Edward Snowden, dont les mémoires viennent de paraître, s’était rendu célèbre en dévoilant les pratiques illégales de la NSA pour accéder à des informations privées. Six ans après ces révélations, les États-Unis n’ont pas évolué dans leur approche très contestable des données personnelles.
« Cloud Act » : un droit d’accès illimité aux données privées
En mars 2018, les États-Unis ont adopté le « Cloud Act ». De quoi s’agit-il ? Tout simplement d’une loi permettant aux procureurs américains enquêtant sur une simple infraction d’accéder aux messageries (Gmail, Messenger, Outlook, etc.) et aux fichiers stockés sur des services de Cloud américains (Google Drive, AWS, etc.), y compris en-dehors des États-Unis. En clair, un Français utilisant un simple compte Gmail relève immédiatement du droit américain, même si ses activités n’ont strictement aucun lien avec les États-Unis.
Pire : lorsqu’une personne ou une entreprise fait l’objet d’une enquête, cette personne n’est pas prévenue et la justice de son pays n’est pas consultée. Le problème s’étend au-delà de la sphère individuelle : si une entreprise, quelle que soit sa nationalité, a le malheur de stocker des fichiers sur Google Drive par exemple, elle relève également du droit américain.
Les États-Unis exercent ainsi une « politique juridique extérieure » octroyant à leur droit une compétence universelle, en violation des règles élémentaires du droit international qui promeut la coopération internationale et le respect de la souveraineté des États. De nombreuses associations de défense des droits de l’Homme ont déjà tiré la sonnette d’alarme vis-à-vis du « Cloud Act ». Nous la tirons également.
Pire : lorsqu’une personne ou une entreprise fait l’objet d’une enquête, cette personne n’est pas prévenue et la justice de son pays n’est pas consultée. Le problème s’étend au-delà de la sphère individuelle : si une entreprise, quelle que soit sa nationalité, a le malheur de stocker des fichiers sur Google Drive par exemple, elle relève également du droit américain.
Les États-Unis exercent ainsi une « politique juridique extérieure » octroyant à leur droit une compétence universelle, en violation des règles élémentaires du droit international qui promeut la coopération internationale et le respect de la souveraineté des États. De nombreuses associations de défense des droits de l’Homme ont déjà tiré la sonnette d’alarme vis-à-vis du « Cloud Act ». Nous la tirons également.
Un problème fondamental : l’extraterritorialité du droit américain
Au cœur de ce problème se trouve un sujet déjà bien connu : l’extraterritorialité du droit américain. Récemment, l’interdiction américaine de commercer avec l’Iran a obligé de nombreuses entreprises européennes ou asiatiques, également en relation d’affaires avec les États-Unis, à quitter le territoire iranien pour ne pas être soumises à de lourdes sanctions américaines. BNP Paribas en avait fait l’amère expérience en 2014, se voyant infliger une amende record au motif d’avoir réalisé des transactions en dollars avec l’Iran.
On comprend donc que n’importe quel lien, même ténu, est suffisant pour que les entreprises relèvent du droit américain. Utiliser le dollar dans une transaction, posséder une filiale aux États-Unis, utiliser un service de messagerie américain : toutes ces raisons se traduisent par une soumission immédiate au droit américain. Cette tentation extraterritoriale trouve sa raison d’être dans l’affrontement commercial sino-américain où l’Europe se trouve marginalisée.
Cet abus de position dominante par l’édiction de mesures à portée extraterritoriale constitue en effet un acte de concurrence déloyale, dont il convient de se protéger efficacement. En s’attaquant désormais aux données numériques, l’extraterritorialité du droit américain pose un problème pour notre intelligence économique qui s’en trouve menacée.
On comprend donc que n’importe quel lien, même ténu, est suffisant pour que les entreprises relèvent du droit américain. Utiliser le dollar dans une transaction, posséder une filiale aux États-Unis, utiliser un service de messagerie américain : toutes ces raisons se traduisent par une soumission immédiate au droit américain. Cette tentation extraterritoriale trouve sa raison d’être dans l’affrontement commercial sino-américain où l’Europe se trouve marginalisée.
Cet abus de position dominante par l’édiction de mesures à portée extraterritoriale constitue en effet un acte de concurrence déloyale, dont il convient de se protéger efficacement. En s’attaquant désormais aux données numériques, l’extraterritorialité du droit américain pose un problème pour notre intelligence économique qui s’en trouve menacée.
La solution : développer nos propres « GAFAM » européens
En France, le récent rapport Gauvain a pris le problème à bras le corps et envisage plusieurs solutions. Parmi elles : moderniser la loi de 1968, dite « loi de blocage », qui interdit aux sociétés françaises de communiquer des documents sensibles à des autorités étrangères, ou étendre le RGPD aux données non personnelles des entreprises.
Ces propositions vont dans le bon sens, mais restent des solutions ad hoc de portée nationale. Seule une volonté politique à l’échelle européenne nous permettra de contrer les tentations hégémoniques américaines. La riposte pertinente serait d’imposer à nos entreprises d’utiliser des Cloud européens, installés en Europe, sans aucun lien, notamment financier, avec les États-Unis. De même, les GAFAM (Google, Amazon, Facebook, Apple et Microsoft) pourraient être contraints à loger dans ces Cloud les données de leurs clients européens. Un tel projet impliquerait également le développement d’outils technologiques concurrents de ceux des GAFAM.
Plus largement, il convient de prendre au sérieux les données numériques dont l’enjeu ne porte pas seulement sur la protection de la vie privée, comme on l’a trop longtemps cru en Europe, mais qui constituent une véritable valeur économique, comme l’ont parfaitement compris les Américains. C’est donc à une véritable politique volontariste de protection de nos données numériques qu’il faut songer pour empêcher que nos entreprises soient exposées à des prédations extraterritoriales. L’Europe recouvrera ainsi son indépendance en imposant ses règles et ses normes face à cette offensive américaine.
Ces propositions vont dans le bon sens, mais restent des solutions ad hoc de portée nationale. Seule une volonté politique à l’échelle européenne nous permettra de contrer les tentations hégémoniques américaines. La riposte pertinente serait d’imposer à nos entreprises d’utiliser des Cloud européens, installés en Europe, sans aucun lien, notamment financier, avec les États-Unis. De même, les GAFAM (Google, Amazon, Facebook, Apple et Microsoft) pourraient être contraints à loger dans ces Cloud les données de leurs clients européens. Un tel projet impliquerait également le développement d’outils technologiques concurrents de ceux des GAFAM.
Plus largement, il convient de prendre au sérieux les données numériques dont l’enjeu ne porte pas seulement sur la protection de la vie privée, comme on l’a trop longtemps cru en Europe, mais qui constituent une véritable valeur économique, comme l’ont parfaitement compris les Américains. C’est donc à une véritable politique volontariste de protection de nos données numériques qu’il faut songer pour empêcher que nos entreprises soient exposées à des prédations extraterritoriales. L’Europe recouvrera ainsi son indépendance en imposant ses règles et ses normes face à cette offensive américaine.