respect du secret des individus » [19]. Ces prémisses font écho à une prise de conscience intervenue quelques cent-cinquante ans plus tard. Au sortir de la Seconde Guerre mondiale, le monde a réalisé le potentiel létal d’un traitement totalitaire des données personnelles. La collecte de données relatives aux individus et à leurs caractéristiques anthropo-morphologiques[20] ont servi le IIIe Reich dans son terrible dessein « d’assainissement de la race »[21]. Théâtre de cruauté, le génocide a fait basculer la perception : l’État ne serait plus digne de confiance. Il devient effrayant moins pour les informations qu’il détient sur ses citoyens que pour l’utilisation qu’il en fait. Le pouvoir des données s’esquisse. Près de trente ans plus tard, Michel Poniatowski déclarait devant la représentation nationale : « Dans quelques années, le citoyen sera totalement incapable de contrôler l’utilisation pratique et généralisée des renseignements fournis par le matériel informatique »[22]. Les révélations de l’affaire SAFARI (Système automatisé pour les fichiers administratifs et le répertoire des individus) ont confirmé cette intuition dans la mesure où l’État entendait instaurer un fichier automatisé reposant sur le numéro de Sécurité sociale de l’individu afin d’accéder à un ensemble d’informations sur lui.

À la suite du vif émoi causé par la publication du célèbre article « SAFARI ou la chasse aux Français »[23], le Gouvernement français a installé une commission appelée « Informatique et libertés ». Deux ans plus tard, un projet de « Loi Informatique et Libertés », inspiré par le rapport de la commission, a consacré des lignes directrices relatives au traitement et à la protection des données personnelles. Cette loi, in fine promulguée, a créé une autorité de contrôle indépendante : la Commission Nationale de l’Informatique et des Libertés (CNIL)[24]. Ce texte a signé l’acte de naissance du concept de protection des données à partir d’une « double préoccupation liée aux dangers potentiels de l’informatique pour les libertés publiques et la nécessité de définir des règles déontologiques permettant d’en maîtriser leurs utilisations »[25].

Dans ce contexte, l’Organisation de coopération et de développement économiques (OCDE) a publié, en 1980, des « Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel »[26]. Un an plus tard, le Conseil de l’Europe a promulgué une « Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel »[27]. Néanmoins, ce n’est qu’en 1995 qu’a été adoptée la Directive européenne relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données[28]. Cette dernière a constitué pendant vingt ans le socle commun en matière de protection des données personnelles à tous les pays de l’Union Européenne. Dans une Union européenne en construction, la France s’est donc positionnée à l’avant-garde puisque la loi de 1978 n’a fait l’objet d’adaptations qu’au tournant du millénaire[29].

Or, avec l’apparition des équipements connectés (téléphones intelligents, tablettes) et des premières applications, la prolifération des données est apparue comme un révélateur de la transformation numérique de nos sociétés. La découverte par un étudiant en droit autrichien de vingt-deux infractions majeures commises par Facebook[30] a révélé l’obsolescence de la Directive européenne de 1995. L’autorité irlandaise de protection des données personnelles (équivalente de la CNIL), dont dépendait Facebook, fut saisie. Cette déferlante médiatique a conduit les CNILS européennes à amorcer une réflexion sur les améliorations nécessaires. L’éruption de scandales internationaux liés à l’espionnage (ECHELON, Snowden, etc.) ou les larges fuites de données non signalées rendaient brûlante et incontournable la question d’une harmonisation et, plus encore, d’une modernisation.

En janvier 2012, la Commission européenne a proposé une réforme globale des règles de protection des données au sein de l’Union européenne[31]. Si cette première version a été rejetée, les États membres se sont engagés dans la voie de la réforme. Après quatre ans de négociations entre la Commission, le Parlement et le Conseil de l’Union européenne, le RGPD a finalement été adopté et est entré en vigueur – en l’état et pour tous les membres – le 24 mai 2016[32]. La même année, la France adoptait la « Loi pour une République numérique », dont l’un des volets traite de la protection des citoyens dans la société numérique, afin d’anticiper la mise en application du nouveau règlement[33]. Le RGPD constitue alors une double révolution en ce qu’il entend « redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises »[34]. D’une part, la principale réforme consistait à passer d’une directive à un règlement ! En effet, un règlement européen dispose d’un effet direct. D’autre part, le RGPD a défini les données à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale »[35].

Le RGPD renforce ainsi les droits individuels en imposant aux professionnels d’obtenir expressément le consentement des personnes quant à l’utilisation de leurs données et en mettant à leur disposition une information claire, intelligible et aisément accessible[36]. Il s’agit d’un prérequis indispensable pour une plus grande maîtrise répondant davantage aux attentes des citoyens et consommateurs qu’à la promesse illusoire d’un retour monétaire[37]. En effet, le RGPD repose sur la mise en place de trois principes majeurs : une logique de responsabilisation des entreprises en matière de protection des données personnelles, la coresponsabilité des sous-traitants, et l’imposition des notions de « protection des données dès la conception » (privacy by design) et de « sécurité par défaut » (privacy by default).

Le RGPD couronne quarante années de construction législative tant nationales qu’européennes, ayant permis d’appréhender ce nouveau socle commun unifié pour l’élévation d’un « citoyen européen de la data ». Dès lors, il devient évident que le RGPD ne constitue pas une simple contrainte conjoncturelle mais incarne un faisceau intemporel d’attentes, éclairant les bonnes pratiques permettant de tendre vers un idéal d’équilibre entre développement économique et technique, et respect des droits et libertés individuels.

