La souveraineté numérique sur les données personnelles
122
La souveraineté numérique sur les données personnelles Étude du règlement européen n° 2016/679 sur la protection des données personnelles à l’aune du concept émergent de souveraineté numérique Mémoire Maîtrise en droit Marin Brenac Université Laval Québec, Canada Maître en droit (LL.M.) et Université de Paris-Sud Orsay, France Master (M.) © Marin Brenac, 2017
Transcript of La souveraineté numérique sur les données personnelles
La souveraineté numérique sur les données personnelles Étude du règlement européen n° 2016/679 sur la protection des
données personnelles à l’aune du concept émergent de souveraineté numérique
Mémoire Maîtrise en droit
Marin Brenac
Université Laval Québec, Canada
Maître en droit (LL.M.)
et
Université de Paris-Sud Orsay, France
Master (M.)
©MarinBrenac,2017
iii
Résumé
Le présent mémoire se propose d’étudier l’implication du concept de souveraineté
numérique dans l’évolution du droit des données personnelles. À ce titre, ce travail s’attache à
mettre à jour une définition juridique du concept émergent de souveraineté numérique, concept
qui porte l’objectif d’une maîtrise européenne sur le numérique. Ce travail se penche sur l’étude
de l’évolution du droit des données personnelles à la lumière du concept de souveraineté
numérique, et plus particulièrement sur la présence de ce concept dans le règlement européen
n° 2016/679 sur la protection des données personnelles du 27 avril 2016. Il ressort finalement
de cette étude que la notion de souveraineté numérique semble témoigner d’un déplacement de
l’objectif premier de la norme, de sa légitimité vers son effectivité.
iv
RESUME III
REMERCIEMENTS VI
INTRODUCTION 1
1. Constats relatif à la souveraineté numérique en regard de la protection des données personnelles 51.1 L’évolution du droit des données personnelles face aux transformations imposées par le numérique 5
L’utilisation des données personnelles, un problème de souveraineté 6La difficile application du droit sur Internet et la tentative de réponse au niveau du droit des données personnelles 8
1.2 L’émergence progressive du concept de souveraineté numérique 10Première phase d’émergence dans les travaux de sciences politiques 11Deuxième phase de systématisation et de recherche du concept 12Troisième phase d’appropriation politique du concept 13
2. Problématisation du travail de recherche 15
3. Questions de recherche 17
4. Définition de la souveraineté numérique et formulation de l’hypothèse de recherche 18
TITRE PRELIMINAIRE : L’ETABLISSEMENT D’UNE DEFINITION JURIDIQUE DE LA SOUVERAINETE NUMERIQUE 21
1. Définitions des termes de souveraineté et de numérique 21
2. Une approche globale de la souveraineté numérique 22
3. L’émergence des indicateurs d’une définition juridique de la souveraineté numérique 23Méthode d’élaboration de la définition 233.1 Une souveraineté en réseau 25
Le principe de l’organisation en réseau 25La décentralisation par délégation de souveraineté 26L’interaction entre les acteurs 28
3.2 Le contrôle souverain du réseau 30Le principe du contrôle 30L’Europe, échelon pertinent pour la souveraineté numérique 32Une réponse aux puissances du numérique 34
TITRE I LE DROIT DES DONNEES PERSONNELLES A LA LUMIERE DU CONCEPT DE SOUVERAINETE NUMERIQUE 37
A) La souveraineté numérique comme volonté d’indépendance numérique régionale pour appliquer les valeurs du droit des données personnelles européen 37
1. Les formes de domination des acteurs américains dans le cyberespace selon la souveraineté numérique 37
Le rôle historique du gouvernement états-uniens dans l’essor d’Internet à l’origine d’une souveraineté sur le numérique 39Le pouvoir normatif des grandes entreprises du numérique à l’origine d’une souveraineté sur le cyberespace 40L’application extraterritoriale du droit des acteurs majeurs d’Internet 45
2. La souveraineté numérique comme promotion d’un droit et de ses valeurs dans le cyberespace 46
v
La consécration du droit des données personnelles en Europe 48Une tentative d’influence des États tiers par la consécration du droit des données personnelles 50Vers une influence de la vision européenne de la protection des données personnelles en ligne ? Le cas du droit à l’oubli au Canada. 52
B) L’organisation réticulaire à l’échelon européen proposée pour appliquer la souveraineté numérique 55
1. La décentralisation du droit des données personnelles pour une meilleure régulation dans l’univers numérique 55
Une régulation du numérique en réseau au service d’un objectif d’efficacité 55La décentralisation de l’État au profit des autorités administratives indépendantes : l’exemple de la CNIL 57L’individu, acteur de l’utilisation de ses données 59
2. Une souveraineté numérique à l’échelon européen 62L’Union européenne, échelon de la souveraineté numérique grâce à sa « puissance normative » 62La volonté d’exercer la souveraineté numérique sur le droit des données personnelles au niveau de l’Union européenne 64
TITRE II L’APPLICATION DE LA SOUVERAINETE NUMERIQUE AU DROIT DES DONNEES PERSONNELLES : L’EXEMPLE DU REGLEMENT EUROPEEN 70
A) Une volonté d’application effective du droit des données personnelles européen 711. La volonté de subjuguer les acteurs du numérique étrangers au droit européen par l’extraterritorialité et le renfort des mécanismes de transfert des données personnelles aux États-tiers 72
Une application extraterritoriale 72Une application plus stricte des mécanismes de transferts des données personnelles aux États- tiers. 76
2. Le renversement de philosophie des règles pour les entreprises : l’obligation de conformité : l’intégration de l’entreprise dans la souveraineté numérique 78
La place de l’obligation de conformité dans la souveraineté numérique : une apparente contradiction 78L’encadrement par le règlement de la mise en conformité des entreprises 81
B) Le renforcement des souverainetés individuelles et collectives par le règlement 861. Le renfort de la souveraineté individuelle au prisme de l’autodétermination informationnelle 86
L’autodétermination informationnelle, clé de lecture du renfort de la souveraineté individuelle dans le règlement 86La consolidation du consentement de l’individu 88L’apport de nouveaux droits pour le contrôle de l’usage des données personnelles par l’individu 90
2. Les autorités de protection des données personnelles, pierre angulaire de la stratégie européenne 92Le renfort des missions et des pouvoirs des autorités nationales 93La mise en place d’une coopération européenne entre les autorités de contrôle nationales sous l’égide du comité européen à la protection des données 95
CONCLUSION 98
BIBLIOGRAPHIE 101
Annexe 1 110
vi
Remerciements
Je tiens tout d’abord à exprimer ma reconnaissance à mes deux directeurs de recherche,
les professeurs Alexandra Bensamoun et Pierre-Luc Déziel, qui ont su par leurs conseils avisés,
leur suivi régulier et leur confiance orienter ce travail et lui donner la rigueur et le recul
nécessaires.
Je tiens ensuite à remercier tous ceux avec lesquels j’ai pu partager des échanges
foisonnants et libres, qui ont nourri la réflexion sur l’objet d’étude, et plus particulièrement
l’ensemble de la première promotion du master PIFTN, sans qui cette année et ces recherches
n’auraient pas eu la même saveur. Je remercie enfin ceux qui, par leur relecture attentive et
méticuleuse, m’ont apporté une aide précieuse.
1
Introduction
« Homme libre, toujours tu chériras Internet ! »1
Ce travail propose une étude du droit des données personnelles à la lumière du concept de
souveraineté numérique2. Pour mener à bien cette étude, le travail entend donner une définition
juridique du concept de souveraineté numérique, puis analyser le règlement n°2016/679 sur la
protection des données personnelles en regard de cette définition.
Aux origines de la souveraineté numérique : une troisième voie de gouvernance d’Internet3
Pour comprendre et appréhender au mieux l’originalité du concept de souveraineté
numérique, une approche contextuelle est la bienvenue. La souveraineté numérique vient
s’inscrire dans les débats traditionnels sur la gouvernance d’Internet. Ces débats portent sur la
maîtrise d’un nouvel espace, le cyberespace, dans lequel la souveraineté s’applique avec
difficulté, puisque les critères classiques de son pouvoir, comme le territoire, lui font défaut.
Une analogie avec le droit de la mer et le cyberespace permettra de mieux comprendre
l’originalité de la souveraineté numérique, qui désire être une nouvelle proposition de
gouvernance d’Internet. Cette troisième voie de gouvernance entend effectuer un compromis
entre les théories d’un Internet ouvert et international du réseau et celles d’un réseau Internet
clos où le pouvoir politique régional et national peut s’appliquer sans concurrence.
Poser la question de souveraineté dans le monde numérique peut paraître incongru. Le
monde numérique, aussi désigné par le terme de cyberespace, échappe aux logiques de territoire
sur lesquelles reposent les souverainetés des États-nations. Internet s’est d’ailleurs en partie
bâtie en opposition avec cette idée, soutenue par la pensée des libertariens, qui excluaient toute
souveraineté sur ce nouveau territoire. L’un d’eux, John Perry Barlow, auteur de « La
déclaration d’indépendance du cyberespace », apostrophait ainsi les États : « Gouvernements
du monde industriel, vous géants fatigués de chair et d’acier, je viens du Cyberespace, le
1 Pierre Bellanger, « De la souveraineté numérique » (2012) 170:3 Le Débat 149‑159, à la p 153. 2 Le mode de citation utilisé lors de ce travail sera celui du Manuel Canadien de la référence juridique (Guide McGill). 3 La graphie et l’utilisation du terme Internet sont sujettes à débat. L’emploi du terme dans ce travail suit les recommandations de l’Office québecois de la langue française, c’est-à-dire avec une majuscule et sans article devant le terme, sauf dans le cas spécifique d’une volonté de différencier avec les autres réseaux qui n’utilisent pas le même protocole. http://gdt.oqlf.gouv.qc.ca/ficheOqlf.aspx?Id_Fiche=8361867, consulté le 28 juin 2017.
2
nouveau domicile de l’esprit. Au nom du futur, je vous demande à vous du passé de nous laisser
tranquilles. Vous n’êtes pas les bienvenus parmi nous. Vous n’avez pas de souveraineté où nous
nous rassemblons »4.
Au lendemain des révélations d’Edward Snowden sur la surveillance pratiquée par la NSA,
force est de constater que cet esprit n’a pas vécu. Le cyberespace est un champ de bataille de
plus pour les rivalités des États. La rupture est cependant à nuancer, puisque le réseau Internet
libre et ouvert défendu par les États-Unis trouve une partie de ses sources dans la pensée
libertarienne. Les entreprises américaines du numérique partagent avec cette pensée une
« défiance vis-à-vis des États »5, tandis que l’État américain lui-même rejoint cette pensée par
l’accent mis dans sa Constitution sur la valeur cardinale de la liberté, en tension depuis 2001
avec la sécurité6. La promotion de la liberté sur Internet lui permet de s’imposer dans la
compétition étatique grâce à son poids dans l’organisation du réseau.
Le cyberespace n’est pas le premier espace universel se jouant des frontières que le droit
doit appréhender. Pour aider à comprendre les rapports de force dans le monde numérique qui
aboutissent à l’idée d’une souveraineté numérique, une analogie avec le droit de la mer est
souhaitable7. Cette analogie est le sens du pastiche du vers fameux8 de Charles Baudelaire qui
introduit ce travail.
Le débat sur la nature du droit de la mer est ancien, mais retrouve son actualité dans les
clivages autour de la gouvernance d’Internet. La controverse a vu s’opposer les théories du
« mare liberum » et du « mare clausum »9. En 1609, Hugo Grotius défend la première
conception dans l’ouvrage De la liberté des mers. La mer est un « territoire international libre
de droit, d’usage et de circulation pour toutes les nations »10. Si Hugo Grotius défend cette
position, c’est qu’une mer ouverte favorise les intérêts de son pays, et lui donne un moyen de
lutte contre le monopole des mers détenu par l’Espagne et le Portugal11. Dans le cyberespace,
4 John Perry Barlow, « Déclaration d’indépendance du cyberespace » dans Libres enfants du savoir numérique, coll Hors collection, Paris, Editions de l’Éclat, 2000, 47‑54, DOI : 10.3917/ecla.blond.2000.01.0047 à la p 50. 5 Olivier Iteanu, Quand le digital défie l’Etat de droit, Paris, Eyrolles, 2016 à la p 27. 6 Ibid à la p 42. 7 Ce rapprochement est fait dans deux travaux différent sur la souveraineté numérique : l’ouvrage de Pierre Bellanger « La souveraineté numérique » (infra note 12) et un article de colloque d’Amaël Cattaruzza sur la balkanisation du cyberespace (infra note 9). 8 « Homme libre, toujours tu chériras la mer ! », tiré du poème L’homme et la mer, Charles Baudelaire, Les fleurs du Mal. 9 Amaël Cattaruzza, La « Balkanisation du cyberespace » Débat et perspectives stratégiques, Droits et souveraineté numérique en Europe, Bruxelles, Bruylant, 2016, à la p 117. 10 Ibid à la p 117. 11 Ibid à la p 117.
3
un Internet libre et ouvert favorise certains acteurs. Cette réalité trahit d’une certaine manière
le rêve des libertariens américains : la liberté favorise de facto certains États, les États-Unis
en tête. Comme l’écrit Pierre Bellanger, qui a popularisé l’expression de souveraineté
numérique : « la thalassocratie de jadis est l’internetocratie d’aujourd’hui, tout aussi à même
de faire passer sa souveraineté réelle pour une liberté théorique, soumise en fait à son seul
contrôle »12. Cette domination d’Internet se situerait dans les mains des États-Unis. Selon les
mots d’un rapport de la Délégation aux affaires stratégiques du Ministère français de la
Défense : « la suprématie américaine sur l’Internet est évidente à tous les niveaux, que ce soit
pour ce qui est des infrastructures physiques, des avancées techniques, de la recherches
technologiques, du poids économique, mais aussi et surtout de l’influence règlementaire »13.
Ce sont ceux qui sont maîtres des trois couches constitutives d’Internet, physique, logique
et sémantique qui imposent leur puissance dans le cyberespace14. Cette domination faciliterait
une application extraterritoriale des lois et des valeurs des États-Unis sur Internet, qui n’y
trouverait pas d’adversaire à sa taille.
Face à Hugo Grotius est opposée la thèse du mare clausum, par le portugais Serafim de
Freitas puis l’anglais John Selden15, qui fait de la mer un espace appropriable et qui a donné
naissance à l’appropriation des zones côtières. De la même manière, cette volonté
d’appropriation peut être rapprochée de la politique des États qui ferment leurs réseaux
nationaux, à l’instar de la Chine ou de la Russie. Ces derniers réappliquent leur souveraineté
sur le monde numérique en clôturant leur réseau. Dans ce contexte, l’objectif est de « protéger
la souveraineté du numérique »16. Ce phénomène constitue pour certains le sens de
l’expression souveraineté numérique. Ce sens n’est cependant pas exclusif, et l’utilisation la
plus fréquente du terme recouvre une autre réalité.
12 Pierre Bellanger, La souveraineté numérique, Paris, Stock, 2014, à la p 17. 13 Amaël Cattaruzza et al, La balkanisation du web : chance ou risque pour l’Europe ?, Paris, Délégation aux affaires stratégiques du Ministère de la défense, 2014, à la p 17. 14 Ibid aux pp 17-19. 15 Cattaruzza, supra note 9, à la p 118. 16 Pierre-Yves Quiviger, L’approche philosophique du concept émergent de Souveraineté numérique, Nice, La souveraineté numérique : le concept, les enjeux, 7 octobre 2016, en ligne : <http://unspod.unice.fr/video/4315-colloque-7-octobre-2016-la-souverainete-numerique-le-concept-les-enjeux/> (consulté le 6 janvier 2017).
4
Entre l’« Internet librum » et « l’Internet clausum »17, la souveraineté numérique traduit le
désir et la possibilité d’une troisième voie européenne18. C’est un choix de gouvernance
d’Internet spécifique, un chemin tiers entre une gouvernance multi-acteurs et une gouvernance
intergouvernementale19. Prises entre les deux théories, l’expression en elle-même relève du
paradoxe : comment garder le principe d’un Internet ouvert tout en appliquant une régulation
régionale et nationale ?
Pour la souveraineté numérique, si Internet est un réseau universel, les usages et les valeurs
des régions et des États diffèrent dans le monde. Ces différences constituent des sous-espaces
culturels sur Internet, par l’action de « dynamique de fragmentation (technique, politique,
linguistique, économique, juridique) »20. La souveraineté numérique catalyse alors les craintes.
La crainte tout d’abord que l’application extraterritoriale d’un droit étranger transforme l’Union
européenne en « colonie du monde numérique »21, selon le titre d’un rapport sénatorial. La
crainte ensuite que les systèmes de droit pâtissent de cet état de fait, et que le système anglo-
saxon prédomine. Internet pousse au rapprochement des systèmes juridiques22, avec le risque
de transformation de la norme. Par exemple, la privacy américaine diffère de la vie privée
européenne23, et une substitution de la dernière pour la première contreviendrait aux droits des
citoyens européens, et par là même à leur capacité à déterminer librement leur loi.
Les problématiques qui ressortent de cet état de fait touchent de nombreux domaines. Nous
croyons cependant avec Pierre Bellanger qu’« un des premiers pas décisifs vient du droit »24,
et particulièrement du droit des données personnelles.
La souveraineté numérique s’inscrit dans un contexte politique international sur la
gouvernance d’Internet marqué par une domination des États-Unis. Par la troisième voie qu’elle
propose, elle a vocation à répondre aux craintes de non-respect du droit et des valeurs des États
sur leurs territoires, ainsi qu’à celle de transformation du droit européen au contact du droit
anglo-saxon.
17 Cattaruzza, supra note 9, à la p 117. 18 Marc Watin Augouard, Les enjeux de sécurité de la « souveraineté numérique », Nice, La souveraineté numérique : le concept, les enjeux, 7 octobre 2016, en ligne : <http://unspod.unice.fr/video/4326-la-souverainete-numerique-le-concept-les-enjeux/> (consulté le 6 janvier 2017). 19 Cattaruzza et al, supra note 13, à la p 10. 20 Ibid à la p 27. 21 Catherine Morin-Dessailly, L’Union européenne, colonie du monde numérique ?, Rapport d’information, 443, Paris, Sénat, 2012. 22 Pauline Türk, « La souveraineté des Etats à l’épreuve d’Internet » [2013] 6 Rev Droit Public 1489, à la p 4. 23 Iteanu, supra note 5, aux pp 68 à 74. 24 Pierre Bellanger, « Les données personnelles : une question de souveraineté » (2015) 183:1 Le Débat, à la p 15.
5
Un regard plus précis sur le sujet permet d’affiner ce contexte global. L’actualité récente
montre un double mouvement dans l’émergence de ce thème. Le premier mouvement concerne
la protection des données personnelles, frappée en plein cœur par le développement exponentiel
et l’omniprésence d’Internet et des objets connectés. Ces dernières années, le droit semble
prendre à bras le corps ce défi par des réponses plus nombreuses et plus fortes. Le deuxième
est celui de l’émergence théorique du concept de souveraineté numérique, de plus en plus
employé. Dans la description de ces deux mouvements apparaît en filigrane la trame de ce
travail. Cette trame constitue la recherche des liens entre ces deux mouvements, théorique et
pratique. Elle pourrait se formuler ainsi : la réponse du droit face au défi des données
personnelles constitue-t-elle une tentative de souveraineté numérique ? Répondre à cette
question nécessitera l’élaboration d’une définition de la souveraineté numérique, puisque si le
terme est de plus en plus employé, ses contours ne sont pas encore bien délimités.
1. Constats relatif à la souveraineté numérique en regard de la protection des données
personnelles
Comme il a été dit précédemment, un double constat est à l’origine de la recherche des liens
entre le concept souveraineté numérique et droit des données personnelles. Le premier constat
est celui de l’évolution du droit des données personnelles face aux transformations imposées
par le numérique. En touchant des secteurs habituellement gérés par l’État comme la sécurité
ou l’économie, le numérique pose un problème de souveraineté, auxquels le droit essaie de
répondre par de nombreuses décisions récentes. Le deuxième constat est celui de l’émergence
parallèle d’un concept ayant vocation à guider l’action politique, la souveraineté numérique.
1.1 L’évolution du droit des données personnelles face aux transformations imposées par le
numérique
L’utilisation actuelle des données personnelles met en péril la souveraineté de l’État ainsi
que la protection des données personnelles des internautes. Le numérique rend difficile
l’application du droit sur Internet. Ces dernières années cependant, de nombreuses décisions
semblent prendre la mesure du défi posé par le numérique.
6
L’utilisation des données personnelles, un problème de souveraineté
« Quand nos données seront dans les mains d’acteurs américains, que restera-t-il de notre
souveraineté ? »25 interrogeait la députée Laure de la Raudière lors des débats à l’Assemblée
Nationale sur la loi renseignement. Le cadre juridique du transfert de données vers des États-
tiers pose en effet un problème de souveraineté, en ce que les données personnelles, intimement
attachées à l’individu, sont au cœur de l’économie et de la sécurité contemporaine.
Malgré le risque tautologique, il faut appuyer le caractère essentiellement personnaliste26
des données personnelles. Par ce caractère, l’usage des données personnelles implique
nécessairement le respect des droits attachés à l’individu, à commencer par le droit au respect
de sa vie privée. Cet aspect personnaliste se retrouve dans les définitions des données
personnelles au niveau français comme européen. La loi française Informatique et Libertés en
1978 les considérait « comme toute information relative à une personne physique identifiée,
directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs
éléments qui lui sont propres »27. La définition donnée par le nouveau règlement européen
n°2016/679 sur la protection des données personnelles28 à son article 4 conserve ce noyau
personnaliste, en s’inspirant de la définition donnée en 1995 par la directive29 : « « données à
caractère personnel » toute information se rapportant à une personne physique identifiée ou
identifiable »30. Ces définitions, qui présentent la donnée personnelle comme la donnée qui
permet d’identifier directement ou indirectement, témoignent d’une conception extensive de la
donnée personnelle, bien au-delà de la simple information nominative. Ce qui ressort est la
volonté d’inclure toutes les données qui peuvent avoir un lien de rattachement avec l’individu.
