La dépendance des entreprises de l'UE vis-à-vis des technologies étrangères est très visible, de sorte qu'aucune entreprise européenne ne figure parmi les 20 premières marques technologiques mondiales, et que 92 % des données du monde occidental sont régies par des entités contrôlées par les États-Unis[1].
Le principal problème est que les données des citoyens européens sont moins protégées aux États-Unis que dans l'UE. Par exemple, les agences de surveillance américaines peuvent demander un accès direct aux fournisseurs de services. Cela signifie que les données personnelles des citoyens de l'UE sont transférées aux États-Unis sans respecter les normes de confidentialité imposées par le RGPD. Google Analytics, dont les transferts de données ont été jugés illégaux par la CNIL en février dernier, est le dernier en date d'une série d'invalidations par l'UE. En effet, les deux tentatives pour remédier à ce problème, à savoir les accords de transfert de données Safe Harbor et Privacy Shield, ont été invalidées.
Par conséquent, dans ce contexte de souveraineté numérique, les entreprises européennes devraient-elles mieux envisager des solutions alternatives basées sur l'UE ?
Avoir une base solide pour la souveraineté numérique
Le RGPD stipule que les données personnelles de l'UE ne peuvent être transférées que vers des pays qui offrent une protection adéquate. Aux États-Unis, il n'existe pas de loi fédérale sur la protection des données, et la législation sur la protection de la vie privée au niveau des États est bien moins stricte que le RGPD. En outre, sous certaines conditions, les agences de surveillance américaines peuvent accéder à toute base de données (contenant, par exemple, des informations personnelles sur des citoyens européens) appartenant à une entreprise américaine, quel que soit l'emplacement du serveur. Cette possibilité a été la principale raison de l'échec du Privacy Shield, le cadre le plus récent pour le transfert de données entre l'UE et les États-Unis.
L'UE pourrait simplement évincer les grandes entreprises américaines par des réglementations et obliger les entreprises européennes à choisir des technologies européennes et à héberger leurs données localement. Toutefois, une souveraineté strictement numérique n'est pas réaliste. L'internet et la technologie ne devraient pas avoir de frontières, et les actions visant à limiter l'utilisation de certains fournisseurs ne feraient que tuer l'innovation et condamner les organisations européennes qui dépendent de la technologie. Pour rester compétitives, les entreprises doivent être en mesure de faire des choix technologiques optimaux.
Cependant, l'UE n'est pas restée les bras croisés et a annoncé le lancement en 2020 de son projet de cloud souverain européen appelé Gaia-X. L'objectif en Europe était de disposer d'un fournisseur d'infrastructure de services cloud complet comme AWS / Azure / Google Cloud. Malheureusement, le projet s'est rapidement enlisé, des objectifs peu clairs et une trop grande ambition politique ont laissé le projet bloqué au stade de concept.
D'autres signaux positifs sont à venir. En effet, la croissance dans l'espace numérique est l'une des priorités de la présidence française de l'Union européenne en 2022, qui a fixé quatre piliers pour la souveraineté numérique de l'Europe. Il s'agit de renforcer la sécurité dans le cyberespace, d'attirer les investisseurs étrangers et les talents étrangers pour créer des entreprises de classe mondiale, d'encourager les normes libres et ouvertes et, surtout, d'offrir des conditions de concurrence équitables aux entreprises sur le marché unique numérique.
En utilisant davantage la carotte et non le bâton, l'objectif à moyen terme est de renforcer le secteur technologique européen. L'influence des grandes entreprises sera certes réduite (mais pas éliminée), mais cela donnera aux solutions européennes un espace pour s'épanouir. Et chaque fois qu'une solution technologique européenne sera préférée aux grandes entreprises, la dépendance de l'UE à l'égard des États-Unis diminuera.
Vers un nouvel accord UE-Etats-Unis ?
Une autre solution possible à cette situation est que l'UE et les États-Unis concluent bientôt un nouvel accord sur le transfert de données, comme cela a été annoncé fin mars de cette année lors d'une conférence de presse conjointe du président américain et du président de la Commission européenne.
Ce nouveau cadre transatlantique de protection des données vise à mettre de l'ordre dans l'ensemble de l'économie numérique entre l'UE et les États-Unis, car la majeure partie de celle-ci repose sur le transfert de données depuis et vers les États-Unis. Il est très important de trouver une solution durable qui permette à cet énorme secteur de prospérer au coup par coup.
En l'absence de projet, il est difficile de dire quelles sont les chances que ce nouveau document satisfasse les tribunaux de l'UE. Pour l'instant, seul un "accord de principe" a été conclu, ce qui signifie que deux dirigeants politiques se sont mis d'accord sur la nécessité d'un tel règlement. Le projet réel sera créé dans les mois à venir et il faudra encore plus de temps pour qu'il entre en vigueur.
Cependant, des voix s'élèvent déjà pour dire que cela ne sera pas suffisant. Il est certain que l'association Nyob contestera juridiquement le nouvel accord. Si les garanties supplémentaires ne satisfont pas les tribunaux de l'UE, l'accord pourrait être résilié comme Safe Harbor et Privacy Shield.
La souveraineté numérique n'est pas un concept nouveau, puisque l'obligation de résidence des services et des données au niveau local existe depuis des décennies dans le secteur financier et gouvernemental de l'UE. Les normes élaborées par les industries hautement réglementées doivent simplement être imitées par tous.
Par Maciej Zawadziński, CEO de Piwik PRO
[1] Selon le rapport d’Oliver Wyman’s https://www.oliverwyman.com/content/dam/oliver-wyman/v2/publications/2020/october/European%20Digital%20Sovereignty.pdf