Si le RGPD n’est que la suite logique d’une longue tradition protectrice, la réglementation des données ne se limite pas aux données à caractère personnel. La régulation numérique des plateformes demeure un défi monumental pour les autorités en charge de la concurrence, notamment dans la lutte contre les abus d’exclusion (la monopolisation latente du secteur), les abus d’exploitation (via des prix excessifs ou des conditions commerciales inéquitables) ou l’amélioration du régime de responsabilité (infox, trolls). L’actuel projet de Digital Market Act de la Commission européenne, présenté le 15 décembre 2020, vise à interdire un certain nombre de pratiques des plateformes dominantes jugées problématiques[38]. Enfin, la régulation des données passe également par une intégration des utilisateurs dans la gouvernance des plateformes et les autorités de régulation. Le rôle de l’État et de la collaboration interétatique commence à porter ses fruits. Ainsi, le RGPD aide à façonner un socle commun, en matière de droits fondamentaux numériques. Il permet de sécuriser au maximum la navigation sur Internet en rendant l’internaute actif, pouvant gérer une partie de ses données personnelles, tout en étant le garant de l’exercice effectif des droits de l’internaute.

Il est donc certain que le RGPD façonne un socle commun de droits fondamentaux numériques. Pour autant, la règlementation des données n’est pas un simple vecteur d’unification européenne, elle serait aussi un moyen de redorer le blason de l’Union européenne à l’échelle internationale.

 

 

II. – LA RÈGLEMENTATION DES DONNÉES, UN PUISSANT OUTIL DE SOUVERAINETÉ EUROPÉENNE

 

« L’État cessera-t-il d’être souverain ? Ou faudra-t-il cesser de parler d’État ? Ces questions, peut-être, nous rappellent que la forme de l’État souverain n’est, dans l’histoire, qu’un moment de l’organisation politique »[39]. Si ces lignes semblent à certains égards provoquantes, elles saisissent sur le vif une implacable réalité. Le libertarisme de certaines entreprises de la Silicon Valley fait chanceler la souveraineté des États dans sur le secteur du numérique. Il prône la substitution du modèle d’État-Providence par un ensemble de services commerciaux en ligne[40]. Face à l’affaiblissement numérique des États qui s’affaiblit numériquement chaque jour un peu plus. Aussi, le RGPD vise à maintenir non seulement la souveraineté des États sur les données produites localement, mais encore tente de garder la plus-value qui leur est liée. À l’origine, le RGPD avait pour vocation de contenir l’ambition insatiable[41] des GAFAM (acronyme désignant les acteurs privés américains dominants du Web, à savoir : Google, Apple, Facebook, Amazon et Microsoft), des BATX (leurs homologues chinois : Baidu, Alibaba, Tencent et Xiaomi) et du nouveau NATU (Netflix, Airbnb, Tesla et Uber) – ceux-ci ayant constamment accès aux données européennes. Comment l’Europe, qui menait la course autrefois, a-t-elle pu se retrouver en retrait face aux leaders mondiaux des nouvelles technologies[42] ?

En 2013, un rapport sénatorial de Catherine Morin-Desailly s’est d’ailleurs penché sur cette problématique et s’est inquiétée de voir l’Europe devenir « une colonie numérique des États-Unis »[43]. Dans cette perspective, le philosophe Éric Sadin décrit une « colonisation d’un nouveau genre […] qui ne se vit pas comme une violence subie, mais comme une aspiration ardemment souhaitée par ceux qui entendent s’y soumettre »[44]. La protection des données des citoyens européens forme alors le plus sûr rempart contre la vassalisation numérique de l’Union européenne par les géants du secteur numérique américains ou chinois. Pour y parvenir, l’Union européenne se trouve confrontée à la nécessité de maîtriser à la fois les infrastructures et les données des utilisateurs européens, présents ou non sur son territoire. La localisation des données hors du territoire européen fragilise sa souveraineté numérique. Des initiatives privées telle que Qwant, premier moteur de recherche européenne à disposer de sa propre technologie d’indexation du Web, tentent de conjurer cette perte de contrôle.

Dans cette optique, le RGPD présente un domaine territorial étendu afin d’améliorer la protection des données des citoyens européens[45]. Celui-ci est si large qu’il possède une dimension extraterritoriale, à l’instar de son équivalent américain, le Cloud Act[46]. L’extraterritorialité[47] se distingue ainsi comme un fer de lance de la souveraineté numérique des États de l’Union européenne car, aujourd’hui, de nombreuses entreprises françaises stockent leurs données sur les clouds[48] d’Amazon (AWS), de Google ou de Microsoft et de nombreux Français échangent quotidiennement sur des messageries et des applications collectrices leurs données pour les partager avec les GAFAM et consorts.

Parallèlement, l’Europe est confrontée à une problématique connexe et d’une importance majeure : sa dépendance à des services et outils non européens pour une grande majorité de ses activités numériques. Ainsi, 92 % des données occidentales sont hébergées aux États-Unis[49]. L’identité numérique de nombreux citoyens européens dépend ainsi en grande partie des États-Unis : plus le volume de données produites augmente, plus les entreprises et les citoyens s’enferment, malgré eux, dans cette dépendance. Un état des lieux alarmant pousse aujourd’hui l’Union européenne à se pencher sérieusement sur la question de la souveraineté numérique et son devenir [50].

La crise sanitaire démontre la formidable dépendance de la France et de l’Europe envers des solutions et matériels numériques non européens. Les outils utilisés afin de poursuivre une activité à distance ont été, dans leur grande majorité, américains. Le cadre robuste de protection des données personnelles ne peut s’abstenir d’une protection contre d’éventuelles captations de données, telles que celles révélées lors de l’affaire Edward Snowden. La localisation des données en Europe, le développement d’une offre cloud européenne compétitive capable de rivaliser avec les GAFAM, et, enfin, la résistance vis-à-vis des tentations extraterritoriales doivent désormais constituer trois axes prioritaires dans cette optique. Ces observations ont trouvé une application concrète dans le stockage des données aux États-Unis. La jurisprudence a joué un rôle décisif dans l’affirmation d’une souveraineté européenne.