À ce titre, la neutralité, la confidentialité ou le caractère équivoque des données ne sont pas des
critères pertinents pour exclure la qualification de données personnelles31. La qualification
25 Citée dans Annie Blandin-Obernesser, Les entreprises souveraines de l’Internet : un défi pour le droit en Europe., Droits et souveraineté numérique en Europe, Bruxelles, Bruylant, à la p 105. 26 Frédérique Lesaulnier, « La définition des données à caractère personnel dans le règlement général relatif à la protection des données personnelles » (2016) 12 Dalloz IP/IT, à la p 573. 27 Article 2 de la Loi 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, JO, 16 novembre 2016. 28UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données [2016], JOUE, L 119, à la p 1, 4.5.2016. 29 Lesaulnier, supra note 26. 30 CE, Directive (CE) n°95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, [1995] JO L 281, à la p 31, 23.11.1995. 31 Anne Debet, Jean Massot et Nathalie Métallinos, Informatique et libertés: la protection des données à caractère personnel en droit français et européen, coll Les intégrales, n°10, Issy-les-Moulineaux, Lextenso, 2015, §478 à 498.
7
choisie par les définitions étend le caractère personnaliste le plus loin possible, à tous types de
données, tant qu’existe cette possibilité de rattachement à l’individu. Le caractère personnaliste
de la donnée personnelle ne découle pas logiquement de sa définition ; il est un choix assumé,
qui vient couvrir la notion de donnée personnelle d’une certaine vision des droits et libertés
européens. Les données personnelles portent en elles les droits et libertés des citoyens
européens et leur utilisation est intrinsèquement liée à la notion de souveraineté, qui a
notamment pour mission de protéger ces droits et libertés.
Dans cette optique, les données personnelles constituent un problème de souveraineté dans
leur aspect économique et sécuritaire. Les données personnelles représentent en effet une mine
d’or pour tout acteur du numérique. Si la quantification est difficile, et si les chiffres divergent,
l’importance du marché ne peut être niée : pour Viviane Reding en 2011 le marché européen
serait de 315 milliards d’euros, tandis que pour le journal Le Monde en 2013 il représenterait
102 milliards d’euros32. En tout état de cause la valeur des données transférées aux États tiers
se chiffrerait en centaines de milliards d’euros, ce qui fait des données personnelles européenne
une manne profuse pour les acteurs du numérique. La captation de cette valeur par les acteurs
étrangers constitue un problème de souveraineté pour l’Union Européenne.
L’aspect sécuritaire de ce problème de vie privée n’est pas négligeable. La prise de
conscience générale du recul de la vie privée à l’ère numérique s’est d’ailleurs produite sur ce
terrain, avant le terrain économique, avec l’affaire Edward Snowden33. La surveillance
américaine opérée par la National Security Agency (NSA) est un cas d’école de la double
appropriation des données personnelles par les entreprises et l’État américain, puisque la
découverte de la surveillance a révélé une collaboration entre ces acteurs dans l’application du
programme PRISM34. Cette double appropriation est un risque sécuritaire pour l’État ainsi
qu’un danger pour la protection des droits des citoyens européens.
32 Judith Rochfeld, Les géants de l’Internet et l’appropriation des données personnelles : plaidoyer contre la reconnaissance de leur « propriété »., L’effectivité du droit face à la puissance des géants de l’Internet. actes des journées du 20, 21 et 22 octobre 2015, Paris, IRJS éditions, 2016, à la p 73. 33 Le terrain sécuritaire est probablement le facteur qui a eu le plus de poids dans la mobilisation des États pour repenser le rôle de la souveraineté de l’État dans la gouvernance de l’Internet. Cf. le paragraphe 2.2.1 « Une fragmentation au nom de la sécurité nationale » dans le rapport déjà cité de la délégation aux affaires stratégiques du ministère de la Défense. 34 Le programme PRISM consiste en un programme de la National Secyrity Agency (NSA) mettant en place un accès direct aux données de grandes entreprises du numérique. Anne Debet, « Programme Prism : les citoyens européens sur écoute » (2013) 25 D., à la p 1736.
8
Cette utilisation des données personnelles se fait au mépris des accords qui existent
pourtant entre l’Union Européennes et les États-Unis. C’est la raison même de l’invalidation de
l’accord Safe Harbor dans l’arrêt du 6 octobre 2015 de la Cour de Justice de l’Union
Européenne (CJUE), avec la remise en cause de l’équivalence de protection apportée par les
États-Unis. Cette prise de conscience s’est aussi illustrée lors de la publication du règlement
européen sur la protection des données personnelles du 27 avril 2016, inclus dans un paquet
« Data Protection ». Dans ce paquet se trouvent deux autres directives sur le Passenger Name
Record (PNR) et la prévention et la détection des infractions pénales. Il témoigne ainsi de
l’inquiétude sécuritaire qui anime le Parlement et le Conseil européen35.
L’utilisation des données personnelles est donc un problème sécuritaire et économique
qui touche directement la souveraineté de l’État et de l’Union européenne. Les réponses
traditionnelles se trouvent battues en brèche par l’organisation de l’univers numérique, qui rend
difficile l’application du droit des données personnelles.
La difficile application du droit sur Internet et la tentative de réponse au niveau du droit des
données personnelles
Plusieurs inquiétudes se manifestent sur la protection des données personnelles des
internautes. Parmi ces inquiétudes se trouve l’extraterritorialité des lois américaine : l’internaute
est le plus souvent soumis à une loi étrangère qu’à sa loi nationale ou européenne de protection
des données personnelles. Il existe plusieurs raisons à ce fait. La première est relative à la
domination des entreprises américaines sur le numérique36. Cette domination permet une
application des conditions générales des grands acteurs du numériques qui désignent le plus
souvent leur propre juridiction comme juridiction compétente37. Les décisions des juges
nationaux et des autorités de protection des données personnelles se trouvent inappliquées face
au poids de ces acteurs. Le terrain du droit de la consommation a pu illustrer cette difficulté
d’application : les arrêts déclarant abusives les clauses de compétences juridictionnelles, à
l’instar de l’arrêt dit « Origine du monde » de la cour d’appel de Paris du 12 février 2016,
semblent avoir eu peu d’impact sur les conditions générales d’utilisation des grands groupes38.
35 Laure Marino, « Le règlement européen sur la protection des données personnelles : une révolution » (2016) 22 JCP G, à la p 1079. 36 Cattaruzza et al, supra note 13, à la p. 21. 37 Ibid à la p 21. 38 Facebook Inc c Monsieur X, CA Paris, 2016, n°201658.
9
Facebook a maintenu sa clause en dépit des arrêts qui la déclarent illégale39. Le poids d’un arrêt
européen est plus efficace, à l’instar de l’arrêt Google Spain40 qui institue le droit à l’oubli
numérique, mais pose des problèmes d’application important au niveau national. Le Conseil
d’État a notamment demandé le 24 février 2017 des explications à la CJUE sur les critères du
droit à l’oubli numérique41, ainsi que sur la territorialité de cette notion42.
Une observation de l’évolution de la législation et de la jurisprudence, principalement
européenne, montre l’ébauche d’une réponse aux problèmes d’application du droit sur Internet
à propos de la protection des données personnelles transférées vers les États tiers. Ces dernières
années l’Union européenne paraît vouloir réaffirmer l’importance d’appliquer sa norme de
protection des données personnelles. Selon Isabelle Falque-Pierrotin, « la réponse s’organise
d’une façon plus orchestrée que dans le passé »43. Il y a une tentative de « reconquête par
l’Union européenne et ses États membres du pouvoir de contrôler les activités européennes des
géants de l’Internet »44.
Cette préoccupation pour la protection des données personnelles est visible à l’échelle
européenne par l’action de la CJUE, avec trois arrêts. Tout d’abord, l’affaire Digital Rights
Ireland v Minister for Communications sur la surveillance généralisée du 8 avril 2014, ensuite
la très commentée décision Google Spain45, déjà citée, et enfin la fameuse invalidation du Safe
Harbor46 dans l’affaire Schrems, avec pour conséquence l’établissement d’un nouveau cadre
d’échange des données dans l’accord Privacy Shield adopté le 12 juillet 2016. Le Parlement
européen s’est aussi saisi de cette question avec le règlement européen n° 2016/679 sur la
protection des données personnelles, adopté le 27 avril 2016 et qui entre en vigueur le 25 mai
201847.
39 Iteanu, supra note 5 à la p 17. 40 Google Spain SL, Google Inc c Agencia Española de Protección de Datos (AEPD), Mario Costeja González, 2014, CJUE, C-131/12. 41 Mme C, M. F, M. H, M. D., 2017, CE 9e et 10e ch., n° 391000. 42 Google Inc, CE Ass.,2017, n° 399922. 43 Isabelle Falque-Pierrotin, Souveraineté numérique et données personnelles, Nice, La souveraineté numérique : le concept, les enjeux, 7 octobre 2016, en ligne : <http://unspod.unice.fr/video/4322-la-souverainete-numerique-le-concept-les-enjeux/> (consulté le 6 janvier 2017). 44 Ibid. 45Google Spain SL, Google Inc c Agencia Española de Protección de Datos (AEPD), Mario Costeja González, supra, note 40. 46 Maximilian Schrems c Data Protection Commissioner, 2015, CJUE, C-362/14. 47 UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données [2016], supra note 28.
10
À l’échelle nationale, un ensemble de mesures ont été récemment prises : en France, une
mise en demeure de se conformer à la législation française relative à la protection des données
personnelles a été adressée à Facebook par la Commission nationale de l’Informatique et des
Libertés (CNIL) le 26 janvier 201648,ou encore un renforcement des pouvoirs de sanction de la
CNIL dans la loi République numérique49 à l’égard des responsables de traitement. La mise en
demeure de la CNIL envers Facebook a abouti le 16 mai 2017 à une sanction de 150 000 euros,
montant maximal des amendes données par la CNIL50. Cette réponse est perceptible chez
d’autres États membres. Il est possible de citer la décision du Tribunal de première instance
néerlandophone de Bruxelles du 9 novembre 2015 imposant de cesser l’enregistrement par
Facebook des données des internautes belges ne possédant pas de compte sur le réseau social51.
David Forest, qui a rassemblé les précédentes mises en demeures et décisions relève aussi deux
décisions allemandes à l’encontre de Facebook, de la Cour fédérale et d’un tribunal de
Düsseldorf52. Il faut enfin mentionner la loi dite République Numérique53 qui vient renforcer le
pouvoir de sanction de la CNIL, et crée un droit à l’oubli numérique pour les mineurs.
Ce constat de difficile application et ce mouvement juridique de réponse en droit des
données personnelles s’accompagne en parallèle de l’émergence progressive du concept de
souveraineté numérique.
1.2 L’émergence progressive du concept de souveraineté numérique
Ce développement juridique s’est accompagné en parallèle d’une émergence du terme
de « souveraineté numérique » en France. Si ce travail se concentre sur les sources françaises
traitant de la souveraineté numérique, il est cependant intéressant de noter que l’Allemagne
s’interroge elle aussi sur ces questions54. Trois phases d’émergence peuvent être identifiées.
Ces phases ne sont pas chronologiques puisqu’elles peuvent s’entrecouper dans le temps, mais
48 Commission nationale de l’informatique et des libertés, Délibération du bureau de la Commission nationale de l’informatique et des libertés n° 2016-026 du 4 février 2016 décidant de rendre publique la mise en demeure n°2016-007 du 26 janvier 2016 prise à l’encontre des sociétés FACEBOOK INC. et FACEBOOK IRELAND, n° 2016-026, 4 février 2016. 49 Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, JO, 8 octobre 2016. 50 Commission nationale de l’informatique et des libertés, Délibération CNIL Facebook Délibération de la formation restreinte SAN 2017006 du 27 Avril 2017 prononçant une sanction pécuniaire à l'encontre des sociétés Facebook Inc. et Facebook Ireland, n° SAN, 27 Avril 2017. 51 Fabrice Naftalski, « Facebook rattrapé par la loi belge sur la protection des données » (2016) 2 Dalloz IP/IT à la p 98. 52 Forest, David. « Facebook interroge la souveraineté numérique » (2016) 5 Dalloz IP/IT, à la p 263. 53 Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, supra note 49. 54 Voir notamment « Volonté de l’Allemagne de renforcer sa “souveraineté numérique” » [2014] 107 RLDI. ; Milton L Mueller, « Gibt es Souveränität im Cyberspace ? » (2015) 1 Journal of Self-Regulation and Regulation.
11
montrent bien trois moments distincts de l’appréhension du concept. Ces trois phases montrent
un intérêt pour le concept dans différents domaines, qui est parfois défini, ou parfois simplement
mentionné. Une définition juridique n’a cependant pas été donnée explicitement dans ces trois
phases et devra être formulée.
Ces trois phases d’émergences peuvent être décrites ainsi : une « préhistoire » du
concept avec une utilisation éparse principalement concentrée dans le secteur des sciences
politiques, une deuxième période plus tardive de systématisation et d’enrichissement du
concept par les universitaires et autres auteurs dans divers domaines et une troisième phase,
celle de l’appropriation dans le discours politique et la loi.
Cette émergence d’une volonté de maîtrise sur les données personnelles s’est popularisé
ces dernières années sous la terminologie de « souveraineté numérique ».
Première phase d’émergence dans les travaux de sciences politiques
La première phase est distinguée des autres car elle commence dès 2006, dans la revue
Politique Etrangère. Elle est mentionnée dans un article de Bernard Benhamou et Laurent
Sorbier55 ainsi que dans un article de Pierre de la Coste56, qui apporte une définition à
l’expression. Cette première phase montre que l’emploi du terme a d’abord eu lieu dans la
réflexion en sciences politiques, comme nous avons pu le voir au début de ce travail par l’étude
du contexte politique international dans lequel naît la souveraineté numérique. En 2009,
Frédérick Douzet, Jean-Loup Samaan et Alix Desforges mentionnent et définissent la
souveraineté numérique dans un article sur la cyberpiraterie57. Le rapport déjà cité de 2014 de
la Délégation aux affaires stratégiques du Ministère de la Défense58 traite lui aussi de la
souveraineté numérique et vient confirmer cette filiation entre sciences politiques et
souveraineté numérique.
55 Bernard Benhamou et Laurent Sorbier, « Souveraineté et réseaux numériques » (2006) Automne:3 Polit Étrangère, à la p 530. 56 Pierre de La Coste, « La gouvernance internationale de l’Internet » (2006) Automne:3 Polit Étrangère, à la p 507. 57 Frédérick Douzet, Jean-Loup Samaan et Alix Desforges, « Les pirates du cyberespace » (2009) 134:3 Hérodote, à la p 191. 58 Cattaruzza et al, supra note 13, aux pp 45-46.
12
De manière différente, Harry Halpin a réfléchi en 2008 sur la souveraineté numérique
en tant qu’« aristocratie immatérielle du World Wide Web »59 décrivant les individus les plus
puissants sur Internet en raison de leurs compétences.
Deuxième phase de systématisation et de recherche du concept
La deuxième phase de recherche et de systématisation du concept de souveraineté
numérique commence avec l’article de Pierre Bellanger, qui popularise et définit le concept et
que d’autres acteurs, après lui travailleront à l’approfondir.
Cette tribune intitulée « De la souveraineté numérique »60, a été suivie d’un ouvrage de
référence sur la question (« La souveraineté numérique »61). Un Institut de la souveraineté
numérique a été créé et tient depuis plusieurs années des Assises de la souveraineté
numérique62. Ces Assises réunissent tous les acteurs concernés par la souveraineté numérique
pour réfléchir à son évolution et son intérêt pour la France et son industrie. Deux colloques en
droit se sont intéressés à la question. Le premier, datant du 12 septembre 2014, s’intitule
« Droits et souveraineté à l’âge de l’Internet : quels défis pour l’Europe ? » sous la direction
d’Annie Blandin-Obernesser, et dont les actes ont été publié en 2016 sous le titre « Droits et
souveraineté numérique en Europe »63. Le deuxième a eu lieu le 7 octobre 2016 à la faculté de
droit de Nice et est intitulé « La souveraineté numérique : le concept, les enjeux ». Différents
articles publiés dans des revues juridiques ont aussi employé les termes de souveraineté
numérique64.Toutes ces études, de plus en plus nombreuses, cherchent à enrichir le concept plus
qu’à le définir, à apporter une réflexion sur le lien entre le concept et les différents thèmes qui
y affèrent.
59 Harry Halpin, « La souveraineté numérique. L’aristocratie immatérielle du World Wide Web » (2008) 35:4 Multitudes, à la p 201. 60 Bellanger, supra note 3. 61 Bellanger, supra note 12. 62 Site de l’Institut de la Souveraineté Numérique http://www.souverainetenumerique.fr/ (consulté le 16 mai 2017). 63 Annie Blandin-Obernesser, Droits et souveraineté numérique en Europe, Bruxelles, Bruylant, 2016. 64 Voir notamment Forest, supra note 52. ; Sylvie Rozenfeld, « Données personnelles : affaire Prism, pas de souveraineté numérique sans industrie européenne du cloud computing » (2013) 382 Expertise des Systèmes d'Information à la p 243. ; Gérard Haas, « Union européenne : cinq propositions pour la reconquête de la souveraineté numérique perdue » (2014) 391 Expertises des Systèmes d'Information, à la p 192.
13
Troisième phase d’appropriation politique du concept
Enfin, la troisième phase qui peut être identifiée est celle de l’appropriation politique.
Un rapport du Sénat de Catherine Morin-Desailly en 2012-2013 fait de la souveraineté
numérique « un objectif politique pour l’Europe »65. Le 5 avril 2016, une note ministérielle
française interdit les collectivités publiques de stocker les archives sur des « cloud »non
souverains66. Le cloud a été par ailleurs un des premiers terrains d’émergence de la souveraineté
numérique. Il constituait l’entrée en matière des premières Assises de la Souveraineté
numérique. L’expression de souveraineté numérique est désormais inscrite dans la loi française,
à l’article 29 de la loi République Numérique67. Cet article de loi prévoyait dans sa rédaction
initiale la mise en place d’un « système d’exploitation souverain ». Il a été modifié au Parlement
et prévoit désormais la remise d’un rapport sur la possibilité de créer un commissariat à la
souveraineté numérique. Ce rapport, prévu dans les trois mois après la promulgation de la loi,
n’a pas aujourd’hui été rendu.
En outre, le concept de « souveraineté numérique » a été employé dans les programmes
des candidats à l’élection présidentielle française de 2017 (dans au moins trois programmes,
ceux d’Emmanuel Macron, de François Fillon et de Benoît Hamon) témoignant de la volonté
politique de retrouver cette maîtrise sur les réseaux. Un inventaire des thèmes que visent les
programmes en mentionnant la souveraineté numérique montre bien l’application diverse du
concept : la souveraineté numérique est mentionnée pour la régulation des plateformes
numériques industrielle et sectorielle, l’intelligence artificielle, la Blockchain et la
cybersécurité. Elle est aussi mentionnée à propos d’une renégociation du droit européen des
données personnelles, d’une taxe sur le chiffre d’affaires des grands groupes ou encore des
logiciels libres. Au cours de la campagne présidentielle, mais aussi au-delà de celles-ci, des
65 Morin-Dessailly, supra note 21, à la p 67. 66 Pauline Türk, Rapport introductif : « de la souveraineté à l’épreuve du numérique » à la « souveraineté numérique », Nice, La souveraineté numérique : le concept, les enjeux, 7 octobre 2016, en ligne : <http://unspod.unice.fr/video/4314-colloque-7-octobre-2016-la-souverainete-numerique-le-concept-les-enjeux/> (consulté le 6 janvier 2017). 67 Article 29 de la loi n°2016-321 République Numérique du 7 octobre 2016, supra note 49 : « Le Gouvernement remet au Parlement, dans un délai de trois mois à compter de la promulgation de la présente loi, un rapport sur la possibilité de créer un Commissariat à la souveraineté numérique rattaché aux services du Premier ministre, dont les missions concourent à l'exercice, dans le cyberespace, de la souveraineté nationale et des droits et libertés individuels et collectifs que la République protège. Ce rapport précise les moyens et l'organisation nécessaires au fonctionnement du Commissariat à la souveraineté numérique. »
14
tribunes de représentants politiques nationaux et européens ont exhorté à mettre en place une
souveraineté numérique68.
Si les termes de souveraineté numérique sont d’emploi récent, l’idée de maîtrise de
l’informatique et du numérique n’est pas nouvelle. Dès 1966 le Plan Calcul tente de mettre en
place une maîtrise de l’informatique face au poids américain dans ce domaine69. À cette fin le
plan comporte deux volets, la mise en place d’une délégation à l’informatique, et la création
d’une compagnie internationale de l’informatique pour l’aspect industriel70. Ce Plan Calcul ne
trouve pas de suite et échoue. Plus près de nous, en 2009, le programme Andromède prévoyait
aussi un rapatriement des infrastructures, par la création d’un centre d’hébergement de données
français71. Si l’idée n’est pas nouvelle, elle trouve une deuxième jeunesse dans l’expression de
souveraineté numérique. Surtout cette volonté n’existe pas seulement au niveau national et
européen, mais fait l’objet d’une « montée en puissance »72 dans le monde, réclamée par
plusieurs États, à l’instar du Brésil. Pourtant, comme bon nombre de concept à la mode, c’est
un concept aux frontières et au contenu flou.
Cette exploration du contexte a permis de relever deux mouvements perceptibles en droit
des données personnelles. Un mouvement juridictionnel d’application du droit aux acteurs
d’Internet, qui se caractérise par sa profusion et trouve sa marque la plus apparente dans le
règlement général sur la protection des données personnelles. De l’autre côté, l’émergence des
réflexions sur le concept de souveraineté numérique traduit les inquiétudes sur la gouvernance
actuelle de l’Internet.
Ces constats ne sont pas exempts de problèmes, qu’il faut pouvoir identifier. La résolution
de ces problèmes guidera le travail.
