par Florence G’sell
Qu’est-ce que la souveraineté numérique ? L’expression déroute. Elle accole deux termes qui semblent à première vue n’avoir rien à voir. Du bas latin superanus (« supérieur »), la souveraineté peut être définie, de manière générale, comme « l’attribut d’une instance telle que nul organe ne lui impose sa loi » ou, de manière plus restreinte, comme « l’attribut de l’être qui fonde l’autorité d’un État » (Denis Piérard, « Souveraineté », Quaderni, n°63, Nouveaux mots du Pouvoirs, 2007, pp. 87-89). Historiquement, la souveraineté s’est d’abord affirmée dans le champ religieux avant d’être liée, avec les traités de Westphalie de 1648, à l’idée d’État-nation. C’est Jean Bodin qui, en 1576, introduisit cette notion dans le discours philosophique et politique, en la définissant comme la « puissance absolue et perpétuelle d’une république » (Jean Bodin, Les six livres de la République, 1576, Premier Livre VIII). Après Bodin, le concept de souveraineté fut repris par les théoriciens du contrat social : Hobbes, Locke, Rousseau, pour qui la souveraineté est d’abord celle du peuple. Telle est la conception que l’on retrouve dans la Constitution du 4 octobre 1958, dont l’article 3 dispose que « la souveraineté nationale appartient au peuple qui l’exerce par ses représentants et par la voie du référendum ». Le peuple exerce donc sa souveraineté au travers d’un État organisé, qui détient l’autorité sur un territoire. C’est là que le recours à l’adjectif « numérique » peut étonner : comment une telle autorité peut-elle s’exercer dans le monde virtuel ?
Le concept même de « souveraineté numérique » semble reposer sur l’hypothèse que « la puissance absolue et perpétuelle » évoquée par Bodin aurait changé de visage pour correspondre, à l’époque contemporaine, à un pouvoir exercé de manière dématérialisée, au moyen d’un traitement informatisé, en réseau. Notre réalité hyperconnectée serait le lieu d’une nouvelle forme de pouvoir, portant non plus sur le territoire mais sur un univers virtuel indépendant de tout ancrage physique. Pourtant, un tel univers est conçu pour résister à toute forme de pouvoir, et en particulier à l’emprise étatique. C’est ainsi que l’on racontait, aux débuts de la démocratisation de l’internet, que celui-ci pourrait défaire les ordres juridiques existants et permettre à ses utilisateurs de s’en affranchir en créant des systèmes auto-suffisants dont ils définiraient eux-mêmes les règles. La Déclaration d’indépendance du Cyberespace , s’adressait aux « gouvernements du monde industriel » pour leur dire qu’ils ne pouvaient revendiquer aucune souveraineté (« You have no sovereignty where we gather ») et que l’ingérence étatique n’était pas seulement malvenue, mais impossible. Les «cyberlibertariens » soutenaient que les autorités étatiques dominant les territoires géographiques ne pourraient s’imposer dans le cyberespace et devraient s’accoutumer à de nouvelles formes de régulations propres au monde virtuel (David Post and David Johson, « Law and Borders: The Rise of Law in Cyberspace » (1996), 48, Stanford Law Review, 1367).
Depuis lors, l’hypothèse libertarienne selon laquelle l’internet ne pourrait être régulé a été réfutée, tant en théorie qu’en pratique, notamment par Jack Goldsmith et Tim Wu (Jack Goldsmith & Tim Wu, Who Controls the Internet? Illusions of a Borderless World, March 2006). Jack Goldsmith et Tim Wu ont montré que l’internet peut être régulé puisqu’il n’est pas entièrement décentralisé mais composé de points d’entrée qui peuvent constituer autant de points de contrôle (regulatory access point). Le cyberspace n’est pas purement abstrait ou désincarné, il met en relation des personnes physiques et morales qui ont une existence dans le monde réel, ce qui rend, précisément, la régulation possible. Les multiples réglementations adoptées depuis lors, comme la Directive (CE) 2000/31 sur le commerce électronique, le Règlement Général de Protection des Données ou les décisions contradictoires de la Federal Communications Commission américaine sur la neutralité de l’Internet, témoignent de cette possibilité de réguler. Il reste que le caractère transnational de plateformes en mesure de choisir leurs implantations et le système juridique qui leur sied a rendu leur régulation particulièrement délicate. Les pionniers de l’internet n’avaient, en effet, pas prévu que l’expansion du web et sa démocratisation engendreraient l’apparition d’immenses plateformes dont la force de frappe est devenue, en une quinzaine d’années, colossale. Les plateformes d’intermédiation (Uber, AirBnB), les places de marché (Amazon), les réseaux sociaux (Facebook, Twitter, Instagram) disposent aujourd’hui d’une présence mondiale et rassemblent des millions, voire des milliards, d’utilisateurs. Au premier trimestre 2020, Facebook comptait 2,6 milliards d’utilisateurs actifs par mois et 1,73 milliard d’utilisateurs actifs par jour.