En effet, l’arrêt Schrems I[51] a annulé l’accord du Safe Harbor permettant le transfert de données personnelles vers des entreprises situées aux États-Unis. En réaction, la Commission. européenne et le Gouvernement américain ont conclu un nouvel accord similaire, le Privacy Shield[52]. Celui-ci a été annulé par l’arrêt Schrems II aux motifs que « les États-Unis n’offraient pas [de] protection [des données] équivalente » à celle de l’Union européenne[53]. L’invalidation du Privacy Shield par la décision Schrems II a donc constitué « un cataclysme dans les activités économiques »[54], dans la mesure où « 65 % de l’offre cloud est offerte par Amazon, dont une partie des serveurs se situe aux États-Unis »[55].

Cette solution n’a pas été dénuée de suites en droit de la santé puisqu’elle a permis la réformation d’une décision du 19 juin 2020 par laquelle le juge des référés du Conseil d’État a rejeté les conclusions des requérants, en s’appuyant notamment sur le contenu du contrat conclu avec Microsoft le 15 avril 2020, et sur le fait que les possibles transferts de données aux États-Unis pour des besoins de maintenance s’inscrivaient. Le juge des référés a néanmoins demandé à la plateforme de communiquer sous cinq jours à la CNIL tous les éléments relatifs aux procédés de pseudonymisation utilisés afin d’être vérifiés par le régulateur[56]. En effet, l’invalidation du Privacy Shield, par l’arrêt Schrems II a remis en cause la base juridique de cette décision. En conséquence, les associations requérantes ont de nouveau saisi le juge des référés pour lui demander de suspendre le traitement des données liées à la Covid-19 au sein du Health Data Hub en raison des risques d’atteinte au droit au respect de la vie privée liés aux possibles transferts de données vers les États-Unis. Néanmoins, la Conseil d’État a rejeté les conclusions des requérants tendant à la suspension immédiate du traitement de données sur la plateforme. Il s’appuyait notamment sur un arrêté ministériel pris le 9 octobre 2020interdisant tout transfert de données à caractère personnel dans le cadre de ce contrat[57]. Il a reconnu, en revanche, l’existence d’un risque et, eu égard aux limites afférant à l’office du juge des référés, demandé au Health Data Hub de continuer à travailler avec Microsoft, sous le contrôle de CNIL, afin de renforcer la protection des droits des personnes concernées sur leurs données personnelles, dans l’attente d’une solution pérenne permettant d’écarter tout risque d’accès aux données personnelles par les autorités américaines, comme présenté par le secrétaire d’État au numérique le jour même de l’audience[58]. En effet, ce dernier s’est engagé au nom du Gouvernement à transférer l’hébergement du Health Data Hub sur des plateformes françaises ou européennes sous un délai de deux ans afin de procéder à ce transfert dans des conditions satisfaisantes.

Cette question a connu une actualité récente. À la suite d’une décision de l’Assemblée du contentieux du Conseil d’État[59]a concilié les règles nationales et le droit européen dans cette matière par une interprétation neutralisante de la portée de cette jurisprudence. Cette solution devrait donc conduire les pouvoirs publics à actualiser le cadre réglementaire existant, en maintenant la possibilité de conserver les métadonnées. Cependant, le périmètre et les modalités de conservation des données devraient être adaptés afin d’être conformes au droit européen et un contrôle mis en œuvre par une autorité indépendante lorsqu’il s’agit de données conservées à des fins de renseignement. L’avis de la commission nationale de contrôle des techniques de renseignement (CNCTR) sur ce sujet n’était pas contraignant jusqu’à ce jour, même si, comme le relève le Conseil d’État « en pratique, le Premier ministre n’a jamais outrepassé un avis défavorable de la CNCTR pour l’accès des services de renseignement à des données de connexion »[60].

La réglementation des données forme donc un puissant outil de souveraineté européenne, bien que la lenteur des procédures ait un effet protecteur pour les GAFAM que ceux-ci cultivent et amplifient par un puissant lobbying. Aussi, la souveraineté numérique s’élabore nécessairement dans une dialectique avec les États[61]. Alors que les instruments de leur souveraineté deviennent indissociables de la technologie numérique, les États revendiquent le prolongement de leur pouvoir de réglementation sur les réseaux, le respect de leur autorité et l’égalité des instances de gouvernance, face à l’hégémonie des États-Unis voire de la Chine. Certains États (Russie, Chine, Iran, etc.) retiennent une conception autoritaire, voire offensive. Ceci implique un droit de contrôle des espaces numériques afin d’y promouvoir leurs intérêts. D’autres (Allemagne, France, etc.) retiennent une approche plus libérale et défensive. Elle consiste à protéger leurs citoyens et leurs libertés contre les entités mues par préoccupations mercantiles.

La vision française mêle une approche juridique, une approche économique et une approche citoyenne. Tout d’abord, l’approche juridique vise à garantir un cadre protecteur des droits, ménager les libertés des citoyens et réguler l’action des grands acteurs[62]. Elle est fondée sur une distinction entre souveraineté numérique interne et externe. Cette notion recouvre à la fois, dans l’ordre interne, « la possibilité d’adopter des normes et de les faire appliquer dans l’environnement numérique [ainsi que, dans l’ordre externe], la capacité de l’État à demeure indépendant »[63]. Ensuite, l’approche économiquestimule le potentiel d’innovations des acteurs nationaux et encourage la constitution d’écosystèmes compétitifs[64] ; le « monde numérique » repose sur l’existence d’acteurs privés parfois dominants qui innovent et vendent des services numériques ou des équipements indispensables à son fonctionnement matériel. Enfin, l’approche libérale ou approche citoyenne mobilise les citoyens en les sensibilisant aux enjeux politiques de leurs usages. La défense de sa souveraineté numérique correspond à la nécessité de garantir ses droits et libertés dans le cyberespace, ainsi que sa capacité à choisir entre les fournisseurs de services numériques, afin de ne pas être captif de l’un d’entre eux en raison des spécificités de l’économie numérique.