68 Cf. Catherine Morin-Dessailly, « Souveraineté numérique : passer du discours aux actes », Le Monde.fr, en ligne : Le Monde.fr <http://www.lemonde.fr/idees/article/2017/02/08/souverainete-numerique-passer-du-discours-aux-actes_5076224_3232.html> (consulté le 22 mars 2017). Viviane Reding, « Souveraineté numérique : «écrivons des règles du jeu internationales solides» », Libération (5 octobre 2016), en ligne : Libération <http://www.liberation.fr/evenements-libe/2016/05/10/souverainete-numerique-ecrivons-des-regles-du-jeu-internationales-solides_1449040>. (consulté le 23 juin 2017). 69 Valentine Martin, La république numérique en débat au Parlement : le projet de commissariat pour la souveraineté numérique, Nice, La souveraineté numérique : le concept, les enjeux, 7 octobre 2016, en ligne : <http://unspod.unice.fr/video/4327-la-souverainete-numerique-le-concept-les-enjeux/> (consulté le 6 janvier 2017). 70 Ibid. 71 Ibid. 72 Cattaruzza et al, supra note 13, à la p 45.
15
2. Problématisation du travail de recherche
Le travail de recherche s’oriente autour de deux constats : un constat théorique sur
l’émergence d’un sujet encore peu traité, et un constat pratique sur la multiplication des
décisions juridiques semblant aller dans le sens de cette souveraineté numérique. Le travail doit
permettre d’approfondir le premier constat, puis de vérifier la parenté avec le mouvement
juridique actuel.
Dans le sujet qui nous concerne le constat le plus évident est un constat théorique, celui
d’absence de définition pour une expression pourtant très utilisée. Même dans les milieux
scientifiques une définition peine à ressortir. Ce travail devra comporter une identification du
concept, pour fixer un cadre de recherche clair, ainsi qu’une analyse du concept de souveraineté
numérique pour vérifier sa pertinence dans le droit des données personnelles.
L’état des travaux antérieurs sur le sujet montre que la souveraineté numérique en elle-
même a peu été étudiée, encore moins dans le domaine juridique. Deux colloques juridiques se
sont réellement penchés sur la question, sans chercher, volontairement, à la définir a priori.
Cependant, l’impact d’Internet sur la souveraineté est une question qui a déjà été traitée. La
souveraineté numérique ne naît pas dans un désert théorique. Le sujet qui concerne plus
particulièrement la souveraineté numérique est celui de la possibilité d’influer politiquement
sur la direction de la norme dans une société en réseau.
Le deuxième problème est celui de l’application pratique de la souveraineté numérique.
Si un tel concept a vocation à guider l’action politique, il doit pouvoir s’appliquer aux normes
de protection des données personnelles. Or, l’émergence du concept de souveraineté numérique
s’accompagne en parallèle d’une action normative européenne et nationale dans le domaine des
données personnelles. La question qui se pose ici est de savoir si ce mouvement peut se
rapporter à une volonté de souveraineté numérique. Cette réponse européenne et nationale
rentre-t-elle dans le cadre de la définition de la souveraineté numérique ? Si la souveraineté
numérique a pour vocation d’orienter l’action du législateur, les mouvements déjà entrepris
peuvent-ils s’y apparenter ? Loin de se satisfaire d’un lit de Procuste où l’action normative
constatée serait présentée de manière à la faire rentrer de force dans la définition du concept,
où inversement, un concept défini pour s’adapter à une situation préexistante, il faut pouvoir
étudier avec rigueur les liens entre la définition et la réalité pratique.
16
À cette fin ce travail choisit de s’attarder sur l’objet d’étude que constitue le nouveau
règlement européen sur la protection des données personnelles. Le règlement est un objet
d’étude pertinent, car il a vocation à harmoniser la protection des données personnelles dans
l’ensemble de l’Union européenne, et par là de donner l’orientation du droit dans l’Union.
L’étude du règlement doit pouvoir montrer si la définition de la souveraineté numérique se
retrouve dans la volonté européenne à l’origine du texte. Suite à ce choix, le travail se concentre
sur l’utilisation du droit des données personnelles dans une perspective économique, et
s’intéressera moins aux questions de sécurité, notamment à la problématique de la surveillance.
Il faut cependant conserver en tête que la souveraineté numérique se comprend dans une tension
permanente entre la protection d’un droit fondamental, les intérêts économiques et les intérêts
sécuritaires.
La recherche est donc non seulement un approfondissement théorique mais aussi une
analyse pratique du concept.
L’autre question annexe pour choisir le thème spécifique à traiter est celui de la faisabilité.
Existe-t-il suffisamment de matériel, de sources pour le sujet traité ? Qu’est-il possible de
démontrer ? Ce travail ne cherchera pas à démontrer l’efficacité de la souveraineté numérique
dans la protection des données personnelles. Il est théoriquement possible de la mesurer, en
étudiant les décisions de justice, l’efficacité des sanctions prononcées par les autorités de
protection des données personnelles, l’évolution des condition générales d’utilisation ou encore
de la surveillance sur les réseaux.
Cependant, le postulat initial est qu’une souveraineté numérique n’existe pas aujourd’hui,
mais qu’on peut observer l’émergence d’un mouvement désirant la mettre en place. Il serait
probablement vain d’essayer de prouver que les législations européennes et nationales offrent
aujourd’hui la protection des données personnelles désirée. La souveraineté numérique entend
apporter une nouvelle vision de l’organisation du droit des données personnelles, pour renforcer
son efficacité. Les règles du droit des données personnelles en vigueur doivent être
contextualisées dans le cadre de la souveraineté numérique, pour ensuite voir si la modification
de ces règles va ou non dans le sens de la souveraineté numérique. Suite à cette
contextualisation, ce qui peut être démontré est que le règlement général sur les données
personnelles s’inspire du concept de souveraineté numérique, et montre la volonté d’en mettre
une en place. Cette volonté de souveraineté numérique dans le règlement européen peut tout à
fait être prouvée, en comparant le contenu (une fois identifié, puis appliqué au droit des données
personnelles) du concept de souveraineté numérique et le contenu effectif du règlement général
17
sur les données personnelles. Cette nouvelle direction n’exclut pas de s’interroger sur
l’efficacité des mesures mises en place.
Pour formuler la problématique il faut identifier les lacunes du champ d’étude choisi. Ces
dernières sont en premier lieu conceptuelles, puisque la souveraineté numérique est elle-même
est peu, voire pas définie. Elle ne fait en tout cas pas l’objet de définition juridique établie.
Il existe aussi une lacune analytique, du fait du manque d’études sur le sujet. Étudier le
concept de souveraineté numérique à l’aune du règlement sur les données personnelles pourrait
fournir un bon exemple d’analyse. Cette étude nécessite préalablement une interprétation du
droit des données personnelles en vigueur par le concept de souveraineté numérique. Cela
permettra d’identifier l’organisation du droit des données personnelles selon la souveraineté
numérique, et de mieux identifier comment les apports du règlement sont une pierre à la
construction d’un droit des données personnelles guidé par la souveraineté numérique.
Un double problème a été identifié, celui d’une absence de définition d’un concept qui
a vocation à guider l’action politique, ainsi que l’appariement éventuel du concept au règlement
européen. De ce double problème doit naître les questions qui orienteront la recherche.
3. Questions de recherche
À partir de l’identification des problèmes, les questions de recherches peuvent être
formulées. La première question de recherche peut se formuler ainsi : quelle définition juridique
donner à la souveraineté numérique ? La deuxième question de recherche demande comment
le concept de souveraineté numérique peut être éclairé par le droit des données personnelles en
vigueur ? Il s’agit d’étudier ce que signifierait une souveraineté numérique pour le droit des
données personnelles. La troisième question de recherche se pose de la manière suivante : le
règlement européen sur la protection des données personnelles traduit-il une tentative de
souveraineté numérique ?
La première question de recherche conduit à élaborer une définition, ce qui sera fait dans
un titre préliminaire. Cette élaboration s’appuie sur les définitions et éléments de définitions de
la souveraineté numérique donnée, pour essayer d’en tirer une définition juridique, ainsi que
18
des indicateurs. À cette fin, les théories du droit en réseau sont explorées en raison d’un
rapprochement possible avec l’organisation réticulaire du numérique.
Le deuxième axe de recherche porte sur la traduction de la souveraineté numérique pour le
droit des données personnelles en vigueur. Il sera étudié d’une part comment la souveraineté
numérique sous-entend en droit des données personnelles une volonté d’indépendance
régionale face aux acteurs dominants, pour mieux défendre les valeurs européennes du droit
des données personnelles. Il sera étudié d’autre part le sens d’une mise en réseau du droit des
données personnelles pour une application plus efficace à l’échelle européenne.
Enfin, le troisième axe de recherche conduit à vérifier si une volonté de souveraineté
numérique peut se retrouver dans le règlement européen. Dans ce cadre, l’analyse du règlement
doit montrer si les indicateurs de la souveraineté numérique se retrouvent. Cette analyse vient
compléter le deuxième axe de recherche, dans laquelle la traduction concrète de la souveraineté
numérique dans le droit des données personnelles en vigueur a été étudié. L’analyse du
règlement montrera si les dispositions du texte vont dans le même sens que les éléments
détaillés dans le deuxième axe. Ainsi, il pourra être recherché l’affirmation d’une volonté
d’indépendance numérique régionale claire, ainsi qu’un renforcement de la mise en réseau du
droit des données personnelles.
Trois questions de recherches sont donc posées, sur la définition et l’approfondissement de
la souveraineté numérique, sa traduction dans le droit des données personnelles, ainsi que le
lien entre le règlement européen et la souveraineté numérique. Pour apporter une réponse à ces
questions de recherche ce travail se place dans un cadre théorique. L’originalité du cadre
théorique de ce sujet est qu’il est en partie à bâtir puisqu’il faut apporter une définition de la
souveraineté numérique.
4. Définition de la souveraineté numérique et formulation de l’hypothèse de recherche
Face à la complexité d’appréhension de la définition de souveraineté numérique,
l’élaboration de la définition est précisée plus tard dans ce travail, dans le titre préliminaire. La
définition trouvée, qui constitue le cadre théorique de la recherche peut cependant être apportée
dès maintenant, afin de pouvoir établir l’hypothèse de recherche de ce travail. La souveraineté
numérique peut être comprise comme une volonté de maîtrise européenne de la régulation
d’Internet, face à la régulation hégémonique des acteurs américains, par l’établissement d’un
réseau normatif décentralisé et interactif.
19
À partir de cette définition, l’hypothèse de recherche peut être posée. Les questions de
recherche nous guident vers un approfondissement du concept de souveraineté numérique, son
application au droit des données personnelles en vigueur, et une étude empirique du règlement
à l’aune de ce concept. Le cadre théorique aide à établir la parenté entre ces questions. En effet,
ce cadre montre que la souveraineté numérique traduit une volonté de contrôle étatique ou
supra-étatique sur des flux en réseaux.
De plus, il est possible de postuler que le règlement européen n° 2016/679 pour la
protection des données personnelles du 27 avril 201673 est empreint d’une volonté de
souveraineté numérique. Ce texte est un texte majeur pour la protection des données
personnelles puisqu’il abroge la directive de 199574 et vise à harmoniser et renforcer le droit
des données personnelles au niveau européen. Des interrogations sur cette souveraineté
numérique du règlement se retrouvent dans les réflexions sur le concept. La présidente de la
CNIL indique que « le législateur européen a souhaité renforcer la capacité de souveraineté
de l’Europe sur ses données »75 par le règlement. D’autres s’interrogent sur la nature du
règlement européen comme « outil de la souveraineté numérique »76.
Le contenu du règlement peut en effet laisser penser à cette volonté de souveraineté
européenne sur le numérique. Le règlement conduit en effet à une forme de délégation de
souveraineté. D’un côté, il donne de nouveaux droits aux individus, : le droit à l’oubli
numérique ainsi que le droit à la portabilité des données. De l’autre côté, il renforce les autorités
de protection des données personnelles en augmentant leur pouvoir de sanction. Surtout le
règlement semble s’opposer à l’extraterritorialité des lois américaines en affirmant
l’extraterritorialité des lois européennes, par le changement du critère territorial d’établissement
en un critère d’activité dirigée. Le règlement renforce aussi les obligations contractuelles par
les « Binding Corporate Rules » ou les clauses types. Enfin, un des changements majeurs amené
par le règlement est celui de la responsabilisation des entreprises, désormais soumises à une
obligation de conformité.
Une vue d’ensemble montre donc que plusieurs indicateurs de la souveraineté
numérique semblent être présent, le niveau européen, la délégation de souveraineté, la réponse
73 UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données [2016], JOUE, L 119, 4.5.2016, supra note 28. 74CE, Directive (CE) n°95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, supra à la note 30.75 Falque-Pierrotin, supra note 43. 76 http://cloudindependenceday.eu/le-programme/, consulté le 24 mai 2017.
20
à l’extraterritorialité des lois américaines. D’autres éléments, comme la mise en place d’une
obligation de conformité pour les entreprises, interrogent cependant sur la pertinence de
l’application de la souveraineté numérique au règlement. Au vu des éléments présentés, la
question mérite cependant d’être posée.
Si on postule que le règlement est motivé par une volonté de souveraineté numérique,
alors cette volonté de contrôle sur les réseaux doit se retrouver dans le texte européen. Les
indicateurs qui ont émergés lors de l’élaboration de la définition aideront à expérimenter plus
aisément cette parenté supposée.
L’hypothèse suivante est donc proposée :
Le règlement général sur la protection des données (RGPD) cherche à mettre en place
une souveraineté numérique pour assurer l’application du droit européen des données
personnelles sur les données personnelles transférées à des États tiers.
Cette hypothèse est falsifiable. Il est possible de conclure, après l’étude de ce que
recouvre la souveraineté numérique et l’étude du règlement, que le règlement ne cherche pas à
mettre en place une souveraineté numérique. Pour montrer qu’il veut mettre en place une
souveraineté numérique il faudrait montrer qu’il met en place un réseau normatif en donnant
des pouvoirs à d’autres acteurs, et qu’il y a interaction entre les acteurs. Le pluralisme juridique
mis en place aurait alors pour origine une norme positiviste.
Ce travail sera l’occasion de construire autour de la validation ou de la réfutation de
cette hypothèse, une réflexion approfondie sur l’originalité de la souveraineté numérique dans
sa proposition de régulation d’Internet.
L’étude de la souveraineté numérique sur les données personnelles à laquelle se
mémoire propose de se consacrer se déroule en trois temps. Le premier temps, préliminaire à la
recherche, porte sur l’établissement de la définition de souveraineté numérique (I), suivi de
l’interprétation du droit des données personnelles en vigueur au regard du concept (II), et
complété par la recherche d’une volonté de souveraineté numérique sur les données
personnelles dans le règlement européen (III).
21
Titre préliminaire : L’établissement d’une définition juridique de la souveraineté
numérique
Ce travail de définition se déroule en plusieurs temps. Le premier travail, introductif et
nécessaire consiste à isoler les deux termes de l’expression pour en rappeler leurs sens
respectifs (1). Sans le rappel de ce sens, l’originalité du concept ne peut être entièrement
comprise. Le deuxième travail est une approche du sens de la souveraineté numérique à partir
de sa globalité (2). La souveraineté numérique est un concept qui touche de nombreux secteurs,
et une approche les prenant en compte à partir de la définition préexistante la plus globale aide
à orienter le travail. Enfin, la troisième partie a pour vocation de faire émerger les indicateurs
de la définition, à partir d’une méthode de travail (3). L’émergence de ces indicateurs conduira
à l’élaboration de la définition.
1. Définitions des termes de souveraineté et de numérique
Avant de s’intéresser au sens de l’expression souveraineté numérique, il faut pouvoir isoler
les deux termes. Ces derniers sont bien connus et nécessitent une précision sur la manière dont
ils vont être compris.
L’expression de souveraineté numérique tire son originalité de l’association de deux termes
connus. La souveraineté est un concept ancien, à lier avec Jean Bodin et la naissance de l’État-
nation. C’est « le caractère suprême d’une puissance qui n’est soumise à aucune autre », « un
attribut essentiel de l’État »77. Elle est en lien directe avec le droit : « classiquement la
souveraineté s’entend d’un monopole étatique sur l’énonciation et l’application du droit »78.
Autrement dit, la souveraineté est une capacité à se déterminer librement, « la qualité de l’État
de n’être obligé ou déterminé que par sa propre volonté, dans les limites du principe supérieur
du droit, et conformément au but collectif qu’il est appelé à réaliser »79. La souveraineté de
l’État est une indépendance par rapport aux autres États, ainsi qu’une capacité à appliquer son
77 Cornu, Gérard, Philippe Malinvaud, Marie Cornu, Marie Goré, Yves Lequette, Anne-Marie Leroyer, Alain Ghozi et Association Henri Capitant. Vocabulaire juridique, Paris, Presses universitaires de France, 2016. à la p 882. 78 Pierre Trudel, La souveraineté en réseau, Droits et souveraineté numérique en Europe, Bruxelles, Bruylant, 2016, à la p 10. 79 Louis Le Fur, État fédéral et confédération d'états, Paris, Marchal et Billard, 1896, p. 443, cité dans Pauline Türk, « La souveraineté des Etats à l’épreuve d’Internet » supra note 22, à la p 1489.
22
pouvoir sur son territoire. Autrement dit, « la souveraineté assure à l’État l’indépendance dans
l’ordre externe, la suprématie dans l’ordre interne »80.
Le Journal Officiel de la République Française donne cette définition de l’adjectif
numérique : « se dit par opposition à analogique, de la représentation discrète de données ou
de grandeurs physiques au moyen de caractères (des chiffres généralement) ; se dit aussi des
systèmes, dispositifs ou procédés employant ce mode de représentation »81. Le numérique se
comprend donc de manière essentiellement technique par opposition à l’analogique. Cette
définition ne recouvre pas de manière satisfaisante le sens que pourrait prendre l’adjectif
numérique dans l’expression souveraineté numérique. Il faut le rapprocher des autres termes
dont il est voisin, tels que l’informatique, l’électronique et Internet pour trouver une définition
plus pertinente. La définition d’Internet est éclairante :
un espace virtuel résultant de l’interconnexion de réseaux électroniques différents. Cet espace est caractérisé par l’échange de données dématérialisées transmises selon le protocole TCP/IP. Le partage d’information est consenti par la mise en réseau de machines, de connexions et d’hyperliens. Cette mise en réseau d’infrastructure et de logiciels est à l’origine d’une représentation idéologique de l’Internet en « réseau électronique ». Il s’agit en réalité d’un système évolutif et interactif de bases et de transferts de données82.
Si Internet n’est pas le seul réseau électronique qui peut concerner la souveraineté
numérique, le sens de numérique dans cette expression semble aussi s’inscrire dans la référence
idéologique de « réseaux numériques ».
La définition des termes isolés précisée, il est possible d’approcher l’expression de la
souveraineté numérique dans son aspect globalisant, grâce à la définition de Pierre Bellanger.
2. Une approche globale de la souveraineté numérique
Pour Pierre Bellanger la souveraineté numérique est « la maîtrise de notre présent et de
notre destin tels qu’ils se manifestent et s’orientent par l’usage des technologies et des réseaux
informatiques »83.
80 François Ost et Michel van de Kerchove, De la pyramide au réseau?: pour une théorie dialectique du droit, coll Publications des Facultés universitaires Saint-Louis, n°94, Bruxelles, Facultés universitaires Saint-Louis, 2002, à la p 126. 81 Arrêté du 22 décembre 1981, Enrichissement du vocabulaire de l'informatique, JORF 17 janvier 1982, à la p 684. 82 Marie-Charlotte Roques-Bonnet, Le droit peut-il ignorer la révolution numérique ?, Paris, Michalon Editions, 2010, à la p 597. 83 Bellanger, supra note 3.
23
Il paraît pertinent d’isoler cette définition parce qu’elle offre une approche globale du sujet.
Par « global » est entendue l’utilisation de l’expression dans une grande variété de secteurs.
D’autres définitions font cet effort de généralisation mais la définition de Pierre Bellanger paraît
devoir être isolée en raison de son caractère de référence. En effet, cette définition est à l’origine
de la deuxième phase de réflexion sur la souveraineté numérique identifiée plus tôt. De ce fait,
la plupart des réflexions sur la souveraineté numérique ont pour point de départ la définition de
Pierre Bellanger, ou sont du moins motivé par l’élan donné par ses travaux.
Cette définition minimale permet d’englober tous les secteurs concernés par la
souveraineté numérique, qu’ils soient économiques, sécuritaires ou bien juridiques. Si cette
définition minimale présente l’avantage de prendre en compte toutes les thématiques
concernées, elle ne paraît pas pouvoir couvrir la spécificité de l’application du concept à chaque
domaine. L’étude de deux exemples illustre bien cela : il est difficile d’effectuer un parallèle
complet entre une disposition de souveraineté numérique portant sur la création d’un système
d’exploitation souverain et une souveraineté numérique des données personnelles, qui porte ici
sur la capacité à appliquer et à faire respecter une norme. Pour le premier la souveraineté
numérique est une question essentiellement logicielle et étatique, tandis que pour le deuxième
la souveraineté numérique s’intéresse à une régulation juridique par différents acteurs, qui ne
sont pas forcément étatiques. Il existe bien un dénominateur commun, la volonté de maîtrise
dans l’univers numérique, mais qui ne peut recouvrir toutes les réalités de chacun.
Une fois la globalité du concept rappelée, une approche plus détaillée doit être adoptée
pour faire émerger les indicateurs de la définition.
3. L’émergence des indicateurs d’une définition juridique de la souveraineté numérique
Méthode d’élaboration de la définition
Pour répondre à la problématique posée par le sujet il faut pouvoir faire émerger une
définition juridique de la souveraineté numérique. Quelques définitions ont été données dans
des domaines très différents, qui se complètent par des éléments de définition qu’on retrouve
dans de nombreux travaux.
24
À cette fin d’émergence de la définition, les principales définitions et éléments de
définitions utilisés lors d’interventions sur la souveraineté numérique ont été reprises et
compilées84. Cette compilation permet de comparer les principales définitions et de regrouper
des interventions qui se trouvent parfois éparpillées entre différents domaines. Les domaines
d’intervention ne se limitent pas au champ juridique, mais aussi au champ des sciences
politiques ainsi que dans le discours politique et industriel. Si cette définition s’inscrit bien dans
le contexte juridique l’établissement de la définition n’interdit pas d’aller chercher d’autres
éléments hors de ce contexte. La découverte de ce que recouvre le concept dans le champ
juridique peut en effet être éclairée par des éléments extérieurs. De même, la recherche d’une
définition dans le champ juridique pourrait à son tour éclairer l’usage du concept dans d’autres
secteurs. Isabelle Falque-Pierrotin soutient cette perméabilité à propos de la protection des
données personnelles qui constitue un « excellent laboratoire »85 de la souveraineté numérique :
« les réponses observées dans le champ des données personnelles peuvent s’appliquer plus
généralement »86.
