Apparu au début des années 2000, le concept de souveraineté numérique suscite des débats croissants en Europe, dans un monde de plus en plus dominé par le numérique.
Cette souveraineté représente la capacité des nations européennes à maintenir leur indépendance et leur contrôle dans l’espace numérique, tout en protégeant les données et les intérêts de leurs citoyens et des entreprises. Cette ambition reflète une volonté politique de répondre à une domination technologique et commerciale, principalement américaine, mais aussi bientôt chinoise, que l’Europe a du mal à contrebalancer en raison d’une incapacité historique à favoriser l’émergence d’acteurs robustes dans des secteurs clés comme le cloud.
Historiquement, l’Europe n’a pas pu encore développer suffisamment d’alternatives compétitives aux géants technologiques non-européens, ce qui a conduit à une dépendance à des technologies et infrastructures numériques étrangères. Cette dépendance est perçue comme un risque pour la sécurité et la vie privée, mais aussi comme un frein à l’innovation et à la compétitivité européennes. Face à cela, la souveraineté numérique s’exprime à travers des initiatives telles que GAIA-X, qui vise à développer une infrastructure de données cloud européenne, sécurisée et transparente.
En limitant l’accès des entreprises non-européennes aux données européennes, le RGPD sert une position de défense et encourage, de manière implicite, le développement et la croissance d’alternatives européennes dans des domaines tels que le cloud computing, l’intelligence artificielle et le stockage de données. Cependant, cette démarche s’inscrit dans un débat plus large sur le protectionnisme. En encadrant strictement les transferts de données personnelles en dehors de l’Union européenne, le RGPD crée des barrières légales et fait l’objet d’une utilisation stratégique pour créer un certain protectionnisme.
L’invalidation du Privacy Shield par l’arrêt Schrems II de la CJUE, en juillet 2020 (CJUE, gr. ch., 16 juill. 2020, aff. C-311/18, Schrems II : JurisData n° 2020-010181), a été une étape clé de la souveraineté numérique européenne, mais au risque de paralyser les relations transatlantiques. De même, les décisions concernant l’utilisation de Google Analytics par des sites Internet européens illustrent parfaitement une lutte indirecte contre les transferts de données vers les USA, prenant les entreprises européennes en tenaille entre l’adoption de solutions simples et efficaces et des positions doctrinaires. Heureusement, le US Data Privacy Framework a pu être adopté le 10 juillet 2023 par la Commission européenne, et faire l’objet d’une décision d’adéquation rapidement pour permettre un maintien de ces flux de données.
Néanmoins, la problématique reste vive. La CNIL a ainsi récemment lancé une consultation publique sur un guide de l’évaluation d’impact sur la protection des données transférées (Transfer Impact Assessment – TIA). Ce guide est conçu pour aider les organisations à se
conformer aux réglementations relatives aux transferts de données personnelles hors de l’Espace économique européen (EEE).
Cette initiative de la CNIL souligne que, malgré les améliorations dans le domaine des transferts de données avec le nouveau cadre de protection des données, les exigences pour effectuer des TIA demeurent inchangées et doivent être strictement suivies. Cela met en évidence la vigilance continue de l’Europe en matière de protection des données et la pertinence du sujet de la souveraineté numérique.
De même, depuis sa mise à jour en 2022, la certification SecNumCloud se développe. Conçu pour certifier les services cloud qui répondent aux normes de sécurité numérique les plus élevées. Le label SecNumCloud garantit que les fournisseurs de cloud respectent des critères stricts en matière de sécurité des données, de résilience et de conformité juridique, notamment vis-à-vis du RGPD, mais impose aussi une stricte localisation des données en Europe.
En conclusion, la quête de la souveraineté numérique en Europe est un défi complexe et multidimensionnel. Elle nécessite une vision stratégique qui équilibre protection des intérêts européens et intégration dans l’économie numérique mondiale. Si bien gérée, cette ambition pourrait non seulement renforcer la position de l’Europe sur la scène numérique mondiale, mais aussi servir de modèle pour un espace numérique plus sécurisé, éthique et inclusif. Il faut cependant ne pas perdre de vue l’élément clé qui est la compétitivité.