Cette approche libérale s’appuie sur deux catégories de leviers. D’une part, les leviers politiques consistent à mettre en œuvre une coopération diplomatique entre États pour défendre une approche ouverte du monde numérique. L’avenir économique de la France dans le cyberespace repose en effet sur l’entraide européenne. Les leviers politiques consistent aussi à préserver des intérêts nationaux face aux tentatives de déstabilisation. Les États et les entreprises doivent être en mesure de lutter contre les attaques malveillantes, de manière à protéger leurs données et celles des citoyens[65]. D’autre part, les leviers économiques impliquent l’élaboration d’une politique industrielle et concurrentielle, qui favorise l’apparition d’entreprises technologiques innovantes et fiscalité équilibrée.

L’un des reproches qui est fait à la politique de souveraineté numérique dont s’éprennent les États est qu’elle affaiblit la possibilité d’une gouvernance mondiale de l’internet[66]. Le théoricien des relations internationales Joseph Nye a fait le constat selon lequel la solution n’est pas une souveraineté numérique nationale pour protéger les fonctions vitales d’Internet[67]. Cet auteur considère que le seul moyen de bannir les inéluctables cyber-conflits repose dans le bannissement des protectionnismes numériques et la conservation d’Internet comme un espace ouvert. Autrement dit, le professeur de l’Université d’Harvard conceptualise une gouvernance mondiale du cyberespace dont l’approche unitaire se distingue de l’actuelle myriade de politiques nationales unilatérales peu efficaces. L’économiste Bruno Alomar s’oppose, lui aussi, à une approche européenne de la souveraineté purement « défensive »[68]. Il regrette la continuelle stigmatisation et l’agressivité envers les grandes plateformes américaines, dont les réussites sont le fruit du mérite, de l’innovation et de leur esprit d’initiative. De façon piquante, il écrit : « L’Europe se condamne à ne pas comprendre les raisons des succès américains : esprit d’initiative, fiscalité avantageuse, liaison intelligente entre l’université et l’entreprise, financement du capital-risque, etc. »[69]. Selon lui, l’approche top-down avec un État qui contrôle tout ne permet pas un environnement optimal pour que des géants européens se développent. Il dénonce un trop plein de régulations, parfois prises à la hâte et à différent niveaux de décision sans être véritablement coordonnées. Cette vision critique est loin d’être isolée. En effet, le haut fonctionnaire Christophe-Alexandre Paillard décrit la souveraineté numérique comme une politique « colbertiste » et ultra-centralisée[70].

Pour autant, ces points de vue ne doivent pas faire perdre du regard le caractère unique du RGPD, sans équivalent au monde et peu à peu devenu instrument diplomatique de premier plan. La France et l’Union européenne doivent en faire la priorité de leurs politiques pour répondre à la demande de protection des citoyens, de compétitivité des entreprises, et, enfin, à une double exigence d’efficacité et de transparence des institutions publiques. Aussi, la question de la souveraineté numérique doit-elle moins être pensée en termes de « gains » et de « pertes » qu’en termes de redistribution de la puissance d’action des acteurs publics et privés au sein de l’espace numérique et physique.

La façon d’appréhender la question de la souveraineté numérique doit donc être inversée : le numérique ne vient pas remettre fondamentalement en cause la souveraineté des États, il rebat simplement les cartes des relations de pouvoir entre ces derniers au niveau international et constitue un puissant levier d’influence à court et moyen terme. Les tensions entre les États-Unis et la Chine en matière d’approvisionnement en semi-conducteurs, question critique, ou la fermeture du marché chinois à des géants américains, sans oublier de mentionner, pour l’Union européenne, la mise en place du RGPD, constituent autant d’illustrations de la dimension politique de cette question.

Dès lors, une politique de souveraineté numérique ne peut se construire qu’en partant des citoyens, dont les usages constituent le cœur du numérique. Les études récentes sur cette question « montrent une profonde aspiration de maîtrise des personnes sur leurs données [puisque] 87 % des Français se déclarent sensibles à la protection des données »[71]. Dans l’ensemble, l’expression de « souveraineté numérique » semble finalement moins employée pour désigner la capacité des États à agir dans le cyberespace que pour exprimer leur difficulté à assumer leurs fonctions traditionnelles face à des acteurs transnationaux puissants et dotés d’une avance technologique indiscutable. L’expression comporte bien un aspect juridique puisqu’elle renvoie aux prérogatives de l’État et à sa capacité à réguler les géants technologiques contemporains. Mais elle est également dotée d’un versant économique et industriel en ce qu’elle exprime la nécessité de rattraper un retard technologique qui place l’Europe et la France en situation de dépendance.