Le travail sur ce fonds de réflexions sur la souveraineté numérique conduit à mettre en
avant certains points qui reviennent le plus fréquemment dans les interventions. L’étude de ces
points communs et de leur pertinence permet ensuite d’en faire de véritables indicateurs pour
construire la définition. Ces indicateurs communs seront les critères opératoires de la
souveraineté numérique. Ils permettront d’appliquer les critères sur la réalité du droit des
données personnelles, de voir ce que serait une souveraineté numérique à travers l’étude du
droit des données personnelles en vigueur, ainsi que de vérifier si le règlement européen porte
en lui cette volonté de souveraineté numérique.
Le travail de définition du concept étudié dévoile un double mouvement. Le premier est que
la souveraineté numérique, s’inscrit dans le cadre des théories du réseau et favorise la mutation
de la souveraineté à l’aune des évolutions numériques. Le deuxième mouvement est que cette
souveraineté en réseau désire être contrôlée par un acteur souverain. La volonté de souveraineté
numérique traduit en effet une volonté de garder le contrôle sur le contenu appliqué de la norme.
84 Voir Tableau en Annexe 1, p. 110. 85 Falque-Pierrotin, supra note 43. 86 Ibid.
25
3.1 Une souveraineté en réseau
L’organisation d’une souveraineté en réseau dans le cadre de la souveraineté numérique
a deux conséquences, celle de la décentralisation et celle de l’interaction.
Le principe de l’organisation en réseau
Le premier indicateur est celui de la mise en place d’un réseau normatif. Cette mise en place
se confirme par deux autres sous-indicateurs, celles de la décentralisation des pouvoirs et de
l’interaction entre les acteurs du réseau.
Le réseau est le critère central qui se retrouve dans les trois définitions de la souveraineté
numérique données. Les définitions ne traduisent pas forcément une mutation de l’organisation
traditionnelle de la société et du droit vers le réseau. Elles désignent le plus souvent un contrôle
qu’il faut mettre en place sur les réseaux numériques. Il s’agit d’imposer un contrôle de l’État
sur « ses réseaux et sous-réseaux »87. Cependant l’organisation réticulaire est sous entendue,
puisque la « théorie de la souveraineté numérique » permet de mieux comprendre « notre société
en réseaux »88. La nouvelle forme de relations entre l’État et le citoyen doit passer de la « culture
du silo (approche verticale) à la culture du réseau (approche horizontale) »89.
L’organisation en réseau est confirmée par Pierre-Yves Quiviger, pour qui la souveraineté
numérique a pour essence le réseau, ou autrement dit, est d’ « ontologie réticulaire »90. De
même, Pierre Bellanger tire dans son ouvrage cinq lois des réseaux, dont une qui postule que
« tout corps plongé dans un réseau devient un réseau »91 : « La seule forme d’organisation
susceptible de résister à la dynamique d’un réseau est un autre réseau. Toute autre forme est
marginalisée. Seuls les réseaux demeurent. C’est valable pour les machines, les documents, les
entreprises et les États »92.
Ce raisonnement est-il valable pour le droit ? Pour répondre aux logiques d’Internet le droit
doit-il laisser de côté sa construction hiérarchique traditionnelle pour privilégier une approche
en réseau ? La souveraineté numérique postulerait que oui. Dans une intervention à un colloque
87 Douzet, Samaan et Desforges, supra note 57. 88 La Coste, supra note 56, à la p 510. 89 Ibid. 90 Quiviger, supra note 16. 91 Bellanger, supra note 12, à la p 30. 92 Ibid à la p 30.
26
intitulée justement « La souveraineté en réseau », Pierre Trudel rendait compte des mutations
du droit à l’ère numérique : « rendre compte du droit et des souverainetés à l’ère d’Internet
requiert de prendre la mesure des conditions engendrées par la prééminence de
l’environnement en réseau sur le droit et sur les reconfigurations de la souveraineté qui en
résultent »93.
Le réseau juridique prend souvent différentes formes. Un noyau commun peut être
cependant identifié. François Ost et Michel van de Kerchove le mettent à jour :
on retiendra le fait que le réseau constitue une trame ou une structure composée
d’éléments ou de points, souvent qualifiés de « nœuds » ou de « sommets », reliés entre eux par des « liens » ou « liaison » assurant leur « interconnexion » ou leur « interaction » et dont les variations obéissent à certaines règles de fonctionnement 94.
Cette affirmation du droit en réseau a deux conséquences : celle d’une décentralisation de
la souveraineté ainsi que celle d’une interaction entre les acteurs du réseau.
La décentralisation par délégation de souveraineté
La conséquence du réseau est celle d’une volonté de décentralisation. L’affirmation d’une
vision de la souveraineté en réseau conduit à postuler la pluralité de la souveraineté, et à étudier
la régulation d’Internet à travers le prisme d’un réseau de normes employées par une pléiade
d’acteurs.
La souveraineté numérique résulte d’une mutation de la souveraineté. La souveraineté
numérique ne se compare pas à la souveraineté traditionnelle et ses attributs (pouvoir sur le
pouvoir, capacité de dire le droit sur un territoire). Elle a pour objectif de conserver le caractère
ouvert du réseau tout en essayant d’appliquer les lois nationales et européennes.
La pluralité de la souveraineté apparaît opportunément dans deux avant-propos de deux
colloques sur la souveraineté numérique. Pour Annie Blandin-Obernesser quand on parle de
souveraineté numérique « de toute évidence, c’est de souverainetés au pluriel qu’il convient de
parler »95. De la même manière pour Pauline Türk il n’y a pas une souveraineté numérique
93 Trudel, supra note 78 à la p 5. 94 Ost et Kerchove, supra note 80, à la p 24. 95 Blandin-Obernesser, supra note 63 à la p 1.
27
« mais des souverainetés numériques »96: celle de l’individu, des groupes d’utilisateurs, des
acteurs privés (à l’instar des entreprises du numérique et des télécommunications).
Cette remarque sur la pluralité de la souveraineté peut apparaître tout à fait anodine. Elle
est en réalité centrale. Parler de souveraineté au pluriel au sein d’une société, c’est s’inscrire en
faux par rapport à la conception traditionnelle d’une souveraineté exercée uniquement par
l’État. Étudier la souveraineté numérique revient à étudier les mutations de la souveraineté face
au système transnational d’Internet : « Parler de la souveraineté numérique, c’est repenser
notre conception classique de la souveraineté »97. Plus largement cette contestation peut
s’inscrire dans les théories de mutations de la norme et de contestation de l’organisation
pyramidale du droit, puisque la souveraineté numérique invite à « dépasser la conception
pyramidale »98.
Étudier l’impact du système international qu’est le numérique sur la souveraineté est une
variation de la question de Karim Benyekhlef sur « l’effet de la mondialisation sur la capacité
du souverain à dire le droit »99. Avec le numérique, le rôle de État se trouve relativisé et sa
capacité à imposer sa norme se trouve amoindrie. Cette mutation de la souveraineté n’est pas
une révolution, puisqu’elle a toujours été soumise à des évolutions. La souveraineté numérique,
en attestant que d’autres acteurs peuvent être souverains, comme les entreprises ou les
individus, s’inscrit dans un autre courant de pensée juridique que le courant positiviste, celui
du pluralisme juridique et des théories du réseau100.
La question de l’acteur à qui est déléguée la souveraineté doit être posée. La souveraineté
numérique semble postuler que l’acteur doit être membre du réseau que l’État ou l’organisation
supra-étatique désire mettre en place. Autrement dit, il doit partager ses intérêts pour appliquer
la souveraineté numérique. Cela se retrouve dans la définition de Pierre de la Coste, pour qui la
souveraineté numérique d’une structure constitue la création d’un réseau avec « les sous-
structures qui la composent », et éviter l’influence non désirée d’autres structures101. La
question du destinataire de la délégation ainsi que du rôle qui lui est conféré (comment
96 Türk, supra note 66. 97 Corinne Erhel, Souveraineté et innovation : trouver l’équilibre, Droits et souveraineté numérique en Europe, Bruxelles, Bruylant, 2016, à la p 91. 98 Jean-Philippe Derosier, Les limites du concept de souveraineté numérique, Nice, La souveraineté numérique : le concept, les enjeux, 2016, en ligne : <http://unspod.unice.fr/video/4321-colloque-7-octobre-2016-la-souverainete-numerique-le-concept-les-enjeux/> (consulté le 6 janvier 2017). 99 Karim Benyekhlef et al, Une possible histoire de la norme: les normativités émergentes de la mondialisation, Montréal, Éditions Thémis, 2008, à la p. XXIII. 100 Derosier, supra note 98. 101 La Coste, supra note 56, à la p 510.
28
déterminer une souveraineté ? Peut-on l’apparenter à une maîtrise ou une responsabilité ?) sera
particulièrement traitée dans ce mémoire avec le thème de l’accountability, consacrée par le
règlement européen.
Si cette décentralisation est évidente pour les tenants de la souveraineté numérique, elle
laisse donc des questions en suspens. L’autre conséquence du réseau après la décentralisation
est celle de l’interaction entre les acteurs.
L’interaction entre les acteurs
L’autre indicateur découlant de la structure en réseau est celui de l’interaction entre les
acteurs. Cette interaction est le critère mis en avant dans la définition donnée par Pierre de la
Coste, qu’il dénomme interopérabilité :
On peut évoquer pour mieux comprendre notre société en réseaux une « théorie de la souveraineté numérique » qui s’énoncerait ainsi : chaque structure est dite souveraine numériquement quand elle parvient à créer une interopérabilité entre les sous-structures qui la composent, et à éviter l’interopérabilité non désirée avec les structures dont elle dépend102.
La théorie juridique du réseau postule l’action d’une multitude d’acteurs exerçant chacun
un pouvoir normatif, et interagissant entre eux. Dans le contexte de la souveraineté numérique,
la souveraineté, comprise comme pouvoir normatif, est déléguée aux acteurs pouvant avoir un
pouvoir plus efficace sur le numérique. Cela tient au poids des acteurs, mais aussi à la forme de
l’organisation juridique en elle-même.
D’un part, en distribuant le pouvoir à différents endroits du réseau, à différents « nœuds »,
le réseau permet de répondre à une échelle plus pertinente aux défis lancés par les acteurs du
numériques.
D’autre part, l’interaction de ces « nœuds » du réseau constitue un maillage normatif moins
évident à contourner ; le pouvoir n’est plus seulement réparti de manière décentralisé, il a aussi
vocation à s’exercer partout.
Si tous les nœuds exercent un pouvoir dans le réseau ils ne sont pas forcément égaux : « not
all the nodes of the network are equals » 103 selon Manuel Castells. Un nœud peut prédominer
102 La Coste, supra note 56, à la p 510. 103 Manuel Castells, The power of Identity, cité dans Benyekhlef et al, supra note 99, à la p 725.
29
sur les autres par sa capacité normative. Dans le système juridique un des nœuds les plus
importants de pouvoir demeure l’État. Tout en ayant délégué, il continue à être l’acteur ayant
le plus d’influence sur les autres. L’interaction qu’il met en place avec les autres acteurs, en
interne et en externe, lui permet d’influencer le réseau par son poids.
La forme de cette interaction peut prendre la forme d’une corégulation entre les acteurs
concernés. Le choix de la corégulation comme réglementation d’Internet peut se scinder en
deux sens. La première provient d’un rapport français, mené par Christian Paul, recommandant
la corégulation comme une méthode d’élaboration de la norme qui réunit tous les acteurs
concernés lors de sa conception104. La deuxième provient de l’accord interinstitutionnel entre
la Commission, le Parlement européen et le Conseil du 16 décembre 2003105. Cet accord,
intitulé « Mieux légiférer », comprend la corégulation comme « un mécanisme qui confère la
réalisation des objectifs d’un acte législatif aux parties concernées reconnues dans le domaine
(notamment les opérateurs économiques, les partenaires sociaux, les organisations non
gouvernementales et les associations) »106. Cette définition de la corégulation comme
mécanisme d’application commun de la norme paraît plus près de la réalité de la corégulation,
sans effacer pour autant totalement la première définition.
Le Conseil d’État, dans son rapport « Internet et les réseaux numériques » préconisait la
mise en place d’un organisme privé de corégulation d’Internet107. Aujourd’hui, la corégulation
d’Internet semble plutôt être organisée par les instances ad hoc qui interagissent avec le secteur
privé et les pouvoirs publics108. Ces instances ad hoc prennent la forme des autorités
administratives indépendantes.
Le réseau établit donc un maillage décentralisé, à la manière d’une toile ou d’un filet, dont
les nœuds interagissent entre eux, interaction qui peut prendre la forme d’une corégulation.
L’objectif de la souveraineté numérique n’est pas seulement la mise en place de ce réseau, le
tissage de ce filet, mais son contrôle.
104 Yves Poullet, « Technologies de l’information et de la communication et “co-régulation” : une nouvelle approche ? » dans P Wéry, P Wynants et Y Poullet, dir, Liber amicorum Michel Coipel, coll Kluwer, Bruxelles, 2004, à la p 167. 105 Ibid. 106 Parlement européen, Conseil de l’Union européenne et Commission des communautés européennes, Accord interinstitutionnel – Mieux légiférer, [2003], JO C 321, aux pp 1-5, 31.12.2003 107 Jean-François Thery et Isabelle Falque-Pierrotin, Internet et les réseaux numériques, coll Études du conseil d’État, Conseil d’État, 1998.108 Agnès Robin, Rapport de synthèse, Sylvain Chatry, dir, La régulation d’Internet - Regards croisés de droit de la concurrence et de droit de la propriété intellectuelle, Mare & Martin, 2016, aux pp 177-178.
30
3.2 Le contrôle souverain du réseau
L’affirmation d’un contrôle du réseau constitue la deuxième partie de la définition de la
souveraineté numérique et entraîne d’autres questions, qui seront autant d’indicateurs. Une fois
ce contrôle présenté comme élément central de la définition, il faut se demander quel est l’acteur
le plus à même de l’exercer. L’Union européenne est l’acteur majoritairement désigné comme
capable d’exercer la souveraineté numérique. L’autre question est de savoir contre qui
s’applique ce contrôle. La souveraineté numérique cherche à se réapproprier un contrôle qui
aurait été perdu face aux acteurs américains. Ce point évident est un élément important de la
définition de la souveraineté numérique. C’est dans ce but d’opposition que l’expression de
souveraineté numérique prospère, plutôt qu’une expression de contrôle ou de maîtrise
numérique. La souveraineté existe dans son affirmation face aux autres acteurs. C’est en cela
que la réponse aux acteurs du numérique est un indicateur important d’une volonté de
souveraineté numérique.
Le principe du contrôle
L’idée derrière la souveraineté numérique n’est pas seulement d’établir que la souveraineté
est désormais divisible entre différents acteurs. Cela a par ailleurs été étudié par les études sur
l’impact d’Internet sur la souveraineté. Le titre du rapport introductif au colloque du 7 octobre
2016 qui s’est tenu à la faculté de droit de Nice illustre bien l’idée qui va être l’objet de cette
partie : « « de la souveraineté à l’épreuve du numérique » à la « Souveraineté numérique » »109.
Les trois définitions de la souveraineté numérique font de ce critère un point d’orgue de la
souveraineté numérique. Pour Pierre Bellanger la souveraineté numérique est « la maîtrise de
notre présent et de notre destin »110 dans l’usage des technologies numériques. Pour Pierre de
la Coste une structure souveraine numériquement est une structure capable de « créer une
interopérabilité » en interne et, « éviter à ce que l’interopérabilité ne soit pas imposée de
l’extérieur, ou selon des règles contraires aux libertés fondamentales »111. Enfin, la définition
de Frédérick Douzet, Jean-Loup Samaan et Alix Desforges mentionne explicitement le
109 Türk, supra note 66. 110 Bellanger, supra note 3. 111 La Coste, supra note 56, à la p 511.
31
contrôle, puisque la souveraineté numérique est le contrôle de l’État « sur ses réseaux et sous-
réseaux »112.
Autrement dit, ce qui est important n’est pas seulement d’étudier comment la souveraineté
adopte une forme réticulaire sous la pression du numérique, mais aussi le contrôle politique
réaffirmé sur cette souveraineté en réseau. La souveraineté numérique, en tant que concept
politique, désire organiser cette souveraineté en réseau. Il y a une volonté de rassembler chacune
des souverainetés exercées pour une application de la loi et des valeurs nationales ou
européennes. Celui qui établit la souveraineté en réseau désire en même temps diriger un réseau
de souverainetés. Cela relativise immédiatement la portée du pluralisme juridique et des
théories du réseau puisque si la souveraineté numérique désire dépasser l’État par la
multiplication des souverainetés, il faut bien reconnaître que les acteurs du concept n’existent
que par l’État, et ont pour fonction de rester sous son contrôle. Ce questionnement n’est pas
étranger au pluralisme juridique. Jean Guy Belley interrogeait déjà la place centrale conservée
par l’État dans le pluralisme juridique, ainsi que sur le lien entre acteurs traditionnels et acteurs
récents113.
Le pouvoir politique désire déléguer la souveraineté pour assurer une meilleure application
tout en dirigeant son action globale. De manière plus imagée, il s’agit bien de mettre en place
un filet, mais aussi de décider où est-ce que ce filet est jeté, et ce qu’il doit rapporter.
D’après ces observations, la souveraineté numérique se construit contre le positivisme
juridique et sa pyramide traditionnelle114, tout en essayant de conserver la force de décision
étatique. Un système positiviste peut-il mettre en place délibérément un pluralisme juridique
pour une meilleure application de la norme ? Ce postulat sous-jacent de la souveraineté
numérique est mis en lumière et critiqué par Jean-Philippe Derosier dans sa recherche sur les
limites du concept115.
Le pluralisme juridique interroge le rôle centrale de l’État dans la régulation. Dans les
sociétés en réseau l’État conserve une place importante bien que relative, ce que François Ost
et Michel Kerchove ont très bien exprimé :
112 Douzet, Samaan et Desforges, supra note 57, à la p 191. 113 Jean-Guy Belley, « L’Etat et la régulation juridique des sociétés globales » (1986) 18:1 Sociol Sociétés, à la p 28. 114 Derosier, supra note 98. 115 Ibid.
32
Dans la nouvelle distribution contemporaine, l’État n’a pas disparu, mais apparaît désormais comme le représentant un peu vieillissant d’une grande compagnie classique, perdu au milieu d’une troupe d’amateurs exécutant un programme improvisé le forçant ainsi à adapter son texte à une intrigue dont le sens général paraît parfois lui échapper116.
Le défi de ce travail est de penser la place de l’État, « un acteur en quête d’un rôle »117,
dans une société en réseau, De cette manière la question de la souveraineté numérique s’inscrit
dans la théorie dialectique prôné dans l’ouvrage de François Ost et Kerchove. Cette théorie
dialectique a pour fonction de penser la relation entre souveraineté et numérique, entre
positivisme et réseau, pour exprimer au mieux la complexité de la situation.
Si le cadre théorique est donc celui du réseau, la souveraineté numérique s’inscrit dans
une tension entre le positivisme et le pluralisme juridique.
C’est le double paradoxe de la souveraineté numérique. D’un côté la souveraineté
centralisée et territoriale s’accommode mal des logiques décentralisées du numérique. Le
territoire, si important dans la souveraineté, s’absente dans le numérique : « une logique de
réseaux supplante de plus en plus une logique de lieux »118. La souveraineté, qui ne se partage
traditionnellement pas, devient éclatée et diffuse dans une logique réticulaire. De l’autre côté
l’aspect réticulaire des réseaux numériques, s’accommode mal d’une volonté politique
organisationnelle. Le réseau est sans hiérarchie, son pouvoir politique est la somme des
décisions de ses membres. Dans les réseaux, le pouvoir politique est diffus119.
Pour pouvoir avoir une influence sur des sociétés en réseaux, il est recommandé de
prendre les décisions au niveau le plus haut possible, à savoir, dans le contexte européen,
l’Union européenne.
L’Europe, échelon pertinent pour la souveraineté numérique
Le niveau européen est un indicateur qui découle de la volonté de contrôle des réseaux.
Selon les auteurs, seule l’Union européenne possède la puissance nécessaire pour appliquer la
souveraineté numérique.
116Ost et Kerchove, supra note 80, à la p 125117 Ibid., à la p 125. 118 Trudel, supra note 78, à la p 5. 119 Ibid. à la p 12.
33
Le critère que l’on retrouve inévitablement dans l’étude des sources sur la souveraineté
numérique est celui de la discussion du niveau de cette souveraineté, de ce contrôle des réseaux :
doit-elle être nationale ou européenne ?
Le critère mis en avant est ici celui de l’échelle, ou de l’échelon. Ce critère diffère de
celui du territoire, puisque le territoire est le lieu d’application de la norme alors que l’échelle
est le lieu de sa production. Le rôle du territoire est considérablement minoré dans la perspective
de la souveraineté numérique. L’espace numérique entraîne une « séparation entre l’interne et
l’externe, l’ici et l’ailleurs, qui consacre l’un des fondements de la souveraineté : le
territoire »120. Surtout, l’État perd de sa puissance en s’ouvrant aux réseaux numériques :
« Dans le flux des réseaux et le heurt des identités entre le local et le global qui semblent
s’enchevêtrer en se passant de sa médiation, quelle forme peut prendre l’instance
étatique ? »121. L’État doit s’ouvrir aux réseaux, et garder le contrôle, sans se refermer sur lui-
même. La solution de ce problème étatique est pour Habermas de recalibrer le rôle de l’État,
« dans les termes d’une dialectique d’ouverture et de fermeture »122, afin de le « porter à la
hauteur des marchés mondialisés »123. Pour François Ost et Michel Kerchove, l’Union
européenne constitue « le laboratoire le plus avancé »124 de cette élévation de l’État au niveau
des flux en réseaux.
