La toute puissance des Etats-Unis en matière de technologies de l'information ne cesse de préoccuper, depuis des années, les Européens. Ces derniers constatent, impuissants, l'impossibilité d'imposer à leur juste niveau les bénéfices réalisés sur leurs territoires par les géants du net que sont les GAFAM (Google, Apple, Facebook, Amazon, Microsoft). Et ils ont du mal à s'accorder sur la mise en place d'une taxe numérique qui leur permettrait de compenser en partie cette perte de matière fiscale.
D'autre part, comme l'a illustré en début d'année le scandale Facebook-Cambridge Analytica, la question de la protection des données confidentielles est devenue la préoccupation première de tous les agents économiques. Pour un continent technologiquement avancé comme l'Europe, le risque d'une mainmise permanente des géants du net sur le « big data » à la base de l'économie de la connaissance ne relève plus du fantasme. A cet égard, l'adoption en avril puis l'entrée en vigueur dès le mois de mai 2018 dans toute l'Union européenne du « règlement général sur la protection des données » (RGPD) est le signe d'une vraie prise de conscience.
Trop tard ?
Mais n'est-il pas trop tard ? Et les initiatives européennes ne font-elles pas figure de « barrage contre le Pacifique » ? Deux développements récents tendent à accréditer ces interrogations.
Le 23 mars 2018, les gouvernement américain a ainsi promulgué un « Cloud Act » adopté en catimini dans le cadre de la loi budgétaire fédérale. En fait, cette disposition législative intitulée « Clarifying Lawful Overseas Use of Data Act » constitue un amendement à une législation plus globale datant de 1986, le « Storage Communication Act » (SCA) qui pose le principe de la confidentialité des données et exige notamment, pour obtenir des documents détenus à l'étranger par une entreprise américaine, une demande formelle d'entraide judiciaire.
Une garantie juridique sur laquelle étaient venues buter, en 2013, les autorités américaines. Celles-ci, dans le cadre d'une enquête sur un trafic de stupéfiant, avaient demandé à la société Microsoft Corporation de leur communiquer les données concernant un ressortissant non américain. Refus de Microsoft au motif que ces données étaient stockées en Irlande. S'ensuivit une longue bataille juridique portée finalement devant la Cour suprême des Etats-Unis. Une Cour dont la décision risquait de confirmer les décisions antérieures favorables à Microsoft. Fidèle à sa politique de coups de force, l'administration Trump a préféré prendre les devants en modifiant la législation.
Ainsi, le « Cloud Act » met à mal le principe de la souveraineté juridique des Etats en édictant que les sociétés américaines ainsi que leurs filiales à l'étranger sont désormais tenues de communiquer aux autorités américaines, à leur demande, les données placées sous son contrôle « sans considération du lieu où ces données se trouvent stockées ». En clair : même détenues à l'étranger, les données confidentielles doivent être communiquées aux autorités américaines dans le cadre d'une enquête pénale ! Pour faire bonne mesure et rendre plus acceptable ce qui apparaît comme une nouvelle disposition extra-territoriale de la législation américaine, le Cloud Act prévoit une forme de réciprocité vis-à-vis des gouvernements étrangers. Sous réserve d'un accord bilatéral avec Washington, ces derniers peuvent également demander à un fournisseur de services américain la communication des données qu'il détient, y compris aux Etats-Unis. La possibilité de tels accords avec des pays au régime autoritaire ou illibéral ont naturellement fait hurler, outre-Atlantique, plusieurs groupes de défense des droits civiques, notamment Amnesty International et Human Rights Watch.
Risque de conflit de normes
Le Cloud Act émeut également un bon nombre de responsables politiques européens (par exemple l'eurodéputé français Jean Arthuis) qui soulignent un risque de conflit de normes avec l'article 48 du RGPD européen conditionnant le transfert de données à un traité d'entraide judiciaire. On voit se profiler des batailles juridiques sans fin et d'interminables arguties. Mais l'on aurait tort de croire que les dispositions du Cloud Act ne vont faire que gonfler les profits des « lawyers ». Le danger est déjà très concret.
Très connue et très réputée outre-Rhin, la société allemande Brainloop protège les données de 70% des entreprises cotées au DAX (Adidas, Allianz, Bayer, BMW...) et même d'autres groupes européens (Suez, Vallourec, Crédit Suisse...) puisqu'elle est également implantée en Suisse, en Autriche, au Royaume-Uni et en France. Or, le 10 juillet dernier, Brainloop a été l'objet d'une OPA du groupe américain de partage et de sécurité de l'information Diligent. Après un examen de l'Office fédéral anti-cartel allemand, le rachat a été officialisé début août. On voit clairement le danger : désormais filiale d'une entreprise américaine, Brainloop pourrait se voir contrainte, en cas d'enquête pénale, à communiquer les données de ses clients européens aux instances américaines. Certes, les possibilités de recours juridiques sont nombreuses. Mais, en matière de sécurisation des données, la confiance absolue est un facteur psychologique déterminant. Peut-on oublier que la justice américaine a lancé en mai dernier des poursuites pénales contre l'ex-patron de Volkswagen dans l'affaire des moteurs diesel truqués ?
On peut toujours imaginer de nouvelles parades législatives européenne à l'offensive américaine. Cela dit, pour les grands groupes du Vieux continent, le plus sûr ne serait-il pas, comme le préconisent plusieurs parlementaires européens, d'appliquer le principe de précaution en confiant désormais la sécurisation de leurs données à des entreprises elles-mêmes européennes ? De nombreuses startups, y compris en France, sont actives dans ce domaine...
N'est-il pas temps, pour l'Europe, de se défendre avec pragmatisme ?
« Quand nous mettrons le pied sur l'accélérateur, nous serons difficiles à égaler » (Joelle Pineau, directrice de la recherche en IA chez Meta)
Sujets les + commentés