 

*                                 *

*

 

« Être Européen, c’est avoir le droit de voir ses données à caractère personnel protégées par une législation forte, une législation européenne… Car en Europe, la vie privée n’est pas un vain mot. C’est une question de dignité humaine »[72]. Ces mots de l’ancien président de la Commission européenne, Jean-Claude Juncker, montrent combien les données possèdent un pouvoir intrinsèque. Allant plus loin encore, Adrien Basdevant et Jean-Pierre Mignard rappellent que ceux qui détiennent les données possèdent le pouvoir[73]. La protection des données participe de la lente édification d’une souveraineté européenne au sujet de laquelle Robert Schuman formulait une recommandation demeurée à la postérité : « L’Europe ne se fera pas d’un coup, ni dans une construction d’ensemble : elle se fera par des réalisations concrètes créant d’abord une solidarité de fait »[74]. La protection des données consiste ainsi à ciseler des projets cohérents au moyen d’instruments pragmatiques et opérationnels dans la perspective d’un rapprochement des peuples européens. L’enjeu consiste alors à identifier une force européenne capable d’assurer la coordination d’une action globale susceptible de garantir son succès. La question relève donc à la fois du juridique et du politique. Le rythme effréné de cette course à la souveraineté numérique peint le droit comme « cet étrange liquide qui circule à l’intérieur de l’ordre juridique »[75] agissant comme un révélateur des mutations sociétales et pouvant « modifier profondément la nature du lien social »[76]. Là réside assurément l’ambition d’une gouvernance européenne sur les données, expression de la société et représentation qu’elle se fait d’elle-même et du monde. Il n’est d’ailleurs pas anodin que la Commission européenne ait proposé d’établir une nouvelle gouvernance européenne des données[77], visant la création d’un marché unique des données, et ce, en facilitant le partage et la réutilisation des données entre les secteurs d’activité et entre les États membres, et la promotion d’une « façon de faire européenne » en matière de gouvernance des données face aux acteurs étrangers[78]. Pour autant, « derrière l’audace de ce texte, se cache la forte influence du concept de data trust que la Commission européenne dilue au travers d’une terminologie neutre et une approche systémique »[79].

Alors que le commissaire européen au marché intérieur, Thierry Breton, a pu préciser que « la guerre des données industrielles débute maintenant et l’Europe sera son principal champ de bataille »[80], dans la mesure où l’Europe aurait perdu sur la guerre des données personnelles[81], un récent rapport d’information de l’Assemblée nationale intitulé « Bâtir et promouvoir une souveraineté nationale et européenne »[82] appelle de ses vœux un changement radical, auquel s’est associé la présidente de la Commission européenne, Ursula von der Leyen[83]. En effet, il est certain que « le Game of Thrones de la nouvelle économie de la data redistribue les rôles, les pouvoirs, les enjeux autour de cette nouvelle richesse qualifiée par certains improprement d’“Or noir” alors qu’il ne s’agit plus modestement que d’un terreau sur lequel nous devons implanter de nouvelles pratiques pour en extraire de la valeur qu’elle soit culturelle, stratégique, économique ou démocratique »[84]. L’Union européenne joue un rôle moteur dans cette dynamique de protection des données personnelles et d’émergence de ce data mind-set ou, plutôt, de cette capitalisation de la confiance autour de la data responsability. Seul ce remarquable effort de protection des données conjurera une déchéance promise à l’Union européenne. En d’autres mots, pour éviter que le mythe ovidien de l’enlèvement d’Europe ne devienne réalité [85], seuls de hauts standards juridiques de privacy en matière de protection des données sauveront l’Europe[86].

 

David LOVATO

Docteur en Droit

 


[1] T. KRIM, Lettre à ceux qui veulent faire tourner la France sur l’ordinateur de quelqu’un d’autre, Code For France, 2021, p. 3 (consultable sur codeforfrance.fr).

[2] Plus largement, v. B. BERTRAND, « L’Europe et le numérique : de la politique numérique à la citoyenneté numérique européenne ? », RTD eur. 2021, p. 245.

[3] V. not. N BOBBIO, L’État et la Démocratie internationale, Bruxelles, Éditions Complexe, 1998, p. 206.

[4] V° « Souveraineté », in G. CORNU et ASSOCIATION HENRI CAPITANT, Vocabulaire juridique, PUF, 2020, 13e éd., p. 976.

[5] D. PIÉRARD, « Souveraineté », Quaderni, 2007, n° 63, p. 87 et s.

[6] J. BODIN, Les six livres de la République, 1576, Premier Livre VIII. V. égal. A. ESMEIN, Éléments de droit constitutionnel, Sirey, 6e éd., 1914, p. 1 ; É. ZOLLER, Introduction au droit public, Dalloz, coll. Précis, 2013, 2e éd., n° 171 ; J.-G. SORBARA, « L’introduction au droit public d’Élisabeth Zoller : le problème de la souveraineté », in Penser le droit à partir de l’individu. Mélanges en l’honneur d’Élisabeth Zoller, Dalloz., coll. Mélanges, 2018, p. 147 ; R. DENOIX DE SAINT MARC, L’État, PUF, coll. Que sais-je ?, 2016, 3e éd., p. 3.

[7] V. not. S. NEUVILLE, Philosophie du droit, LGDJ, coll. Précis Domat, 2021, 2e éd., n° 503.

[8] V. spéc. M. VILLEY, « Le droit de l’individu chez Hobbes », in Seize essais de philosophie du droit, Dalloz, coll. Bibliothèque, 1969, reprint, p. 91.

[9] V. J. LOCKE, Two Treatises of Government [1690], Cambridge University Press, 1988, 2, XII, 143, p. 216-217.

[10] En ce sens L. FOISNEAU, « Gouverner selon la volonté générale : la souveraineté selon Rousseau et les théories de la raison d’État », Les Études philosophiques, 2007, n° 83, p. 463.

[11] B. BENHAMOU et L. SORBIER, « Souveraineté et réseaux numériques », Politique étrangère, 2006, n° 3, p. 519

[12] V. égal son ouvrage : Pierre BELLANGER, La souveraineté numérique, Stock, 2014. V. égal. S. TAILLAT, A. CATTARUZZA et D. DANET (dir.), La cyberdéfense. Politique de l’espace numérique, Armand Colin, coll. Université, 2018.