À propos du niveau de la souveraineté, une discussion d’une souveraineté numérique
européenne est en elle-même originale puisque l’Union européenne n’est pas à proprement
parler souveraine. Elle constitue elle-même une forme d’organisation en réseau125. Pourtant
c’est à ce niveau que l’action doit se situer selon la majorité des auteurs. Pour des raisons
pragmatiques de force coercitive de la norme d’abord : pour rivaliser face aux acteurs d’Internet
il faut s’armer de toute la « puissance normative » européenne126. Si les acteurs du numérique
120 Benyekhlef et al, supra note 99, à la p 24. 121 Ost et Kerchove, supra note 80, à la p 179. 122 Ibid., à la p 179 123 Ibid., à la p 179 124 Ibid., à la p 179 125 Ibid., à la p 179 126 Zaki Laïdi, cité par Alix Desforges, Les stratégies européennes dans le cyberespace, Droits et souveraineté numérique en Europe, Bruxelles, Bruylant, 2016, 216, à la p 84.
34
peuvent faire office de Goliath, l’Union européenne n’a rien d’un David. Pour des raisons de
forme du droit d’autre part : numérique et Europe ont un point commun : la transnationalité127.
Le numérique et l’Union européenne font alors l’objet d’un parallèle bienvenu : « On
soulignera à ce propos la coïncidence entre les enjeux de la construction européenne qui déjà
nous invitait à penser différemment la souveraineté et ceux du numérique »128.
Le niveau européen de la souveraineté numérique a déjà été approprié dans le discours
politique. La souveraineté numérique est « un objectif politique pour l’Europe »129. Les
stratégies de souveraineté numérique sont des stratégies pensées au niveau européen130.
Il faut cependant noter que, malgré la faveur générale que remporte l’Union européenne
pour ordonner la souveraineté numérique, les voix discordantes des États se font entendre. En
effet, il faut noter « une persistance, voire une recrudescence de la recherche de solutions au
niveau des États pour réguler le numérique »131, notamment par les lois renforçant les services
de renseignement.
Si la souveraineté numérique ne se comprend bien qu’au niveau européen, c’est en
raison de sa puissance. C’est le seul niveau capable d’imposer sa souveraineté face aux acteurs
étrangers du numérique.
Une réponse aux puissances du numérique
Enfin, si le terme de souveraineté est employé, c’est dans l’objectif de répondre aux
puissances du numérique. La souveraineté, déterritorialisée par Internet, conserve son noyau, à
savoir sa puissance, sa capacité à ne pas être déterminée par un autre qu’elle-même. Elle
conserve son monopole sur l’application du droit. Comme il a été vu plus tôt la souveraineté
numérique est une question de gouvernance d’Internet. Elle naît de la volonté de s’opposer à la
puissance des acteurs qui imposent leur norme. Cela est encore une fois visible dans la vive
réaction qu’a fait naître la révélation de la surveillance généralisée de la NSA et qui a multiplié
127 P Meunier, Les compétences de l’Union européenne et la souveraineté numérique, Nice, La souveraineté numérique : le concept, les enjeux, 7 octobre 2016, en ligne : <http://unspod.unice.fr/video/4328-la-souverainete-numerique-le-concept-les-enjeux/> (consulté le 6 janvier 2017). 128 Blandin-Obernesser, supra note 63, aux pp 1-2. 129 Morin-Dessailly, supra note 21, à la p 67. 130 Cette volonté de penser la souveraineté numérique au niveau européen se retrouve dans les programmes des candidats François Fillon et Emmanuel Macron aux élections présidentielles 2017. Cf annexe 1. 131 Blandin-Obernesser, supra note 25, à la p 98.
35
les réflexions sur la souveraineté numérique. Cette opposition est constitutive de la souveraineté
numérique : l’existence même de la souveraineté est due à l’existence d’acteurs qui la menacent.
L’originalité de la souveraineté numérique réside aussi dans les nouveaux acteurs
auxquels elle doit s’opposer. Ce n’est plus seulement l’État, mais aussi des acteurs privés. Ces
acteurs privés tentent de mettre une place une autorégulation132 d’Internet. Ils peuvent rivaliser
avec les États par leur puissance à décider et à appliquer la norme. Ces derniers commencent à
prendre cette donnée en compte. Le Danemark a par exemple créé la nouvelle fonction
d’ambassadeur du numérique pour discuter avec ces acteurs privés133. Les entreprises qui
détiennent un tel pouvoir ont désormais les attributs de la souveraineté sur le numérique, ce qui
pousse Anne Blandin-Obernesser à les qualifier d’« entreprises souveraines de l’Internet »134.
C’est de cette opposition que provient la volonté d’orienter le réseau. Les États
délèguent l’application de la norme mais cette délégation est guidée par un objectif politique,
celle de s’opposer aux acteurs qui grignotent leur souveraineté. Le paradoxe de la souveraineté
numérique vient de ces mouvements contradictoires de délégation et de contrôle. Cette double
face a été notée par Maryline Boizard :
Dans cette perspective les souverainetés peuvent être envisagées de deux
manières différentes. Les souverainetés peuvent être définies comme la somme des souverainetés individuelles par opposition à la souveraineté (…) Néanmoins les souverainetés renvoient également incontestablement à la confrontation des souverainetés nationales – ou européennes pour ce qui nous concerne – et puisqu’il s’agit de traiter des problématiques d’Internet, nous sommes inévitablement conduits à songer, en arrière-plan, à la notion émergente de souveraineté numérique qui oppose aujourd’hui la souveraineté états-uniennes et la souveraineté européenne135.
Deux mouvements contradictoires ont pu être observés. Le premier est que la
souveraineté numérique vise à mettre en place un réseau normatif en déléguant sa souveraineté
à des acteurs tiers, individus et autorités de protection de données personnelles. Le deuxième
est qu’en déléguant le législateur désire tout de même faire appliquer la règle européenne ou
nationale, et ses valeurs, et faire ainsi preuve de sa souveraineté face aux acteurs États-uniens.
132 Forest, supra note 52. 133 « Le Danemark va envoyer un « ambassadeur numérique » au pays de Google et Facebook », Le Monde (février 2017), en ligne : Le Monde <http://lemonde.fr/big-browser/article/2017/02/07/le-danemark-va-envoyer-un-ambassadeur-numerique-au-pays-de-google-et-facebook_5076124_4832693.html>. 134 Blandin-Obernesser, supra note 25 à la p 95.135 Maryline Boizard, La tentation de nouveaux droits fondamentaux face à Internet : vers une souveraineté individuelle ? Illustration à travers le droit à l’oubli numérique, Droits et souveraineté numérique en Europe, Bruxelles, Bruylant, 2016, à la p 32.
36
La définition suivante de la souveraineté numérique peut alors être ébauchée : volonté
européenne de contrôle de la régulation d’Internet, face à la régulation dominante des
acteurs américains, par l’établissement d’un réseau normatif décentralisé et interactif.
Ce travail préliminaire a conduit à l’établissement d’une définition juridique de la
souveraineté numérique, à travers toutes les définitions et éléments de définition qui ont pu être
mentionnés. Un double mouvement ressort de l’établissement de cette définition : une volonté
de mise en réseau du droit, contrebalancée paradoxalement par une volonté de contrôle étatique
et régional accru. Au sein de ce double mouvement de nombreux indicateurs ressortent. Cette
définition et ces indicateurs étant clairement établis, il est possible d’étudier le sens du concept
de souveraineté numérique dans le droit des données personnelles en vigueur, avant de voir si
le règlement européen témoigne ou non de cette souveraineté numérique.
37
Titre I Le droit des données personnelles à la lumière du concept de souveraineté
numérique
L’application de la souveraineté numérique apporte une vision particulière de l’organisation
du droit des données personnelles. Sur un réseau Internet vu comme un « reflet de la
concurrence des souverainetés »136, la souveraineté numérique porte une volonté
d’indépendance numérique régionale (A). Pour mettre en place cette indépendance numérique
régionale le droit des données personnelles doit adopter selon la souveraineté numérique une
organisation réticulaire au niveau européen (B).
A) La souveraineté numérique comme volonté d’indépendance numérique régionale pour
appliquer les valeurs du droit des données personnelles européen
L’un des indicateurs qui a été identifié dans l’étude de la souveraineté numérique est la
vision de la souveraineté numérique comme réponse aux acteurs américains. Selon les tenants
de la souveraineté numérique ces acteurs américains seraient vus comme dominants dans le
cyberespace, et ils auraient une incidence sur les souverainetés étatiques traditionnelles et leur
capacité à appliquer leur droit et leurs valeurs. Cette partie se propose d’explorer en quoi les
acteurs américains seraient dominants dans le cyberespace (1) et pourquoi et comment la
souveraineté numérique entend opposer à cette domination son droit et ses valeurs (2).
1. Les formes de domination des acteurs américains dans le cyberespace selon la
souveraineté numérique
Cette partie cherche à identifier comment s’exerceraient les souverainetés sur le
cyberespace des acteurs dominants, qu’il s’agisse des souverainetés classiques d’un État par
son rôle dans l’essor des réseaux, ou des nouvelles souverainetés d’acteurs privés. Ces deux
types de souverainetés sont les deux qui se retrouvent dans les travaux existants sur la
souveraineté numérique. Face à ces souverainetés sur le numérique, certains États traditionnels
peineraient à influer sur le numérique. C’est à la souveraineté, réelle ou supposée de ces acteurs
dominants, que les discours sur la souveraineté numérique entendent faire face. Ces discours
demandent une souveraineté européenne, une indépendance numérique régionale, qui a
136 Karim Benyekhlef, « L’Internet : un reflet de la concurrence des Etats » (2002) 8:1 Lex Electron.
38
cependant la particularité de ne pas vouloir créer un environnement numérique clos. Les
demandes de souveraineté numérique ne remettent pas en cause l’interopérabilité du réseau,
son caractère interactif et transfrontière137.
La souveraineté numérique suppose une perte de pouvoir des États sur le numérique, qui
serait dominé par les acteurs américains. Dans son ouvrage, Olivier Iteanu identifie « trois
forces en présence »138 qui exercent leur puissance dans le cyberespace : les libertariens
californiens, la Silicon Valley, et le gouvernement américain. Autrement dit, des acteurs sur le
plan idéologique pour les libertariens, une base entrepreneuriale et d’innovation pour la Silicon
Valley, ainsi qu’un acteur étatique, l’État américain. Ces trois acteurs exercent leur force sur la
régulation d’Internet de manières divergentes, parfois convergentes ou frontalement opposées.
Pour exemple, les libertariens, notamment par le biais de l’Electronic Frontier Foundation
(EFF), s’opposent souvent au gouvernement américain, dénonçant ses positions sécuritaires.
Ces derniers dénoncent aussi la collaboration sur le terrain sécuritaire entre les entreprises du
numérique, collaboration dont l’affaire PRISM fut la marque la plus éclatante. Pourtant ces
entreprises du numérique s’opposent aussi aux intérêts du gouvernement : il est possible de
prendre pour exemple le refus de Microsoft de donner accès au gouvernement à des documents
stockés sur ses serveurs en Irlande. Ce tableau très rapide permet de voir les rapports entre les
différents acteurs139.
Deux acteurs sont cependant vraiment concernés par la souveraineté numérique, l’État
américain et les grandes entreprises du numérique, souvent désignées pour ces dernières par
l’acronyme GAFA (Google Amazon Facebook Apple).
Le numérique apparaît comme un nouveau territoire international, un cyberespace à
proprement parler, dans lequel les souverainetés, étatiques ou privées, s’exercent. Deux
souverainetés sur le numérique doivent alors être identifiées : une traditionnelle, par un État, et
une autre plus originale, par des entreprises privées.
137 Cattaruzza et al, supra note 13, à la p 64. 138 Iteanu, supra note 5 à la p 24. 139 Microsoft v United States, 2d Cir, 2016, No 14-2985.
39
Le rôle historique du gouvernement états-uniens dans l’essor d’Internet à l’origine d’une
souveraineté sur le numérique
L’essor technique d’Internet doit être abordé, en ce qu’il démontre le pouvoir de l’État états-
uniens sur l’organisation technique d’Internet. Internet est en effet avant tout un système
technique, et le contrôle de la technique a un impact sur la souveraineté sur les réseaux. La
régulation des réseaux dépend de l’organisation technique, en raison du « caractère normatif
de la technique »140. Ce caractère normatif de la technique a particulièrement été développé par
Lawrence Lessig, qui expliquait que l’orientation du droit sur le numérique dépendait de ceux
qui codent, par les choix techniques qu’ils prennent. L’orientation de la protection de la vie
privée dépend ainsi pour lui des choix de ceux qui codent141. Pour Lessig, dans son célèbre
article « Code Is Law », deux acteurs peuvent modifier l’architecture du réseau, et décider de
la règle applicable, le monde économique et le gouvernement142.
À ce sujet, le rôle du gouvernement des États-Unis dans la création d’Internet donnerait une
piste d’explication à sa souveraineté sur le numérique aujourd’hui. Le gouvernement américain
joue un rôle indubitable dans le développement technique du réseau. Internet a une origine
militaire dans le développement d’Arpanet. La Defense Advanced Research Project Agency
(DARPA), reliée au département de la Défense américain, donne l’impulsion au projet Arpanet,
visant à lancer « un réseau d’ordinateurs pouvant travailler ensemble à distance ». Le projet
Arpanet sera lancé en 1969, pour des institutions agrées par la DARPA. Par la suite, l’essor
d’Arpanet vient complexifier le système de connexion entre les machines. Pour remédier à cela
un système d’adresse numérique est mis en place, le Domain Name System (DNS), géré par
l’Internet Corporation for Assigned Names and Number (ICANN)143. Cette autorité de gestion
des noms de domaines, institution centrale dans l’organisation d’Internet, est placée sous
l’égide du Département du commerce américain, qui lui a transféré en 1998 la gestion de
l’attribution des noms de domaines144.
140 Pierre Trudel, « La lex electronica » dans Le droit saisi par la mondialisation, coll Droit International, Bruxelles, Bruylant, 2001, à la p 229. 141 À propos du choix de la forme technique d’une certification d’identité sur Internet : « Thus wether the certification architecture that emerges protects privacy depends upon the choices of those who codes ». Lawrence Lessig, « Code Is Law, On Liberty In Cyberspace » [2000] Harv Mag 142 Lawrence Lessig, « Code Is Law, On Liberty In Cyberspace » [2000] Harv Mag. 143 Compiègne, Isabelle. Internet: histoire, enjeux et perspectives critiques, coll Infocom, Paris, Ellipses, 2007, à la p 45. 144 Cattaruzza et al, supra note 13, à la p 13.
40
Ce contrôle technique sur l’organisation d’Internet est encore extrêmement récent, puisque
l’ICANN est restée associée au Département du commerce américain jusqu’au 1er octobre
2016145. Cet abandon du contrôle fait suite à une polémique de longue durée contestant la
suprématie américaine dans le cyberespace146, polémique renouvelée et amplifiée par les
révélations de la surveillance exercée par la NSA147.
Moins médiatique mais aussi important, l’organisme qui élabore les standards d’Internet,
Engineering Task Force (IETF), se voit critiqué pour le rôle majeur que les Américains y
occupent, bien que l’IETF ne soit pas reliée à un État et que la participation y soit ouverte148.
Comme le résume Isabelle Compiègne, le gouvernement des États-Unis joue un rôle majeur
dans le contrôle du réseau : « On ne peut nier non plus, une certaine ambiguïté des instances
de régulation qui sont toutes placées, en dernier ressort, sous l’autorité du gouvernement des
États-Unis, et la dimension centralisée du système d’adresse sur Internet reposant
exclusivement sur le DNS, supervisé par l’ICANN »149.
Le rôle du gouvernement américain dans l’essor technique d’Internet continue à lui donner
un pouvoir sur la régulation du numérique. Ce contrôle contesté est à l’origine d’une polémique
ancienne autour de la gouvernance de l’Internet. Les tenants de la souveraineté numérique
viennent contester cette gouvernance de l’Internet, qui laisse de fait un pouvoir important au
gouvernement américain, ainsi que l’action des grandes entreprises du numérique dans le
cyberespace.
Le pouvoir normatif des grandes entreprises du numérique à l’origine d’une souveraineté sur
le cyberespace
Si le cyberespace est un territoire dans lequel les puissances étatiques s’affrontent, de
nouveaux acteurs privés y appliquent aussi leur puissance.
La souveraineté de ces entreprises du numérique est plus compliquée à démontrer.
Traditionnellement rattachée à l’État, une souveraineté semble incompatible avec une entité
privée. Pourtant, leur poids sur le monde numérique conduit à les qualifier de souveraines150.
145 https://www.icann.org/news/announcement-2016-10-01-en, consulté le 23 juin 2017. 146 Cattaruzza et al, supra note 13, à la p 13. 147 Ibid., à la p 13 148 Ibid., à la p 13 149 Compiègne, supra note 143, à la p 47. 150 Blandin-Obernesser, supra note 25, à la p 95.
41
Ces entreprises sont aujourd’hui principalement américaines, bien qu’il faille prendre en
compte les entreprises d’États tiers pour ne pas enfermer le thème de la souveraineté numérique
à une « guerre froide numérique », à une simple opposition politique entre l’Union européenne
et les États-Unis151.
Que représente la souveraineté d’une entreprise ? Il est ici possible de se rattacher à la
réflexion d’Annie Blandin-Obernesser : « nous proposons de qualifier de souveraines les
entreprises qui détiennent un pouvoir de marché tel qu’elles se dotent des attributs de la
souveraineté, d’un véritable pouvoir de gouvernement »152. Ces entreprises détiendraient en
effet des composantes de la souveraineté à savoir un territoire (le cyberespace), une population
de plus en plus identifiée, une langue (l’anglais, mais aussi le langage des réseaux sociaux), une
fiscalité optimisée, et surtout un pouvoir d’édicter la norme, de la négocier et de l’appliquer153.
Le pouvoir d’édicter la norme passe par une capacité à l’autorégulation des entreprises du
numérique. L’autorégulation « se présente comme une alternative à la réglementation d’origine
étatique » et « développe dans un langage plus adapté que celui de la loi des principes voulus
également plus adaptés aux pratiques d’un secteur d’activité »154. La globalisation économique
avait déjà contribué à l’émergence d’acteurs transnationationaux, capables de venir
concurrencer les pouvoirs publics155.
Cette autorégulation vient s’opposer au modèle kelsenien pour lequel « les acteurs
juridiques ne sont jamais que des organes de l’État »156. À rebours de la pensée d’Hans Kelsen,
l’autorégulation tend à se séparer de la puissance étatique, puisque dans de nombreux cas, « il
ne s’agit plus tant de collaborer à la production de la norme étatique que de développer, en
marge du droit étatique, voire contre lui, une régulation privée, sui generis »157. Ce droit
développé par des acteurs privés en marge de la norme étatique serait marquée par une « lex
mercatoria »158. Dans le cadre du numérique cette loi privée pourrait prendre la forme d’une
« lex electronica »159, à savoir pour Gautrais « l’ensemble des règles juridiques informelles
151 Blandin-Obernesser, supra note 25, à la p 96. 152 Ibid., aux pp 95-96. 153 Ibid., aux pp 97-100. 154 David Forest, Droit des données personnelles, coll Droit en action, Paris, Gualino-Lextenso éd, 2011. 155 Ost et Kerchove, supra note 80, à la p 108. 156 Ibid., à la p 108. 157 Ibid., à la p 109. 158 Ibid., à la p 111. 159 Trudel, supra note 139.
42
applicables dans le commerce électronique international »160. Ces règles seraient les règles
d’usages entre les acteurs du numérique, qui viennent s’imposer comme une véritable norme
informelle en raison de leur capacité à orienter l’action des personnes qui y sont soumis.
Comment se traduit l’édiction de cette « lex electronica » ? Selon Pierre Trudel, une de ses
sources majeures est indéniablement le contrat161. Dans le droit autorégulé, le contrat est en
effet « l’instrument juridique par excellence, ce qui, en soi, reste conforme à la théorie
classique »162, avec « cette nuance près que l’empire contractuel prend ici une extension sans
précédent et refoule très en périphérie l’ordre public et les lois impératives »163. Le contrat
permet de contourner la norme étatique ce qui se retrouve pour les entreprises souveraines du
numérique par l’utilisation des conditions générales d’utilisation, qui se présentent comme « de
véritables lois de l’Internet, peu favorables en général au consommateur »164. Olivier Iteanu
note à juste titre que les mentions des conditions générales d’utilisation des grandes plateformes
(Facebook, YouTube et Twitter), ne font pas référence à la loi. Les conditions générales
d’utilisation de ces groupes désignent des contenus « inappropriés », des cas de « conduite
haineuse », mais n’utilise jamais le terme d’illicéité165. Pour Olivier Iteanu, ce choix de
rédaction démontre une volonté des plateformes de « faire leur « loi » »166 et de ne pas se
soumettre à la législation européenne.
Par l’autorégulation, les entreprises souveraines du numérique peuvent construire des
normes dans le cyberespace. Le marqueur de leur souveraineté n’est cependant pas seulement
de construire un espace juridique privé à part, mais d’être capable de négocier la norme avec
les États.
Ce pouvoir de négociation est particulièrement visible dans l’application du droit des
données personnelles. La durée de conservation des données personnelles a ainsi été négociée
entre Google et la Commission européenne pour aboutir à un compromis entre les
recommandations du Groupe 29 et la pratique de Google167. Le groupe de l’article 29 avait
proposé une durée de conservation des données personnelles par les fournisseurs de moteurs de
160 Trudel, supra, note 139, à la p 235. 161 Ibid., à la p 239. 162 Ost et Kerchove, supra note 80, à la p 118. 163 Ibid, à la p 118. 164 Blandin-Obernesser, supra note 25, à la p 98. 165 Iteanu, supra note 5 à la p 63. 166 Ibid. à la p 63.167 Blandin-Obernesser, supra note 25, à la p 99.
43
recherche de six mois168. Google, qui avait opté pour une durée de conservation de dix-huit
mois, a négocié avec la Commission européenne pour un délai plus long de conservation. Le
délai a finalement été fixé à douze mois169.