La force de frappe inédite des grandes entreprises technologiques conduit ainsi tout naturellement à les identifier comme détenant, bien plus que les États, le pouvoir sur les réseaux. Et c’est, de fait, bien souvent à leur propos que le terme de « souveraineté numérique » est employé. Il s’agit alors de désigner la forme de dépossession que leur émergence fait subir à des États qui peinent à assoir leur autorité sur les plateformes, dans le contexte d’un rapport de force constant avec les géants technologiques. Or les États ne sont pas seulement confrontés à la difficulté de la régulation des acteurs technologiques. Ils sont également fragilisés dans leurs activités régaliennes, pour lesquelles ils sont à la fois dépendants et concurrencés. S’agissant de la France, sa dépendance à l’égard d’acteurs technologiques étrangers est illustrée par plusieurs exemples. En 2016, le choix fut fait, par nécessité, de recourir aux services de la société Palantir, créée par Peter Thiel et en partie financée par la CIA, pour épauler la DGSI dans la lutte anti-terroriste, choix qui fut renouvelé en 2019 car aucun acteur français n’est en mesure de proposer une technologie équivalente. De même, la décision récente d’accorder à la société Microsoft le droit d’héberger les données de santé des français dans le cadre du Health Data Hub, au motif qu’aucune solution française ne permettrait de recourir aux algorithmes d’intelligence artificielle les plus perfectionnés compte-tenu des retards européens, témoigne d’une dépendance dont les conséquences peuvent être problématiques. Confier, en effet, à des entreprises étrangères l’accès à des données sensibles ou stratégiques revient à prendre le risque de voir ces données transférées ou exploitées par des puissances étrangères, au détriment des intérêts nationaux.
Par ailleurs, et au-delà de leur dépendance aux acteurs technologiques étrangers pour assurer leurs missions régaliennes, les États sont concurrencés par ceux-ci. Les géants du numérique sont, de plus en plus, tentés d’user de leur avancée technologique pour se lancer eux-mêmes dans l’exercice de fonctions traditionnellement réservées aux États, comme l’a illustré le souhait de Facebook de battre monnaie par la création de Libra. Il en va de même du développement de techniques fiables d’authentification de l’identité des personnes, telle Facebook Connect, très prisée des acteurs du e-commerce (voir Claire Landais, « Cyberdéfense : quelle stratégie pour la France ? », in Cahiers Français n°415, Comprendre la souveraineté numérique). Si la France a, par exemple, décidé de réagir, en choisissant d’imposer un cahier des charges élaboré par l’ANSSI (Agence nationale de la sécurité des systèmes d’information) et en développant ses propres plateformes (France Connect) et systèmes d’identité numérique (ALICEM), nul ne sait si cette stratégie permettra de l’emporter dans un monde globalisé qui évolue à grande vitesse et sans égard pour les standards nationaux. L’exemple éloquent des applications de traçage développées durant la crise sanitaire illustre d’ailleurs les limites de ces standards nationaux face aux initiatives des GAFAM. La décision d’Apple et Google de mettre à disposition une interface de programmation permettant le développement d’ applications de traçage a, en effet, conduit la plupart des pays européens (l’Italie, l’Autriche, l’Irlande, les Pays-Bas ou l’Allemagne) à choisir, individuellement, cette solution alors que la France et le Royaume-Uni ont décidé de développer une application centralisée souveraine. Il en résulte qu’en dépit de la libre circulation des personnes au sein de l’Union Européenne, chaque État dispose de sa propre application, incompatible avec les autres.
En définitive, l’expression de « souveraineté numérique » semble au fond moins employée pour désigner la capacité des États à agir dans le cyberespace que pour exprimer leur difficulté à assumer leurs fonctions traditionnelles face à des acteurs transnationaux puissants et dotés d’une avance technologique indiscutable. L’expression comporte bien un aspect juridique puisqu’elle renvoie aux prérogatives de l’État et à sa capacité à réguler les géants technologiques contemporains. Mais elle est également dotée d’un versant économique et industriel en ce qu’elle exprime la nécessité de rattraper un retard technologique qui place l’Europe et la France en situation de dépendance. L’on peut donc conclure qu’en son sens le plus strict, la souveraineté numérique renvoie aux prérogatives étatiques, tout en incluant également l’idée de souveraineté technologique tant l’indépendance sur ce point est une nécessité. L’on peut, enfin, y rattacher la souveraineté des données, qui correspond à la nécessité de conserver le contrôle sur ces actifs stratégiques que sont les données.
Dans cette perspective, la Chaire Digital Gouvernance et Souveraineté a entrepris des réflexions correspondant à différentes approches de la souveraineté numérique. Les réflexions menées sur la blockchain ont permis de montrer l’effet disrupteur de cette technologie sur l’emprise étatique. Plusieurs contributions à venir auront pour objet de se prononcer sur la régulation des plateformes ou sur la mesure de notre dépendance technologique. Nous allons également évoquer, dans de futures notes de blog, la marge de manœuvre des Etats face à des réseaux sociaux où se joue désormais le débat démocratique et les possibilités de protéger nos données d’éventuelles interférences étrangères par la création d’un Cloud souverain.
Florence G’sell est professeur agrégé de droit privé et co-titulaire de la Chaire Digital, Gouvernance et Souveraineté.
Vous pouvez retrouver une version plus approfondie de cette contribution in: F. G’sell, « Remarques sur les aspects juridiques de la « souveraineté numérique » », Revue des Juristes de Sciences Po, n°19, septembre 2020, art. 13, p. 52.