[13] G. LONGUET, « Rapport fait au nom de la commission d’enquête sur la souveraineté numérique », Sénat, 1er oct. 2019, t. 1, p. 103. V. égal. A. BLANDIN-OBERNESSER (dir.), Droits et souveraineté numérique en Europe, Bruylant, coll. Rencontres européennes, 2016.

[14] F. G’SELL, « Remarques sur les aspects juridiques de la “souveraineté numérique” », La revue des juristes de Sciences Po, oct. 2020, n° 19, p. 13. V. égal. P. TÜRK et Ch. VALLAR (dir.), La souveraineté numérique. Le concept, les enjeux, Mare & Martin, coll. Droit public, 2018.

[15] V. not. H. VÉDRINE, Face au chaos, sauver lEurope !, Liana Levi, 2019. V. égal. G. MERRITT, La Dégringolade européenne et comment léviter, Éd. Marie B, 2018.

[16] V. Th. S. KUHN, La structure des révolutions scientifiques [1962], Flammarion, coll. Champs, 2008, p. 136.

[17] Règlement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), JOUE, L 119, 4 mai 2016, p. 1. Sur ce texte, v. not. H. JACQUEMIN (dir.), Le Règlement général sur la protection des données (RGPD/GDPR) : premières applications et analyse sectorielle, Anthemis, coll. Commission Université Palais, 2020 ; A. BENSAMOUN et B. BERTRAND (dir.), Le règlement général sur la protection des données, Mare & Martin, coll. Droit & Science politique, 2020.

[18] J.-L. SAURON, « Le RGPD : qu’a-t-il vraiment changé pour l’internaute ? », Cahiers français, janv.-févr. 2021, n° 419, p. 24.

[19] V. V. DENIS, Une histoire de l’identité, France 1715-1814, Champ Vallon, 2008. 

[20] Pour un aperçu historique de cette question : v. not. D. LOVATO, La prudence et le droit, thèse, Toulouse I, 2020, n° 63.

[21] V. R. J. LIFTON, The Nazi Doctors: Medical Killing and the Psychology of Genocide, Basic Books, 1986.

[22] M. PONIATOWSKI, « Proposition de loi tendant à la création d’un Comité de surveillance et d’un Tribunal de l’informatique », Assemblée nationale, 30 oct. 1970.

[23] Ph. BOUCHER, « “Safari” ou la chasse aux français », Le Monde, 21 mars 1974 (consultable sur lemonde.fr).

[24] L. n° 78-17, 6 janv. 1978 relative à l’informatique, aux fichiers et aux libertés, JO du 7, p. 227.

[25] G. DESGENS-PASANAU, La protection des données personnelles, LexisNexis, 2016, 2e éd.

[26] ORGANISATION DE COOPÉRATION ET DE DÉVELOPPEMENT ÉCONOMIQUES, « Recommandation du conseil concernant les lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel », 23 septembre 1980 (consultable sur oecd.org).

[27] CONSEIL DE L’EUROPE, « Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel », 28 janv. 1981.

[28] Directive 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

[29] L. n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, JO du 7, texte n° 2.

[30] D. LELOUP, « Max Schrems : “L’important, c’est que Facebook respecte la loi” », Le Monde, 23 nov. 2011 (consultable sur lemonde.fr).

[31] En ce sens v. B. DOCQUIR (éd.), Vers un droit européen de la protection des données ?, Larcier, coll. Droit européen, 2017 ; C. CASTETS-RENARD (dir.), Quelle protection des données personnelles en Europe ?, Bruylant, coll. Europe(s), 2015.

[32] Règlement (UE) 2016/679’, préc.

[33] L. n° 2016-1321 du 7 octobre 2016 pour une République numérique, JO du 8, texte n° 1. Bien qu’étant immédiat et universel pour les membres de l’Union européenne, le RGPD prévoit cependant un délai d’application de deux ans, laissant donc aux entités jusqu’au 25 mai 2018 pour enclencher leurs projets de mise en conformité.

[34] CONSEIL EUROPEEN, « La protection des données dans l’Union européenne », 2016 (consultable sur consilium.europa.eu).

[35] RGPD, art. 4. V. égal. D. LOVATO, op. cit., n° 59.

[36] Sur ce droit, v. spéc. F. MATTATIA, RGPD et droit des données personnelles, Eyrolle, 2021, 5e éd. ; Th. DOUVILLE, Droit des données à caractère personnel, Gualino, 2020 ; O. TAMBOU, Manuel de droit européen de la protection des données à caractère personnel, Bruylant, coll. Droit administratif, 2020. V. égal. la publication du Code de la protection des données personnelles (Dalloz). Enfin, notons que les avocats sont concernés par le RGPD mais les opérations de traitement qu’ils mettent en œuvre ne sont pas soumises à l’analyse d’impact (CNIL, Délib. portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données n’est pas requise, JO du 22 oct. 2019, texte n° 90). Le Conseil national des barreaux a ainsi publié un guide à consommer sans modération : CONSEIL NATIONAL DES BARREAUX, Guide pratique, Les avocats et le règlement général sur la protection des données (RGPD), mars 2018 (consultable sur cnb.avocat.fr).