Enfin, la puissance de ces entreprises se retrouve dans l’application du droit, reléguant
parfois le juge à une place secondaire. C’est le cas criant du droit au déréférencement institué
par l’arrêt Google Spain du 13 mai 2014170. Par cet arrêt de la Cour de Justice de l’Union
européenne, les internautes peuvent demander l’application d’un droit à l’oubli numérique sur
le fondement de l’article 14 de la directive européenne de 1995171 « pour des raisons
prépondérantes et légitimes tenant à sa situation particulière »172. L’application de ce nouveau
droit pour les citoyens européens est cependant entre les mains du moteur de recherche, qui
détermine si la demande de déréférencement lui paraît ou non pertinente. Le formulaire établi
par Google ne fait par ailleurs aucune mention du droit d’opposition ou de la directive de
1995173. En cas de refus, le juge ou les autorités de contrôle peuvent être saisis. Les tribunaux
ont eu l’occasion de vérifier le 19 décembre 2014 le respect des critères par le moteur de
recherche174, mais face au faible intérêt des demandes, la saisine du juge risque d’être rare. Une
inquiétude est alors émise, celle « d’assister in fine à une privatisation du jugement de
l’information pertinente, ce qui ne ferait qu’augmenter les craintes suscitées par l’arrêt »175.
En consacrant un moteur de recherche comme contrôleur de la pertinence d’une demande
de déréférencement, la Cour de Justice renforce la souveraineté d’une entreprise dans le monde
numérique. En effet, certaines entreprises commencent à exercer une quasi-mission de service
public. La reconnaissance des droits de l’Homme sur Internet, couplée à une subjectivisation
croissante des droits tend à donner aux acteurs du numérique un rôle public de défense des
libertés individuelles. Certaines plateformes apparaissent comme des quasi services publics par
l’alternative qu’ils proposent aux missions traditionnellement exercées par l’État : « l’usage
168 Avis n°1/2008 du 4 avril 2008, à la p 28. 169 Blandin-Obernesser, supra note 25 à la p 99. 170 Google Spain SL, Google Inc c Agencia Española de Protección de Datos (AEPD), Mario Costeja González, supra, note 40. 171CE, Directive (CE) 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, supra à la note 30.172 Judith Rochfeld, Les géants d’Internet et l’exploitation des données personnelles : l’activation du droit « à l’oubli » numérique à l’égard des moteurs de recherche, L’effectivité du droit face à la puissance des géants de l’Internet. actes des journées du 20, 21 et 22 octobre 2015, Paris, IRJS éditions, 2016, à la p 98. 173 Forest, supra note 52. 174 Rochfeld, supra note 172, à la p 98. 175 Ibid., à la p 103.
44
gratuit des moteurs de recherche, l’accès à une documentation, à la connaissance et à des
capacités de stockage et de calcul en constante progression font de l’Internet un concurrent
pour de nombreux services publics, qu’il s’agisse de l’éducation, de la sécurité ou de la
santé »176. Les plateformes semblent être en mesure de mettre en œuvre un service public, et le
revendiquent, en se présentant comme des « entreprises citoyennes, prêtes à servir l’intérêt
général »177. Les lois du service public (les lois de Rolland, à savoir la continuité, la mutabilité
et l’égalité) semblent par ailleurs être les mêmes que celles qui président aux grandes
plateformes178. Les opérateurs de télécommunications jouent de la même manière un rôle
majeur dans le respect de la liberté d’accès à Internet, l’accès sans discrimination au réseau,
dont on retrouve la trace dans le Guide des droits de l’homme pour les utilisateurs d’Internet179.
Cette capacité de régulation du réseau porte en lui un débat ancien sur la neutralité d’Internet.
Dans le même ordre d’idée, les réseaux sociaux peuvent se voir reconnaître un rôle dans le
débat démocratique : aux États-Unis la Cour Suprême a reconnu le 19 juin 2017 que l’accès
aux réseaux sociaux était un droit constitutionnel180. Cette situation de service public assuré par
des acteurs internationaux privés semble constituer, selon l’expression de Pauline Türk, une
forme de « service public international »181.
La capacité de régulation de ces grands acteurs témoigne de leur puissance dans l’univers
numérique. Ils peuvent être reconnus comme souverains dès lors que, comme Google, « sa
puissance économique lui permet de mettre en œuvre sa politique, son discours, d’aller au bout
d’une logique et même d’appeler à la poursuivre en justice »182. Par cette souveraineté ils
peuvent influencer le droit des États traditionnels.
176 Catherine Morin-Dessailly, L’Europe au secours de l’Internet : démocratiser la gouvernance de l’Internet en s’appuyant sur une ambition politique et industrielle européenne, n° 696, Paris, Sénat, 2014, à la p 63. 177 Blandin-Obernesser, Annie. « Les entreprises souveraines de l’Internet : un défi pour le droit en Europe. » dans Droits et souveraineté numérique en Europe, supra note 25, à la p 97. 178 Catherine Morin-Dessailly, L’Europe au secours de l’Internet : démocratiser la gouvernance de l’Internet en s’appuyant sur une ambition politique et industrielle européenne, supra note 176, à la p 151. 179 Sandrine Turgis, Les valeurs du Conseil de l’Europe appliquées à Internet, Droits et souveraineté numérique en Europe, Bruxelles, Bruylant, 2016, à la p 21. 180 http://lemonde.fr/pixels/article/2017/06/20/l-acces-aux-reseaux-sociaux-devient-un-droit-constitutionnel-aux-etats-unis_5148209_4408996.html (consulté le 8 mai 2017) 181 Morin-Dessailly, supra note 176, à la p 151. 182 Stéphanie Carre et Gilles Vercken, « Google et la fortune du droit d’auteur » dans Mélanges en l’honneur du Professeur Lucas, Lexisnexis, 2014 à la p 119.
45
L’application extraterritoriale du droit des acteurs majeurs d’Internet
La domination de ces acteurs pose le problème de l’application extraterritoriale en droit des
données personnelles. Par application extraterritoriale est entendue une « situation dans
laquelle les compétences d’un État (législatives, exécutives ou juridictionnelles) régissent des
rapports de droit situés en dehors dudit État »183. Cette application est extraterritoriale d’une
part, car elle applique la loi d’un État, le plus souvent les États-Unis à un autre État. Cela passe
notamment par l’application des clauses de compétence juridictionnelle des grandes
entreprises.
D’autre part, de manière plus originale, l’application du droit est d’une certaine manière
extraterritoriale car les entreprises souveraines sur le numérique appliquent leur droit à un État :
le droit autorégulé du territoire numérique s’appliquerait au territoire étatiques. En effet, les
décisions des entreprises du numérique ne s’appuient pas forcément sur le droit américain et
relèvent de leur pouvoir privé, à l’instar du droit au déréférencement. Cette porosité entre deux
territoires, numérique et matériel, crée une imbrication de souverainetés. Comme le prévoyait
dans The New Digital Age Eric Schmidt (ancien président directeur général de Google) et Jared
Cohen (directeur de Google Ideas) :
À travers un genre de contrat social, les usagers renonceront volontairement à certaines choses qu'ils valorisent dans le monde physique - la vie privée, la confidentialité, les données individuelles - afin de profiter des avantages de la connexion au monde virtuel. Inversement, s'ils viennent à se sentir privés de ces avantages, ils emploieront les outils à leur disposition pour exiger des comptes et imposer le changement dans le monde physique184.
L’utilisation de l’expression de contrat social doit tout particulièrement être notée. D’une
part parce qu’elle reprend une notion à l’origine de la souveraineté populaire constitutive des
démocraties modernes. D’autre part, parce que l’emploi du terme contrat renforce la logique
contractuelle de l’autorégulation de ces acteurs privés.
Le pouvoir extraterritorial des acteurs anglo-saxons est un risque puisque cela favorise
l’application du droit anglo-saxon plutôt que du droit européen. La rencontre de deux systèmes
183 Jean J A Salmon, dir, Dictionnaire de droit international public, coll Universités francophones, Bruxelles, Bruylant, 2001, à la p 491. 184 Eric Schmidt, Jared Cohen et Anatole Muchnik, À nous d’écrire l’avenir comment les nouvelles technologies bouleversent le monde, Paris, Denoël, 2013, aux pp 374-375.
46
juridiques dans l’univers numérique favorise le système anglo-saxon, et est un risque pour la
pérennité du système juridique européen de données personnelles185.
La souveraineté numérique identifie deux grands types d’acteurs dominants dans le
numérique, et tente d’affirmer face à eux une indépendance numérique régionale. Face à cet
état de fait, l’efficacité du droit des données personnelles paraît grandement affaibli. Pour
contrer cela, la souveraineté numérique promeut une indépendance numérique, qui passe par
l’affirmation de valeurs européennes relatives au droit des données personnelles dans le
numérique.
2. La souveraineté numérique comme promotion d’un droit et de ses valeurs dans le
cyberespace
Dans une intervention sur Les dimensions internationales du concept de souveraineté
numérique, Bernard Benhamou, secrétaire de l’Institut de la souveraineté numérique, explique
une des finalités de la souveraineté numérique : « Notre but c’est effectivement de faire valoir
nos valeurs, nos principes démocratiques européens (…) dans la société qui vient »186. La
souveraineté numérique vise à défendre les valeurs européennes dans la société numérique. Si
le droit des données personnelles est un terrain d’expérimentation aussi favorable de la
souveraineté numérique, c’est qu’il est particulièrement marqué par des valeurs qui constituent
l’essence de ce droit. Cependant, au-delà de cette simple défense du contenu des valeurs la
défense du droit des données personnelles dans un univers numérique globalisé porte aussi
l’objectif d’une influence sur les États-tiers à l’Union européenne.
La souveraineté numérique désire promouvoir les valeurs européennes du droit des données
personnelles qui différeraient sensiblement de la privacy anglo-saxonne. La première de ces
différences tient dans le fait que le privacy ne constitue pas un régime de protection des données
personnelles187. La privacy a été conçu comme un droit opposable face aux intrusions du
Gouvernement, sur le fondement du 4e amendement, et non pas un droit pensé pour être
185 Céline Castets-Renard, « Quels liens établir entre les USA et l’UE en matière de vie privée et protection des données personnelles ? » (2016) 3 Dalloz IP/IT, à la p 115. 186 Bernard Benhamou, Les dimensions internationales du concept de souveraineté numérique, Nice, La souveraineté numérique : le concept, les enjeux, 7 octobre 2016, en ligne : <http://unspod.unice.fr/video/4320-la-souverainete-numerique-le-concept-les-enjeux/>. (consulté le 6 janvier 2017). 187 Castets-Renard, supra note 185.
47
opposable aux personnes privées. C’est un « droit à être laissé tranquille »188, qui a pour
conséquence que la privacy se comprend plus comme un droit à l’intimité qu’un droit à la vie
privée189. Une deuxième différence tient dans l’approche sectorielle de la privacy et sa
fragmentation aux États-Unis entre les États fédérés, tandis que la protection des données
personnelles européenne est considérée comme s’appliquant à tous les secteurs et se voit unifiée
au niveau européen190.
Surtout la privacy et la vie privée européenne diffèrent dans leur philosophie. Sans
confondre deux droits distincts, les atteintes au droit des données personnelles peuvent conduire
à des atteintes à la vie privée. Or, la conception de la vie privée européenne diffère de la privacy
anglo-saxonne : « le droit américain rattache la privacy à la propriété, alors que l’Europe en
fait un droit de la personne ou personnel »191. La vie privée en tant que privacy est cessible,
comme a pu le montrer l’affaire United States v. Miller192. Dans cette affaire, Miller s’était
plaint d’une atteinte à sa vie privée lorsque le fisc avait demandé à ses banques les documents
retraçant les opérations de ce dernier. La Cour Suprême a jugé dans cette affaire que les
documents concernant les opérations n’étaient pas de la propriété de Miller mais des banques,
et qu’ainsi, le 4e amendement ne pouvait être appliqué. Les données sur les opérations ont été
cédée à la banque. Comme l’indique Elisabeth Zoller, « la jurisprudence Miller est révélatrice
de l’ancrage intellectuel, commandé par la logique de common law, du droit à la vie privée
dans le droit de propriété »193. Cette différence de philosophie, entre conception propriétaire et
conception personnaliste du droit à la vie privée, est problématique dans l’univers numérique
globalisé dans lequel circulent les données personnelles.
De la même manière, le droit des données personnelles s’oppose dans l’univers numérique
à la liberté d’expression, particulièrement au free speech américain. La vie privée semble perdre
du terrain face à la liberté d’expression, que ce soit aux États-Unis, où elle « perd à tous les
coups »194, ou en Europe ou la vie privée et la liberté d’expression sont désormais soumises à
la technique de la balance des intérêts195.
188 Elisabeth Zoller, Le droit au respect de la vie privée aux États-Unis, dans F Sudre (dir) Le droit au respect de la vie privée au sens de la Convention européenne des droits de l’homme, coll Droit et Justice, Bruxelles, Bruylant, n° 63, 2005, 35‑67. 189 Iteanu, supra note 5, à la p 73. 190 Castets-Renard, supra note 185.191 Iteanu, supra note 5, à la p 73. 192 United States v Miller, 1939, USSC, n° 696. 193 Zoller, supra note 188. 194 Iteanu, supra note 5, à la p 75. 195 Ibid., à la p 134.
48
Face à cette opposition de valeurs, l’Europe a consacré le droit des données personnelles
comme un droit de plus en plus important à travers le renforcement du droit des données
personnelles, avant d’essayer d’influencer les États tiers.
La consécration du droit des données personnelles en Europe
Dans l’espace globalisé dans lequel les données personnelles circulent l’application du droit
devient un défi : « l’enjeu dépasse alors la protection des données pour devenir un enjeu de
souveraineté »196. Cette souveraineté passe par le respect du droit des données personnelles
européen. Cette globalisation du droit des données personnelles par le numérique doit fournir
une approche cohérente et harmonisée du droit des données personnelles dans l’Union, ainsi
qu’une consécration du droit à la protection des données personnelles197. Cette consécration
passe par une autonomisation du droit des données personnelles :
Ce faisant, l’objectif de globalisation devrait supposer, en effet, une autonomisation de la protection des droits fondamentaux par rapport au principe de libre circulation des données. L’enjeu serait donc de protéger les droits fondamentaux pour eux-mêmes ou en tout cas d’en faire une priorité absolue, même si la dimension Marché Intérieur reste présente198.
Le droit des données personnelles s’est renforcé ces dernières années dans les textes
européens, afin de fournir un véritable cadre européen de protection. Des dispositions
protégeant le droit des données personnelles et la vie privée se retrouvent dans les différents
textes fondateurs européens, dans le Traité sur l’Union européenne (TUE) et le Traité sur le
fonctionnement de l’Union européenne (TFUE). Ces textes peuvent constituer le socle des
principes de la souveraineté numérique sur les données personnelles. Rappelons à titre liminaire
la promotion des valeurs européennes à l’article 3§1, ainsi que l’article 3§2 du TUE qui assure
la protection des citoyens de l’Union. Plus précisément le récent article 16 du TFUE stipule que
« toute personne a droit à la protection des données à caractère personnel le concernant », ce
qui a pour effet de donner compétence au Parlement et au Conseil européen pour agir en la
matière199. L’Union européenne a adopté la Charte des droits fondamentaux de l’UE, contenant
196 Annie Blandin, « La composition d’un espace européen autour du régime juridique des données personnelles » dans Politiques sécuritaires et surveillance numérique, CNRS Éditions, coll Les Essentiels d’Hermès, à la p 154. 197 Ibid à la p 155. 198 Ibid. à la p 156. 199 Carole Billet, Le transfert de données à caractère personnel aux États tiers, Droits et souveraineté numérique en Europe, Bruxelles, Bruylant, 2016, à la p 167.
49
une disposition sur un droit autonome à la protection des données personnelles (article 8).
L’Union européenne dispose donc d’un cadre et d’une compétence juridique pour agir sur le
droit des données personnelles et porter les valeurs de ce cadre juridique.
L’Union européenne a aussi reconnu la Convention européenne des droits de l’homme,
dont l’article 8 prévoit la protection des données personnelles. À ce titre, il convient de noter
que le Conseil de l’Europe joue lui aussi un rôle important dans la promotion des valeurs
européennes en droit des données personnelles. Cela passe tout d’abord par des textes, dont la
Convention pour la protection des personnes à l’égard du traitement automatisé des données à
caractère personnel, le STE n°108 en 1981. La CEDH permet ensuite d’interpréter les textes à
la lumière contemporaine200.
Avec les textes spécifiques sur les données personnelles se pose cependant la question
de savoir sur quel terrain les données personnelles sont protégées : sont-elles protégées en elle-
même en tant que droit fondamental, ou pour leur intérêt économique dans le marché intérieur ?
Il est possible de démontrer une tentative d’autonomisation du droit des données personnelles
par rapport au principe de libre circulation.
La directive de 1995 sur « la protection des personnes physiques à l’égard du traitement
des données à caractère personnel et à la libre circulation des données » a mis en tension la libre
circulation et le droit des données personnelles201. En effet, la directive de 1995 a été adoptée
sur le fondement de l’article 100 (aujourd’hui article 94) du traité sur l’harmonisation des
législations en vue de l’achèvement du marché intérieur202. L’objectif de cette directive était
d’encadrer la libre circulation des données dans le marché intérieur avant d’assurer leur
protection.
De la même manière, l’évolution des considérations autour de la libre circulation et du
droit des données personnelles se retrouve dans les visas du projet de règlement de 2012 et du
règlement européen 2016/679203. La proposition de règlement mentionne dans son visa l’article
16 du TFUE sur les données personnelles, ainsi que l’article 114 sur l’harmonisation des
200 Turgis, supra note 179, à la p 18. 201CE, Directive (CE) n°95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, supra à la note 30.202 Rochfeld, supra note 32. 203UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données [2016], JOUE, L 119, 4.5.2016, supra note 28.
50
législations dans le marché intérieur. Étonnement le texte du règlement européen de 2016 n’a
choisi de ne garder que l’article 16. Cela démontre-t-il une autonomisation du droit des données
personnelles, qui aurait pour fondement de la protection du droit en lui-même et non plus dans
un intérêt de libre circulation ? Le règlement porte en tout cas selon Isabelle Falque-Pierrotin
un message politique de l’Europe qui consiste à mettre en avant le « collectif de valeurs »
européen et de le porter dans l’univers numérique204.
Une tentative d’influence des États tiers par la consécration du droit des données personnelles
Le Conseil National du Numérique, dans un rapport du 7 mai 2013 préconisait d’utiliser les
valeurs de l’Union européenne comme « leviers essentiels à la construction d’une stratégie de
négociation sur le volet numérique »205. Pour Annie Blandin, le régime européen des données
personnelles constitue un espace européen, interne et externe, capable d’influencer les États au-
delà de l’espace européen :
Au-delà de ces espaces que l’on peut qualifier d’internes, le régime européen des données personnelles compose un espace externe dans le cadre des relations extérieures de l’Union européennes avec les pays tiers, espace qui résulte d’une volonté de projeter le modèle interne fondé sur un objectif de protection élevée tout en reconnaissant la diversité des dispositifs de protection206.
L’espace externe est construit des différents mécanismes de transfert des données
personnelles aux États tiers. Les exigences de protection élevée de ces mécanismes ont une
influence sur la protection des données. L’espace externe est un espace économique créé par
les mécanismes de transferts de données aux États tiers, composé de décision d’adéquation, du
Privacy Shield, des Binding Corporate Rules (BCR), mais aussi un espace de sécurité, avec la
directive PNR. La renégociation du niveau de protection avec le Privacy Shield et l’importance
donnée aux BCR dans le règlement européen n° 2016/679 montre une volonté de renforcer cet
espace externe préexistant, pour affirmer et appliquer un objectif de protection élevée dans les
États tiers. L’Union européenne utilise le transfert de données aux États tiers comme instrument
de sa souveraineté pour influencer le droit des données à caractère personnel dans les États-
204 Falque-Pierrotin, supra note 43. 205 Cattaruzza et al, supra note 13, à la p 104. 206 Blandin, supra note 196, à la p 145.
51
tiers. La directive européenne de 1995207 avait déjà eu cet effet d’influence, notamment au
Canada. La directive européenne de 1995 affirme le principe d’interdiction du transfert de
données personnelles à des pays qui n’assurent pas une protection équivalente. Suite à cette
directive, le Canada a dû adapter sa loi de protection des données personnelles, pour pouvoir
continuer les échanges de données personnelles avec les entreprises des États membres de
l’Union européenne. Cette adaptation a pris la forme de la loi canadienne sur la protection des
renseignements personnels et les documents électroniques (PIPEDA en anglais)208.
Cette volonté d’influence se retrouve aussi dans l’action du Parlement européen. Sandrine
Turgis montre un double mouvement du Conseil, important pour la souveraineté numérique, :
le premier est « l’importation des valeurs du Conseil de l’Europe à l’environnement en
ligne »209, tandis que le deuxième consiste en une « volonté d’exporter ces valeurs au-delà de
l’organisation européenne et de ses États membres »210. Internet est en effet un moyen pour
appliquer les droits de l’homme, mais aussi le lieu de nouvelles atteintes. La Convention prévoit
que les données doivent être traitées loyalement et licitement.
Peut-on relever une réelle influence de cette importance donnée au droit des données
personnelles dans le cadre européen ? Selon Céline Castets-Renard, « une nouvelle approche
de la vie privée aux États-Unis est en cours et se rapprocherait de la conception
européenne »211. Ce rapprochement passe par une influence doctrinale qui encourage une
convergence des systèmes212, ainsi que par des lois américaines renforçant la transparence, le
contrôle individuel, le droit à l’information, d’accès, de rectification et d’opposition213.
207CE, Directive (CE) 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, supra à la note 30.208 « PIPEDA was in fact inspired by the EU Privacy Directive and quite obviously uses the Directive as its paradigm » Gail Lasprogata, King Nancy J et Pillay Sukanya, « Regulation of Electronic Employee Monitoring: Identifying Fundamental Principles of Employee Privacy through a Comparative Study of Data Privacy Legislation in the European Union, United States and Canada » [2004] 4 Stan. Tech. L. Rev. 209 Turgis, supra note 179, 2016, à la p 19. 210 Ibid., à la p 19.211 Castets-Renard, supra note 185. 212 Voir notamment : Paul Schwartz et Danie Solove, « Reconciling Personal Information in the United States and European Union » (2014) 102:4 Calif Law Rev 877, DOI : doi:10.15779/Z38Z814. ; Steven C Bennett, « The “Right to Be Forgotten”: Reconciling EU and US Perspectives » (2012) 30:161 Berkeley J Int Law. ; L. Siry, Forget Me, Forget Me Not : reconciling two Different Paradigms of the Right to Be Forgotten, Kentucky, Law Journal, 2014-2015, p. 311. 213 Ces apports se retrouvent dans la loi sur la protection des données de consommation dans un contexte interconnecté ainsi que dans le projet de loi Data Brokers Accountability and Trasnparency Act, détaillés dans Castets-Renard, supra note 185.