[37] Il est vrai que la question de la patrimonialisation des données n’est pas sans interroger, ainsi que le rappelle cette édition 2021 du « Prix de la donnée by Data Ring » avec la question « Vendre ses données pour financer ses études ? ». Très modestement, et à la suite d’un auteur, nous pourrions indiquer qu’une approche féodale du traitement des données personnelles favoriserait une intéressante piste de lecture et de solution. En effet, « parce qu’il repose sur une fidélité qui relègue son aspect financier au second rang, le contrat de fief est susceptible d’offrir le cadre contractuel que n’a pas à ce jour trouvé le traitement conventionnel des données personnelles. Il pourrait permettre la reconnaissance de celles-ci comme des biens incorporels et en assurer la patrimonialisation à l’occasion de leurs échanges […]. La contribution des États à la mise en place de ce revenu pourra se limiter à l’essentiel : la force de la loi » (P. TALBOURDET, « Pour une approche féodale du traitement des données personnelles », Tribonien, 2018, n° 1, p. 124). Dans cette perspective, Jer Thorp, expert de la data visualisation, estime que les citoyens ont tout intérêt à collecter eux-mêmes les données les concernant et à les utiliser à leur avantage (J. THORP, Living in Data : A Citizen’s Guide to a Better Information, MCD, 2021).

[38] Proposition de Règlement du Parlement et du Conseil relatif aux marchés contestables et équitables dans le secteur numérique (législation sur les marchés numériques), 15 déc. 2020.

[39] É. MAULIN, « Souveraineté », in D. ALLAND et S. RIALS (dir.), Dictionnaire de la culture juridique, Lamy-PUF, 2003, p. 1438.

[40] T. KRIM, op. cit., p. 5.

[41] Le prix Nobel d’économie, Jean Tirole, évoque même une « concurrence des souverainetés » : J. TIROLE, « Asset Bubbles and Overlapping Generations », Econometrica, 1985, vol. 53, p. 1499. V. égal. D. LOVATO, op. cit., n° 505.

[42] V. not. B. ADDAD, Souveraineté numérique européenne. Innovations, échecs et espoir de 1900 à nos jours, VA éditions, 2021.

[43] C. MORIN-DESAILLY, « L’Europe au secours de l’Internet : démocratiser la gouvernance de l’Internet en s’appuyant sur une ambition politique et industrielle européenne », Sénat, rapport d’information n° 696, 2013. Récemment, J. NOCETTI, « L’Europe reste-t-elle une colonie numérique des États-Unis ? », Politique étrangère, 2021, n° 3, p. 51.

[44] E. SADIN, La siliconisation du monde : l’irrésistible expansion du libéralisme numérique, Éd. L’échappée, 2016, p. 24.

[45] RGPD, art. 3.

[46]Clarifying Lawful Overseas Use of Data Act (Cloud Act) (H.R. 4943), 2 juin 2018. V. spéc. F. T. DAVIS et C. GUNKA, « Perquisitionner les nuages – CLOUD Act, souveraineté européenne et accès à la preuve dans l’espace pénal numérique », Rev. crit. DIP 2021, p. 43. V. égal. M.-E. ANCEL, « D’une diversité à l’autre. À propos de la “marge de manœuvre” laissée par le règlement général sur la protection des données aux États membres de l’Union européenne », Rev. crit. DIP 2019, p. 647 ; E. THELISSON, « La portée du caractère extraterritorial du Règlement général sur la protection des données », RIDP 2019, t. XXXIII, p. 501.

[47] V. R. GAUVAIN, « Rétablir la souveraineté de la France et de l’Europe et protéger nos entreprises des lois et mesures à portée extraterritoriale », Assemblée nationale, 2019, p. 11. V. égal. F. TERRÉ et N. MOLFESSIS, Introduction générale au droit, Dalloz, coll. Précis, 2020, 12e éd., n° 132.

[48] V. not. Ph. le TOURNEAU, Contrats du numérique, Dalloz, coll. Références, 2020, 11e éd., n° 342.00 et s.

[49] V. O. WYMAN, European digital sovereignty. Syncing values andvalue, 2020, p. 3 (consultable sur oliverwyman.com).

[50] V. R. GAUVAIN, ’op. cit.

[51] CJUE, 6 oct. 2015, aff. C-362/14, Maximilian Schremsc/ Data Protection Commissioner  : JCP G 2015, 1107, obs. D. BERLIN ; JCP E 2015, act. 778 ; Comm. com. électr. 2015, comm. 94, note A. DEBET ; Gaz. Pal., 29 oct. 2015, n° 302, note J.-L. SAURON ; RLDI 2015/120, n° 3853, note E. DERIEUX ; RLDI 2015/120, n° 3854, note M. QUÉMÉNER ; RLDI 2015/120, n° 3867, p. 50, note Y. PADOVA ; AJDA 2015, p. 2257, chron. E. BROUSSY, H. CASSAGNABÈRE et C. GÄNSER ; Comm. com. électr. 2015, ét. 21, J. UZAN-NAULIN et R. PERRAY.

[52] C. CASTETS-RENARD, « Le Privacy Shield », Dalloz IP/IT 2016, p. 113.

[53] CJUE, 16 juill. 2016, aff. C-311/18, Data Protection Commissioner c/ Maximillian Schrems et Facebook Ireland, § 195 et 196 : JCP E 2020, act. 548 ; D. 2020, p. 1453 ; JCP A 2020, act. 491, F. MATTATIA ; AJ Contrat 2020, p. 436, note Th. DOUVILLE ; Comm. com. électr. 2020, comm. 83, note A. DANIS-FATÔME ; Dalloz IP/IT 2020, p. 640, note B. BERTRAND et J. SIRINELLI.

[54] Th. DOUVILLE in Ph. LATOMBE, « Bâtir et promouvoir une souveraineté numérique nationale et européenne », Assemblée nationale, 29 juin 2021, n° 4299, t. 1, p. 49.

[55]Ibid. Plus largement, v. C. CASTETS-RENARD, « Contrats et protection des données à caractère personnel : le cas du droit américain », Dalloz IP/IT 2021, p. 202.