52
De là, un véritable travail d’influence du droit des données personnelles étrangers peut être
révélé. Mais cette influence ne se fait pas seulement par le transfert des données personnelles
aux États tiers, ou par la promotion du droit par le Conseil de l’Europe, mais aussi par les
tentatives d’imposition extraterritoriale du droit européen, qui inspire indirectement d’autres
États, à l’instar du Canada.
Vers une influence de la vision européenne de la protection des données personnelles en ligne ?
Le cas du droit à l’oubli au Canada.
La décision Google Spain214, à l’origine du droit à « l’oubli numérique », ou droit au
déréférencement, a inséré un fossé intercontinental. Les commentateurs nord-américains ont
été surpris de ce droit, qui serait incompatible avec le principe de liberté d’expression
américain215. Cette surprise a été renforcée par la décision de la CNIL du 10 mars 2016
sanctionnant Google pour ne pas avoir déréférencé les liens mondialement mais seulement
localement216. Le droit au déréférencement, par sa perspective extraterritoriale, ne laisse pas les
auteurs étrangers indifférents217, et ce questionnement devrait s’accentuer avec la consécration
de ce droit à l’article 17 du règlement européen sur la protection des données personnelles.
La jurisprudence récente canadienne semble cependant témoigner d’une inspiration
européenne. Ainsi dans l’affaire Canada A.T. v. Globe24h.com218, la Cour fédérale a rendu un
jugement laissant la porte ouverte à la reconnaissance d’un droit à l’oubli au Canada. Dans cette
affaire, un individu se plaint qu’une décision publique le concernant et contenant ses
informations personnelles, publiée sur CanLII, soient reprises sur un site roumain,
Globe24h.com. Suite à la republication des décisions sur le site roumain, les décisions
apparaissent en haut des résultats de recherche lorsqu’on tape le nom de la personne. A.T. ne
se plaint pas de l’accessibilité des décisions, publiques, mais bien du fait qu’elles puissent être
retrouvées à la simple recherche de son nom sur un moteur, d’autant plus que Globe24h.com
republiait les décisions dans un but économique : le site faisait payer les demandes de
214Google Spain SL, Google Inc c Agencia Española de Protección de Datos (AEPD), Mario Costeja González, supra, note 40.215 Bennett, supra note 212. 216 Un article de Daniel A. Naadem peut ici être cité en exemple, reprochant à la CNIL d’ignorer les principes juridictionnels de base par la demande d’une application extraterritoriale : Daniel A Nadeem, « Territorial Limits to the European Union’s Right to be Forgotten: How the CNIL Ignores Jurisdictional Basics in Its March 10, 2016 Decision Against Google » (2017) 8:2 Creighton Int Comp Law J, à la p 182. 217 Voir aussi les auteurs qui proposent une convergence des droits européens et américains, ou une inspiration pour le Canada, supra note 212. 218 AT v Globe24h.com, 2017, FC, 114.
53
suppression des décisions du contenu site pour que l’information ne soit plus aussi facilement
trouvable. Le juge Mosley, qui cite l’arrêt Google Spain219 dans son raisonnement au
paragraphe 84, condamne le site Globe24h.com. Le juge, en connaissance du problème
d’application extraterritoriale à un site étranger condamne la violation de la loi canadienne sur
la protection des renseignements personnels et les documents électroniques, et mentionne que
cette condamnation permet au plaignant de demander à Google la désindexation du site
litigieux :
A declaration that the respondent has contravened PIPEDA, combined with a corrective order, would allow the applicant and other complainants to submit a request to Google or other search engines to remove links to decisions on Globe24h.com from their search results. (…) The OPCC220contends that this may be the most practical and effective way of mitigating the harm caused to individuals since the respondent is located in Romania with no known assets221.
La décision n’implique pas un déréférencement obligatoire, mais seulement la possibilité
pour le demandeur de soumettre une demande à Google, ce qui conduit à une grande différence
avec le droit au déréférencement européen. Cependant, la justification de l’extraterritorialité de
la loi canadienne dans cette décision, effectuée sur le fondement d’un autre arrêt, pourrait tracer
la voie vers un droit à l’oubli numérique plus proche de la conception européenne. En effet,
pour justifier cette application extraterritoriale l’arrêt s’appuie sur un arrêt d’une cour fédérale,
qui ne concerne pas la vie privée mais la propriété intellectuelle222. Cet arrêt de la cour fédérale
de la Colombie-Britannique demande à Google de déréférencer au niveau mondial un site
litigieux. L’ arrêt vient d’être confirmé de manière très récente par la Cour Suprême du Canada
le 28 juin 2017, dans une décision Google Inc v Equustek Solutions Inc 223. Si cette dernière
décision venait à être étendue du droit de la propriété intellectuelle au droit à la vie privée, un
droit à l’oubli numérique pourrait potentiellement se dessiner. La solution des deux arrêts, à
savoir la condamnation d’un site pour la publication d’une information exacte et légitime d’une
part, couplée à la possibilité de demander à Google un déréférencement au niveau mondial d’un
site d’autre part, pourrait-il ouvrir la porte à un possible droit à l’oubli canadien ?
219Google Spain SL, Google Inc c Agencia Española de Protección de Datos (AEPD), Mario Costeja González, supra, note 40.220 Office of the Privacy Commissionner of Canada (Commissariat à la protection de la vie privée du Canada). 221 AT v Globe24h.com, supra note 218, paragraphe 88. 222 Equustek Solutions Inc v Google Inc, 2015, BCCA, 265. 223 Google Inc v Equustek Solutions Inc, 2017 SCC, 34.
54
Si la réponse n’est pas évidente, puisque ce droit « à l’oubli numérique » n’a pas été
consacré en tant que tel par une solution jurisprudentielle, l’influence du droit européen semble
indéniable, rééquilibrant la balance entre liberté d’expression et protection de la vie privée en
faveur de cette dernière. La question de l’application d’un droit à l’oubli est en effet critiquée
pour son atteinte à la liberté d’expression, notamment par l’Electronic Frontier Foundation,
qui y voit une censure d’Internet224.
Surtout la décision de la Cour Suprême Google Inc v Equustek Solutions Inc conforte
la conception européenne d’Internet comme un territoire mondial, dans lequel la suppression
d’informations ne peut différer d’un État à un autre : « The Internet has no borders – its natural
habitat is global. The only way to ensure that the interlocutory injunction attains its objective
was to have it apply where Google operates – globally » 225.
La nature mondiale du réseau oblige le Canada comme l’Europe à réfléchir à la question
de l’omniprésence des informations en ligne226. Dans cette réflexion, l’Union européenne
semble avoir apporté une contribution importante avec le droit au déréférencement, qui oblige
les autres États à le considérer. La reconnaissance d’un droit au déréférencement par une
entreprise américaine sur le sol européen interroge les associations et les utilisateurs américains
sur la raison pour laquelle ce droit ne serait pas disponible aux États-Unis227.
Sans faire basculer les législations et les juridictions étrangères, les législations et
décisions européennes paraissent les influencer. Cette influence est la marque de la promotion
des valeurs du droit des données personnelles de l’Union européenne dans le monde numérique.
L’influence européenne dans le monde numérique sert la souveraineté numérique et favorise la
volonté d’indépendance numérique régionale, face à l’omniprésence d’acteurs dominants du
numérique.
Pour exercer son influence dans l’univers global que constitue le numérique, les discours
sur la souveraineté numérique recommandent une adaptation du droit des données personnelles
en réseau, au niveau européen.
224 https://www.eff.org/deeplinks/2017/06/top-canadian-court-permits-worldwide-internet-censorship (consulté le 5 mai 2017). 225 Google Inc v Equustek Solutions Inc, supra note 223. 226 Geneviève Saint-Laurent, « Vie privée et “droit à l’oubli” : que fait le Canada ? » (2015) 66 U. N. B. L. J., à la p 196. 227 Olivia Tambou, « Protection des données personnelles : les difficultés de la mise en oeuvre du droit européen au déréférencement » (2016) 2 RTDE, à la p 249.
55
B) L’organisation réticulaire à l’échelon européen proposée pour appliquer la souveraineté
numérique
La souveraineté numérique propose une organisation réticulaire du droit, qui conduirait à
une meilleure application de celui-ci. Le système français du droit des données personnelles,
par son organisation et ses modifications législatives récentes semble montrer la voie de ce que
serait un réseau normatif, par la décentralisation de l’État au profit des autorités de protection
des données ainsi que des individus (1.). Cependant, l’effectivité de ce réseau ne peut être
totalement assurée pour les tenants de la souveraineté numérique au niveau national, et
nécessite de porter cette souveraineté numérique au niveau européen (2.)
1. La décentralisation du droit des données personnelles pour une meilleure régulation
dans l’univers numérique
La mise en réseau du droit est apportée pour mettre en place une régulation du numérique
au service d’un objectif d’efficacité. La souveraineté numérique supposerait une
décentralisation du droit, qui se traduirait dans le droit des données personnelles par une
délégation de pouvoir aux autorités de protection des données personnelles, ainsi qu’un renfort
des souverainetés individuelles.
Une régulation du numérique en réseau au service d’un objectif d’efficacité
Une organisation réticulaire de l’État semblerait aller à contre-courant de la conception
classique de la souveraineté, qui serait l’instrument d’un pouvoir unique et centralisé. La
souveraineté a pourtant connu au cours du 20e siècle de nombreuses évolutions, transformant
le rôle de l’État, qui est passé de l’État de puissance publique, à l’État de service (avec l’État
providence), jusqu’à l’État « d’entremise »228. Avec la mondialisation, la souveraineté de l’État
est en transition229, et l’État tend à devenir un sujet juridique comme les autres.
Cette transition de l’État est accentuée par le numérique, qui contribue à structurer la société
en réseau : « On peut noter que le recours aux technologies de l’information, en facilitant la
coordination des flux informationnels a ouvert la voie aux réseaux comme stratégie dominante
228 Ost et Kerchove, supra note 80 aux pp 142 à 145. 229 Ibid. à la p 154.
56
pour l’organisation de l’économie, de la gouvernance et le développement des nouveaux
mouvements sociaux »230. Ainsi le numérique, lui-même de nature réticulaire, conduit à une
adaptation en réseau du droit pour que la norme garde son efficience. Il en va ainsi du droit des
données personnelles qui semble déjà donner une part de plus en plus importante à l’individu.
La mise en réseau du droit se fait pour une meilleure efficacité, une meilleure garantie de
la protection des citoyens. Comme le dit bien Charlotte Roques-Bonnet « le droit se colore d’un
existentialisme sartrien : la garantie du droit précéderait de sa légitimité »231. Le but de la
décentralisation de la souveraineté étatique est l’efficacité de l’application du droit, qui prime
sur sa légitimité.
Avec cette mutation du rôle de l’État, l’application du droit au numérique prend de plus en
plus la forme d’une régulation en lieu et place d’une législation et d’une réglementation232. La
régulation est « une manière de gestion souple et évolutive d’un ensemble indéfini de données
en quête d’un équilibre au moins provisoire »233. Il s’opère en effet « un transfert de
compétence de l’État vers la société civile dans la fabrication de la norme »234. Ce transfert de
compétences, qui porte l’objectif d’une meilleure régulation d’Internet, se fait envers diverses
parties. La régulation a en effet recours « à des institutions originales »,235 « des procédés para-
juridiques »236, un « appel à la collaboration des diverses parties intéressées »237. En droit des
données personnelles ces diverses parties seraient les autorités de protection et de contrôle des
données personnelles, en France la CNIL, et les individus.
Ainsi l’organisation de la protection du droit des données personnelles, sous l’influence du
numérique tend à prendre la forme d’une régulation en réseau, pour atteindre l’objectif
d’efficacité du droit. Cette régulation en réseau, qui vient répondre à un objectif de souveraineté
numérique, vient renforcer les autorités indépendantes et les souverainetés individuelles.
230 Benyekhlef et al, supra note 99, à la p 721.231 Roques-Bonnet, supra note 82 à la p 64. 232 Ost et Kerchove, supra note 80, à la p 26. 233 Ibid., à la p 26. 234 Agnès Robin, Rapport de synthèse, dans Sylvain Chatry (dir.), La régulation d’Internet - Regards croisés de droit de la concurrence et de droit de la propriété intellectuelle, supra note 108,, à la p 177. 235 JurisClasseur Administratif, Fasc n° 274-12, « Nouvelle technologies de communication. Internet, télématique. » par Jean-Louis Autin et Pascale Idoux, cité dans Agnès Robin, supra note 108. 236 Ibid. 237 Ibid.
57
La décentralisation de l’État au profit des autorités administratives indépendantes : l’exemple
de la CNIL
Dans une logique de décentralisation, l’État tend à déléguer ses missions de manière
sectorielle à des autorités indépendantes. La montée en puissance des autorités administratives
indépendantes vient confirmer « l’évolution générale de la régulation économique qui a
progressivement dépossédé le gouvernement de son pouvoir pour le transférer à des autorités
indépendantes »238. Ceci est la marque d’un changement de culture administrative, une
« mutation du rôle joué par les autorités publiques, lesquelles ne se définissent plus seulement
comme des pouvoirs publics mais aussi comme des partenaires publics »239. Ces autorités
indépendantes ne sont de toute évidence pas souveraines, elles n’ont pas d’intérêt personnel
pour elles-mêmes à appliquer le droit des données personnelles. Alors qu’on parle aisément de
souveraineté individuelle, une souveraineté des autorités administratives indépendantes ne fait
pas sens, puisque que ces autorités n’ont de sens qu’en application de l’action de l’État. En
d’autres termes, ces autorités indépendantes font partie d’un mécanisme global de souveraineté
numérique. Il serait rapide d’affirmer que les autorités administratives ne seraient que des faux-
nez de la souveraineté de l’État, servant son application. Leur rôle est plus complexe, puisque
ces autorités, par ailleurs indépendantes, visent souvent à renforcer les autres souverainetés,
comme celles des individus.
En réalité les autorités administratives indépendantes jouent pleinement un rôle
d’interaction avec tous les acteurs du secteur. Pour Charlotte Roques-Bonnet, « les AAI sont le
pivot institutionnel et normatif entre le marché et le droit, entre les lois du marché et les lois de
l’État »240. Le rôle de l’autorité administrative indépendante comme pivot institutionnel et
normatif explique son importance en tant que rouage essentiel d’un mécanisme de souveraineté
numérique. Pour en revenir au réseau, il est un nœud majeur, en interaction avec tous les acteurs
du secteur concerné.
En ce qui concerne le droit des données personnelles la Commission nationale de
l’Informatique et des Libertés, créée par la loi Informatique et Libertés du 6 janvier 1978241,
238 Marie-Anne Frison-Roche, J Chevalier (dir.), Internet et nos fondamentaux, Paris, PUF à la p 51, citée dans Roques-Bonnet, supra note 82 à la p 64 . 239 Roques-Bonnet, supra note 82 à la p 53. 240 Ibid., aux pp 64-65. 241Loi 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, supra note 27, à l’article 2.
58
constitue un excellent exemple. L’article 11 de la Loi Informatique et Libertés242 lui confie
quatre missions : l’information de toutes les personnes concernées et de tous les responsables
de traitement de leurs droits et de leurs obligations, la veille de l’application conforme du droit
des données personnelles, elle conseille et avise les responsables de traitement sur leur
conformité à la loi, et veille à l’évolution technologique et son impact sur l’identité humaine,
les droits de l’homme, la vie privée et les libertés individuelles et publiques.
Ce développement ne vise pas à faire un historique de la CNIL ou de détailler ses missions,
mais de bien comprendre comment l’organisation de la CNIL s’inscrit naturellement dans une
logique de droit en réseau, et en fait un mécanisme de souveraineté numérique.
La CNIL joue pleinement son rôle de pivot institutionnel et normatif. Elle dispose d’un
pouvoir règlementaire. Par sa compétence technique et spécialisée elle vient prendre la place
déléguée par l’État pour appliquer son pouvoir, puisque « nos représentants légitimes n’ont
plus forcément la compétence technique pour dire le « droit en réseau » »243. En outre les
délibérations de la CNIL sont des normes contraignantes de valeurs règlementaires244. Au-delà
des délibérations, la CNIL a su créer par sa spécialisation technique un véritable « corps de
doctrine »245 à travers à travers tous les décisions, avis ou autorisation qu’elle a émis. Selon
Céline Bloud-Rey, ce corps de doctrine est la raison de la place prépondérante de la CNIL, bien
au-delà des sanctions qu’elle a pu rendre246, ce qui en fait un instrument typique de « puissance
normative », comme il sera vu dans les développements à venir.
La CNIL, en plus de se voir déléguer un pouvoir règlementaire par l’État, semble vérifier
le critère d’interaction de la souveraineté numérique. Ces interactions, qui font de la CNIL un
véritable acteur de la corégulation, sont permises par le niveau auquel l’autorité agit. Ses
interdépendances existent dans ses missions mêmes, mais se sont aussi trouvées renforcées dans
la loi République Numérique247. Ainsi le lien de la CNIL avec le pouvoir exécutif est évident
puisque la CNIL émet des avis sur les projets règlementaires, qui lui permettent de jouer « un
rôle essentiel de conseil et d’information auprès du gouvernement et des administrations
242Loi 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, supra note 27 à l’article 11 243 Roques-Bonnet, supra note 82, à la p 63. 244 Ibid. à la p 66. 245 Céline Bloud-Rey, « Quelle place pour l’action de la CNIL et du juge judiciaire dans le système de protection des données personnelles ? Analyse et perspectives » (2013) 42 D. 2795‑2801. 246 Ibid. 247Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, JO, 8 octobre 2016, supra note 49.
59
publiques »248. Cependant, l’indépendance de la CNIL est un élément majeur du système de
protection des données personnelles, qui lui a permis de prendre du pouvoir et de ne plus
contrôler seulement les fichiers publics mais de devenir un régulateur assumé du secteur privé.
Cette mission de conseil a été renforcée par la loi République Numérique qui rend indispensable
l’avis de la Commission sur toute disposition en lien avec la protection des données249.
Par les pouvoirs délégués par l’État la CNIL devient un régulateur du secteur privé. Cela se
fait en premier lieu dans le cadre de ses missions d’information, et de conseil des responsables
de traitement pour les mettre en conformité avec la loi. Cela se fait en second lieu par son
pouvoir de contrôle et de sanction, élargi par la loi du 6 août 2004, qui conduit la CNIL à
prononcer ses premières sanctions pécuniaires250. La récente loi République Numérique est
venue renforcer l’action de la CNIL comme régulateur du secteur privé en renforçant ses
pouvoirs de sanctions, en élevant notamment le maximum de l’amende à 3 millions d’euros251.
Enfin il peut être noté que la CNIL n’a pas seulement un rôle majeur nationalement, mais
aussi au niveau européen, avec le groupe de l’article 29, le rassemblement des autorités
européennes de contrôle. En pouvant jouer un rôle au niveau européen, elle répond une fois de
plus aux critères d’une souveraineté numérique européenne.
Par l’ensemble de ses interactions, avec l’État et le secteur privé mais aussi avec le groupe
de l’article 29, la CNIL semble bien être un pivot institutionnel et normatif qui organise la
corégulation du droit des données personnelles.
En plus du rôle indispensable des autorités de protection et de contrôle des données
personnelles, la souveraineté numérique vise à renforcer la souveraineté individuelle, en faisant
de l’individu un acteur de l’utilisation de ses données.
L’individu, acteur de l’utilisation de ses données
La souveraineté individuelle, composante de la souveraineté numérique, s’est
consolidée ces dernières années autour du principe d’autodétermination informationnelle, qui
fait de l’individu un acteur du contrôle de l’usage de ses données.
248 Roques-Bonnet, supra note 82, aux pp 67-68. 249 Thomas Dautieu et Émile Gabrié, « Analyse de l’apport de la loi pour une République numérique à la protection des données à caractère personnel (2e partie) . - Les droits des personnes et les missions et pouvoirs de la CNIL » [2017] 1 CCE. 250 Roques-Bonnet, supra note 82, aux pp 66-67. 251 Dautieu et Gabrié, supra note 249.
60
Le rapport du Conseil d’État sur « Le numérique et les droits fondamentaux » demande
de « mettre le numérique au service des droits individuels »252. Il recommande un droit à
l’autodétermination informationnelle. Ce droit à l’autodétermination informationnelle est créé
dans la loi République Numérique. Ce droit est un droit personnaliste, qui entend, d’après la
définition du Conseil d’État, « garantir en principe la capacité de l’individu à décider de la
communication et de l’utilisation de ses données à caractère personnel »253.
L’article 54 de la République Numérique consacre ce principe d’autodétermination
informationnelle, et lui attribue des droits pour le mettre en œuvre. Il consacre ce principe en
ajoutant un deuxième alinéa à l’article 1er de la loi Informatique et Libertés : « Toute personne
dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère
personnel la concernant, dans les conditions fixées par la présente loi. »254. Le droit à
l’autodétermination informationnelle, en consacrant un usage, se sépare d’une conception
propriétaire des données personnelles255, qui représenterait un danger pour de nombreux
auteurs256. Ce principe d’autodétermination informationnelle n’a pas de portée pratique, mais
constitue un symbole. Il est une « clé de lecture de l’ensemble des dispositions générales
applicables au traitement des données à caractère personnel »257. C’est en raison de ce statut
de principe que la loi République Numérique l’accompagne d’instruments juridiques qui
peuvent lui donner toute sa matérialité.