[56] CE, ord. réf., 19 juin 2020, n° 440916, Assoc. Le Conseil national du logiciel libre et a : RLDI 2020, 172, n° 5904.

V. égal. M.-A. FRISON-ROCHE, « Facebook, le coronavirus et la Compliance », Petites Affiches, 23 mars 2020 (consultable sur actu-juridique.fr).

[57] Arr. NOR SSAZ2027233A, JO du 10 oct. 2020, texte n° 28.

[58] CE, ord. réf., 13 oct. 2020, n° 444937, Assoc. Le Conseil national du logiciel libre et a. :  JCP G 2020, 1358, B. BERTRAND ; RLDI 2020, 175, n° 5965.

[59] CE, ass., 21 avr. 2021, n° 393099, 394922, 397844, 397851, 424717 et 424718, French Data Network et a. : RFDA 2021, p. 241, concl. A. LALLET ; AJDA 2021, p. 828, obs. M.-C. de MONTECLER ; RLDI 2021/181, n° 5972, obs. L. COSTES ; Gaz. Pal. 29 juin 2021, n° 423, p. 20, note A. BENSAMOUN ; JCP G 2021, 659, note A. ILIOPOULOU-PENOT ; D. 2021, p. 1268, note Th. DOUVILLE et H. GAUDIN ; Comm. com. électr. 2021, comm. 56, note N. BELKACEM ; RTD eur.2021, p. 349, note. L. AZOULAI et D. RILENG.

[60]Ibid.

[61] V. P. TÜRK, « La souveraineté des États à l’épreuve d’internet », RDP, 2013, n° 6, p. 1489.

[62] CONSEIL NATIONAL DU NUMERIQUE, « Concurrence et régulation des plateformes. Étude de cas sur l’interopérabilité des réseaux sociaux », avis de juillet 2020.

[63]Th. DOUVILLE in Ph. LATOMBE, « Bâtir et promouvoir une souveraineté numérique nationale et européenne », Assemblée nationale, 29 juin 2021, n° 4299, t. 1, p. 28.

[64] V. not. A. BRADFORD, « Comment l’Europe régit l’économie numérique », SAY, 2020, n° 1-2, p. 156. V. égal son ouvrage : The Brussels Effect: How the European Union Rules the World, Oxford University Press, 2020.

[65] V. D. LOVATO, op. cit., n° 611.

[66] V. M.-A. FRISON-ROCHE, « L’apport du Droit de la Compliance dans la Gouvernance d’Internet », rapport demandé par le Gouvernement français, 15 juill. 2019.

[67] V. not. J. S. NYE, « Maîtriser les cyber conflits », Project Syndicate, 8 août 2017 (consultable sur project-syndicate.org).

[68] B. ALOMAR, « Ne sombrons pas, en Europe, dans le “nationalisme numérique” », Les Échos, 4 mars 2020 (consultbale sur lesechos.fr).

[69]Ibid.

[70] V. C.-A. PAILLARD, « La souveraineté numérique, un colbertisme 2.0 ? », Atlantico, 24 avril 2020 (atlantico.fr).

[71] IFOP, « Les Français et la souveraineté́ numérique », avril 2021.

[72] J.-C. JUNCKER, « Discours sur l’État de l’Union », 14 sept. 2016.

[73] A. BASDEVANT et J.-P. MIGNARD, L’Empire des données, Don Quichotte, coll. Non fiction, 2018.

[74] R. SCHUMAN, Déclaration, 9 mai 1950 (consultable sur europa.eu).

[75] R. LIBCHABER, « Où va le droit ? Là où la société́ le conduira... », JCP G 2018, 1382.

[76] F. OST, À quoi sert le droit ? Usages, fonctions, finalités, Bruylant, coll. Penser le droit, 2016, p. 349.

[77] Proposition de Règlement du Parlement et du Conseil sur la gouvernance européenne des données (acte sur la gouvernance des données), 25 nov. 2020.

[78] V. spéc. J.-L. SAURON et A. DONNE, « L’Acte sur la gouvernance européenne des données, nouvel élément de régulation des données », JCP A 2021, 2146 ; B. BERTRAND, « La souveraineté numérique européenne : une “pensée en acte” ? », RTD eur. 2021, p. 249.

[79] A.-S. HULIN et C. CASTETS-RENARD, « Quels cadres de gouvernance pour le marché européen des données ? », D. 2021, p. 848.

[80] Th. BRETON, conférence de presse de la Commission européenne, 19 févr. 2020, cité not. in D. PERROTTE, « Thierry Breton : “La guerre des données industrielles débute maintenant et l’Europe sera son principal champ de bataille” », Les Échos, 17 févr. 2020 (consultable sur lesechos.fr).

[81] A. VITARD, « Après sa défaite sur les données personnelles, l’Union européenne s’engage dans la bataille des données industrielles », L’Usine digitale, 20 février 2020 (consultable sur usine-digitale.fr).

[82] Ph. LATOMBE, op. cit.

[83] M. CHARTIER, « Semi-conducteurs et souveraineté numérique : Ursula van der Leyen veut enclencher un plan européen », Les Numériques, 17 sept. 2021 (consultable sur lesnumeriques.com).

[84] F. CHARRUYER et J.-L. SAURON, La protection et la valorisation des données publiques, Berger-Levrault, coll. Les Indispensables, 2020, p. 9.

[85] OVIDE (trad. O. SERS), Les Métamorphoses, Les Belles Lettres, coll. Classiques en poche, 2009, II, v. 847-867.

[86] À l’image de Règlement e-Privacy, bien que sans cesse repoussé… V. not. A. RENARD, « Futur règlement e-Privacy : quelques préoccupations du CEPD », D. actu, 22 mars 2021.