Tous ces instruments juridiques portent des implications complexes qui ne seront pas
ici développées. Leur mention sert cependant à comprendre comment les droits des individus
sont renforcés sous le principe de l’autodétermination informationnelle, et comment ce
renforcement est à l’origine d’une souveraineté individuelle qui s’inscrit dans la souveraineté
numérique. Parmi ces instruments qui visent à renforcer le contrôle de l’individu sur ses
données se trouvent les droits classiques d’accès, de rectification et d’opposition, ainsi que de
nouveaux droits, apporté par la loi République Numérique, comme le droit à la récupération et
à la portabilité des données. Ces nouveaux droits doivent permettre au consommateur de
252 Jean-Marc Sauvé (dir), Le numérique et les droits fondamentaux, coll Les rapports du Conseil d’État, Conseil d’État, 2014, à la p 2. 253 Ibid., à la p 26. 254 Article 1er de la Loi 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, supra note 27. 255 Dautieu et Gabrié, supra note 249. 256 Voir notamment Rochfeld, supra note 32. ; Nicolas Ochoa, « Pour en finir avec l’idée d’un droit de propriété sur ses données personnelles : ce que cache véritablement le principe de libre disposition » [2016] 6 RFDA, à la p 1157. 257 Dautieu et Gabrié, supra note 249.
61
récupérer l’ensemble de ses données stockées chez un fournisseur de service et de pouvoir en
opérer le transfert vers un autre. Cet article se positionnait en avance par rapport au règlement,
et y renvoie parfois, notamment sur la question de l’application de ces droits258. D’autres droits
peuvent être mentionnés, qui partagent cet objectif de donner à l’individu le contrôle sur
l’utilisation de ses données, comme la création d’un droit à l’oubli pour les mineurs (article 63),
et la mort juridique (article 40-1). Les dispositions sur la mort numérique permettent à
l’individu de décider du devenir de ses données personnelles en ligne par des directives
anticipées259. Enfin, il peut être noté au-delà de l’individu, que la loi n°2016-1547 du 18
novembre 2016 pour une modernisation de la justice260 a ouvert la possibilité d’actions de
groupes en matière de données personnelles, mais limitées à certaines associations et à la
cessation du manquement.
La loi République Numérique était déjà originale quant à la place laissée à l’individu
par sa rédaction en consultation publique en ligne avec les citoyens. Malgré la critique de cette
consultation, dans laquelle on ne peut voir qu’un simple effet d’image, il est possible d’y voir
le signe d’une volonté d’impliquer les citoyens, dans laquelle on peut retrouver une image de
« législateur scribe »261.
La souveraineté numérique dans le domaine des données personnelles peut donc se
percevoir comme une organisation en réseau où l’État transfère ses pouvoirs en consolidant les
souverainetés individuelles et les capacités des autorités de contrôle. Les autorités de contrôle
deviennent ainsi le rouage essentiel de cette souveraineté numérique, tandis que les droits des
individus sont renforcés pour favoriser leur contrôle sur l’utilisation de leurs données en ligne.
Le renfort de ces deux acteurs par les dispositions du règlement européen sera un élément
d’analyse pour conclure à l’existence d’une volonté de souveraineté numérique dans le texte
européen.
258 Dautieu et Gabrié, supra note 249.259 Ibid. 260 Loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle, JO, 19 novembre 2016 261 Lê-My Duong, « Les sources du droit d’internet : du modèle pyramidal au modèle en réseau » (2010) 13 D. à la p 783.
62
2. Une souveraineté numérique à l’échelon européen
L’Union européenne, échelon de la souveraineté numérique grâce à sa « puissance normative »
L’Union européenne semble être le bon échelon d’application de la souveraineté
numérique en raison de sa puissance normative, mais aussi parce que son mode d’organisation
est lui-même propice à une organisation en réseau.
L’Union semble tout d’abord être le bon échelon de la souveraineté numérique au niveau
économique, en raison de la taille du marché intérieur, au sein duquel les données personnelles
sont une véritable manne financière. Cette manne financière est estimée à plusieurs milliards
d’euros pour le marché des données personnelles262. En ce qui concerne les services
numériques, l’Union européenne est le premier marché importateur en 2011 et le premier
exportateur des États-Unis263. L’Union semble ensuite être le meilleur échelon pour promouvoir
les valeurs européennes, ce qui a été étudié précédemment264. Enfin elle semble incarner le
meilleur échelon en ce qui concerne le domaine règlementaire, autrement dit sur le terrain du
droit.
L’Union européenne participe pleinement à la régulation du droit des données
personnelles. Elle a pour principal atout sa « puissance normative », matière de la souveraineté
numérique, qui s’illustre pour Alix Desforges dans l’arrêt Google Spain265 de la CJUE266. Pour
Zaki Laïdi, « une puissance normative est une puissance est donc une puissance dont l’identité
et la stratégie reposent sur une préférence pour les règles comportementales applicables »267.
L’Union européenne trouve sa souveraineté numérique dans cette puissance normative, qui lui
permet d’influencer les États tiers par une norme unifiée sur un marché européen. La norme lui
sert à « dévitaliser la souveraineté politique des États » membres, et cela « au profit d’un
modèle coopératif stable »268. On retrouve dans l’Union européenne les exigences de
coopération propre à la souveraineté numérique. La souveraineté des États est relativisée au
262 Desforges, supra note 126, à la p 84. 263 Ibid., à la p 84. 264 Cf. La souveraineté numérique comme promotion d’un droit et de ses valeurs, à la p 45. 265 Google Spain SL, Google Inc c Agencia Española de Protección de Datos (AEPD), Mario Costeja González, supra, note 40. 266 Desforges, supra note 126, à la p 84. 267 Zaki Laïdi, La norme sans la force : l’énigme de la puissance européenne, coll Nouveaux débats, n°3, Paris, Presses de la fondation nationale des sciences politiques, 2005, aux pp 44-45. . 268Ibid. à la p 57.
63
profit d’une souveraineté transmise par la capacité à édicter le droit. C’est ici encore l’impératif
d’efficacité de l’application du droit qui prime.
L’Union européenne paraît la plus à même par sa construction originale d’être l’échelle
à laquelle la souveraineté numérique doit s’opérer. L’Union européenne est reconnue aussi bien
dans les théories du droit en réseau comme échelon d’action pertinent, que dans les volontés de
souveraineté numérique. L’Europe dispose par ailleurs, par son originalité de construction, de
toutes les qualités du réseau. Le livre blanc de la Commission européenne de 2001 sur la
gouvernance européenne illustre « la combinaison du paradigme du réseau, d’une part, et du
modèle pyramidal plus classique, d’autre part, avec cependant une nette prédominance du
premier »269. Se retrouve dans le mode d’organisation de la gouvernance européenne la
définition de la souveraineté numérique, à savoir l’enchevêtrement du modèle pyramidal
positiviste et du modèle réticulaire.
Or, c’est peut-être au niveau européen que cet enchevêtrement fonctionne le mieux. La
structure de l’Union européenne est moins hiérarchisée et privilégie la coordination entre les
États et les instances : « Tout se passe comme si, dans ces situations de polysystémie simultanée,
marquées par l’intrication des pouvoirs et l’enchevêtrement des normes, l’impératif fonctionnel
de la coordination l’emportait sur l’exigence logique de hiérarchisation. ». L’Union est le lieu
de l’interaction entre les acteurs, prônée par la souveraineté numérique, grâce à un système de
coordination complexe mais efficace.
Ce modèle de coopération souple est visible dans le droit des données personnelles, qui
associe de nombreux acteurs, dont les autorités de contrôle national et le contrôleur européen à
la protection des données (CEPD), coopération qui met en place un système « d’interrégulation
multiniveau »270 du droit des données personnelles. Cette interrégulation multiniveau, favorisée
par l’article 16 du TFUE271, paraît se rapprocher de la conception en réseau du droit de l’Union
européenne, par la pluralité d’acteurs qui agissent sur l’élaboration du droit des données
personnelles au niveau européen.
L’Union européenne peut ainsi devenir le véritable échelon d’une souveraineté
numérique. Elle paraît capable d’affirmer une souveraineté sur le numérique tout en adoptant
269 Ost et Kerchove, supra note 80 à la p 32. 270 Olivia Tambou, « L’émergence d’un modèle européen d’interrégulation en matière de protection des données personnelles » dans Liber amicorum en l’honneur du Professeur Joël Monéger, Lexis Nexis, 2017, 600. 271 Ibid.
64
la structure du réseau. Comme François Ost et Kerchove l’indiquent, avec l’Union Européenne,
« la souveraineté peut être relative sans disparaître pour autant » et « l’autonomie, enfin, peut
se concilier avec l’interdépendance »272. L’Union européenne par la taille de son organisation
réticulaire est paradoxalement susceptible de donner une orientation à l’application du droit des
données personnelles sur le numérique, grâce à son pouvoir d’application plus important
conféré par sa puissance normative. L’autonomie et interdépendance pourraient ainsi se
concilier lorsque le réseau normatif est hissé au niveau le plus élevé possible.
Cette capacité à accueillir la souveraineté numérique doit s’accompagner d’une volonté de
la réaliser au niveau européen.
La volonté d’exercer la souveraineté numérique sur le droit des données personnelles au niveau
de l’Union européenne
Pour que l’application de la souveraineté numérique soit effective, il faut qu’il existe une
volonté de transférer cette souveraineté numérique à l’Union européenne.
Cette volonté d’une souveraineté numérique européenne se retrouve tout d’abord dans un
rapport sénatorial français de 2013, qui présente la souveraineté numérique comme « un objectif
politique pour l’Europe »273. Cet objectif est suivi d’une série de proposition pour construire
cette ambition au niveau européen. Parmi celles-ci, certaines visent à créer des institutions
uniques pour appréhender la transversalité du numérique (formation numérique au Conseil de
l’Union, comité consultatif européen du numérique). Cet objectif politique nécessite aussi « de
donner à l’Union européenne les moyens de garder la maîtrise de ses données, élément de
protection des citoyens »274.
L’Union européenne témoigne elle-même d’une volonté de retrouver sa souveraineté
numérique dans le cadre de l’instauration du marché unique numérique. Cela est tout d’abord
visible dans des tribunes de l’ancienne présidente de la Commission Européenne, Viviane
Reding, qui plaide pour un « marché unique achevé »275 et « une souveraineté numérique
retrouvée »276.
272 Ost et Kerchove, supra note 80, à la p 76.273 Morin-Dessailly, supra note 21, à la p 67. 274 Ibid., à la p 71. 275 Reding, supra note 68. 276 Ibid.
65
Cette volonté transparaît ensuite dans le lancement de la stratégie unique numérique. Celle-
ci est initiée par l’Union européenne en 2010 avec pour objectif de concrétiser un marché
unique numérique. La communication de la Commission prend notamment en compte la
nécessité d’une stratégie numérique pour la préservation des droits fondamentaux des
Européens, la protection des données personnelles et la vie privée. Ce marché unique numérique
se comprend comme un « espace où les particuliers et les entreprises peuvent se livrer à leurs
activités en ligne, sans aucune considération de nationalité, et dans un cadre où la concurrence
serait loyale, les données personnelles protégées et les intérêts des consommateurs
sauvegardées »277. Le 6 mai 2015 la Commission adopte son plan d’action pour établir ce
marché unique numérique278. Cette stratégie propose de restaurer la confiance dans les services
numériques et le traitement des données personnelles. En effet, suite aux révélations sur la
surveillance généralisée, ce travail de restauration de la confiance permet à l’UE d’affirmer sa
position sur le numérique et d’accroître l’attractivité de son projet de marché unique doté d’un
cadre juridique protecteur et fort.
En premier lieu, il faut noter que la restauration de cette confiance se fait dans un cadre
économique. L’établissement d’une souveraineté numérique passe pour la Commission
européenne par le renforcement économique du marché. Un marché à l’échelle européenne dans
laquelle la protection des données personnelles est unifiée consoliderait l’attractivité de l’Union
européenne, qui serait alors capable d’influencer les États-tiers.
En deuxième lieu cette érosion de la confiance conduirait à une plus grande attractivité de
l’Union européenne pour les entreprises du numérique. Une coopération entre ces dernières et
l’Union européenne semble d’ailleurs émerger. Selon Alix Desforges, c’est ce qui ressort du
comportement des entreprises face à la crainte d’une perte de confiance des utilisateurs
européens. Cela est particulièrement visible dans l’affaire Microsoft v United States of
America279, dans laquelle le gouvernement américain demandait à Microsoft l’accès au contenu
de courriels hébergés en Irlande. Microsoft mentionne sa crainte de l’érosion de la confiance
des utilisateurs européens pour justifier en partie son refus de donner accès à ces courriels,
argument repris par le juge Gerard E. Lynch280.
277 Florence Meuris, « Vers un marché européen du numérique » (2015) 6 CCE, à la p 2. 278 Communication de la Commission européenne, Stratégie pour un marché unique numérique en Europe, 6 mai 2015. 279 Microsoft v United States, supra note 139. 280 « the case might present a troubling prospect from an international perspective: the Irish government and the European Union would have a considerable grievance if the United States sought to obtain the emails of an Irish national, stored in Ireland » Ibid. à la p 15.
66
La volonté de souveraineté numérique de l’Union européenne ne se perçoit pas seulement
au niveau législatif et règlementaire, mais aussi au niveau juridictionnel. La Cour de justice de
l’Union européenne, peut se voir, au travers de ses dernières décisions comme un élément clé
de la souveraineté numérique de l’Union européenne, de sa capacité à faire appliquer la norme
voulue, ainsi que de son rôle essentiel dans la régulation, entre économie et vie privée, droit à
la protection des données personnelles et liberté de circulation de ces données281. Deux affaires
démontrent cette volonté de retrouver cette capacité de contrôle sur la protection des données
par la Cour de justice de l’Union Européenne, les biens connues affaires Schrems282 et Google
Spain283.
L’affaire Maximilian Schrems / Data Protection Commissioner du 6 octobre 2015, avait vu
un citoyen autrichien déposer plainte contre Facebook auprès de l’autorité irlandaise de contrôle
sous prétexte que, suite aux révélations d’Edward Snowden, les États-Unis n’assuraient plus un
niveau de protection équivalent des données personnelles. La Cour a conclu à l’invalidation du
Safe Harbor, accord qui permettait l’échange de données entre l’Union européenne et les États-
Unis. Cette affaire est intéressante au point de vue de la capacité d’application de la puissance
normative de plusieurs points de vue. Tout d’abord, la Cour se positionne comme véritable
gardien des données personnelles des citoyens européens en choisissant d’invalider un accord
de la Commission européenne comme portant atteinte au droit fondamental à la vie privée, ainsi
qu’au droit à une protection juridictionnelle effective. Cet arrêt a ensuite un intérêt en terme de
souveraineté numérique en rappelant l’indépendances des autorités nationales de contrôle qui
ont la compétence d’examiner si un transfert de données respecte les exigences posées par la
directive. La décision renforce ainsi les pouvoirs des autorités de contrôle des données, qui se
voient aussi accordées dans le Privacy Shield, l’accord renégocié après l’invalidation du Safe
Harbor, une possibilité de transmettre des plaintes au département du commerce américain et à
la Federal Trade Commission (FTC). Cet arrêt a fait grand bruit par la volonté de la CJUE de
se positionner clairement sur l’invalidation d’un accord important. Il a aussi pour effet en terme
de souveraineté numérique de confirmer l’indépendance des autorités de contrôle, qui doivent
assumer leur rôle de contrôle des transferts, même en cas d’accord de transfert de la
Commission.
281 Romain Perray, « Arrêt Schrems : Cour(s) magistral(e) de droit à la protection des données personnelles » (2015) 12 CCE, à la p 9. 282 Maximilian Schrems c Data Protection Commissioner, supra, note 46. 283 Google Spain SL, Google Inc c Agencia Española de Protección de Datos (AEPD), Mario Costeja González, supra, note 40.
67
L’affaire Google Spain284 sur le droit au déréférencement, qui a déjà été plusieurs fois
abordée au sein de ce travail, intéresse sur la capacité juridictionnelle d’appliquer un droit
extraterritorial. Plus particulièrement cette affaire est l’illustration de l’enchevêtrement de
normes et de l’action de différents acteurs. L’évolution du critère extraterritorial du droit au
déréférencement est marquée par l’intervention de plusieurs acteurs, aussi bien la CJUE, le
groupe de l’article 29, les autorités de contrôle nationale, ainsi que Google. Ce qui est en cause
est ici le droit au déréférencement global, sur lequel la CJUE ne s’est pas prononcée. La CNIL,
pour réclamer de Google un déréférencement global, fait preuve d’une « lecture créative de
l’arrêt de la CJUE »285 ainsi que d’une interprétation des lignes directrices du Groupe de
l’article 29 sur la mise en œuvre du droit à l’oubli. Cette lecture créative repose sur l’unité
juridique de Google. Là encore, l’importance des autorités de contrôle dans la création du droit
se doit d’être notée, aussi bien au niveau des lignes directrices émises par le Groupe de l’article
29, que dans la mise en demeure de la CNIL. Confronté au contentieux entre la CNIL et Google,
le Conseil d’État a pris la décision de transmettre des questions préjudicielles à la CJUE, pour
préciser l’application territoriale de ce droit. La première question demande si l’arrêt Google
Spain286 doit être interprété comme impliquant un déréférencement global dans l’application
du droit à l’oubli, la deuxième demande si, en cas de réponse négative à la première, le
déréférencement doit être national ou européen (avec un déréférencement sur toutes les
extensions nationales de Google au niveau des États de l’Union européenne), et la troisième
porte sur la licéité des techniques de géoblocage dans l’application du droit au déréférencement.
La réponse à ces questions par la CJUE témoignerait ou non d’une volonté de souveraineté
numérique liée directement à sa capacité à appliquer son droit de manière extraterritoriale.
L’uniformisation européenne du droit au déréférencement, aussi bien dans ses critères que
dans sa capacité d’application extraterritoriale, pourrait devenir le mètre étalon de la
souveraineté numérique européenne.
Ces deux arrêts illustrent bien la volonté de souveraineté numérique des arrêts de la Cour
de Justice de l’Union européenne, ainsi que l’importance des autorités de contrôle dans la
protection des données personnelles au niveau européen.
284Google Spain SL, Google Inc c Agencia Española de Protección de Datos (AEPD), Mario Costeja González, supra, note 40.285 Tambou, supra note 227. 286Google Spain SL, Google Inc c Agencia Española de Protección de Datos (AEPD), Mario Costeja González, supra, note 40.
68
Il faut pourtant reconnaître que la mise en place d’une protection des données au niveau
européen ne va pas de soi pour les citoyens européens, puisque 45% d’entre eux souhaitent
transférer cette protection à l’Union contre 42% au niveau national. L’écart est plus grand en
France, plus européaniste en cette matière, puisque 62% des français souhaitent transférer cette
protection au niveau européen, contre 27% au niveau national287.
En outre, le transfert de souveraineté vers l’Union européenne dans une logique de
coopération doit être relativisé. Certains domaines de la souveraineté sont plus difficilement
transmissibles, en particulier celui de la sécurité. Les politiques de sécurité numérique
entraînent des législations étatiques divergentes, que ce soit sur la localisation des serveurs de
données, de « cloud souverain »288, ou encore les lois renforçant les capacités de surveillance
et de renseignements des États. Ces politiques nationales liées à la souveraineté entraînent une
fragmentation des législations qui peut être préjudiciable au développement économique289.
La souveraineté numérique se comprend finalement au niveau européen, en raison de
la puissance normative de l’Europe qui serait capable de transcender les défauts d’une
organisation réticulaire pour assurer une application de la norme, ainsi que par les volontés
législative, juridictionnelle, nationale et européenne de lui confier la régulation du numérique.
En conclusion, la souveraineté numérique offre une vision ordonnée de l’organisation de la
régulation du droit des données personnelles afin de l’orienter vers une meilleure efficacité. La
souveraineté numérique verrait en effet dans le droit des données personnelles la volonté d’une
indépendance numérique régionale, qui passerait par l’affirmation dans le cyberespace des
valeurs relatives au droit des données personnelles, face aux acteurs dominants du numérique.
Pour mettre en place cette indépendance la souveraineté numérique verrait une possibilité
d’organiser le droit des données personnelles en réseau au niveau européen. Cette nouvelle
organisation contribuerait à un transfert des pouvoirs de l’État vers des acteurs tiers, à l’instar
des autorités de contrôle et des individus. Pour que l’efficacité du droit ne s’étiole pas par ce
transfert, ce réseau devrait être élevé au niveau européen, qui aurait la capacité par sa taille et
sa puissance normative d’exercer la souveraineté numérique.
287 Data Protection - Report, Special Eurobarometer 431, European Commission, 2015 aux pp 47 à 50. 288 Desforges, supra note 126, à la p 88. 289 Ibid., à la p 88.
69
Surtout, cette volonté de souveraineté numérique au niveau européen semble pouvoir être
retrouvée dans le règlement européen du 27 avril 2016 Le projet de règlement européen en
matière de protection des données à caractère personnel pourrait devenir la première pierre à
l’édifice de cette puissance normative290. La protection des données, « socle de notre
souveraineté numérique »291 serait aussi un élément majeur de la construction du marché unique
numérique.
L’identification dans cette partie de la vision du droit des données personnelles que donne
la souveraineté numérique, permet de mieux analyser le règlement européen. À partir des
fondements vus dans cette partie, il est possible de chercher si le règlement européen s’applique
à cette vision et cherche à renforcer ces fondements. Cela conduit à étudier si la mise en réseau
est semblable, avec des renforcements des pouvoirs et des capacités d’interaction des acteurs
responsables de l’application du droit (à travers la consolidation des autorités de contrôle ou de
la souveraineté individuelle), ainsi que l’élévation du droit des données personnelles au niveau
européen pour une meilleure application dans le numérique.
290 Desforges, supra note 126, à la p 85. 291 Viviane Reding et Jan Philipp Albrecht, « Ne sacrifions pas la protection des données sur l’autel du libre-échange », La Tribune, en ligne : La Tribune <http://www.latribune.fr/opinions/tribunes/ne-sacrifions-pas-la-protection-des-donnees-sur-l-autel-du-libre-echange-649618.html> (consulté le 14 juin 2017).
70
Titre II L’application de la souveraineté numérique au droit des données
personnelles : l’exemple du règlement européen
Le règlement européen n° 2016/679 du 27 avril 2016292 relatif à la protection des
personnes physiques à l’égard du traitement des données à caractère personnel et à la libre
circulation de ces données vient mettre en place un système complexe et uniforme de
protection des données personnelles au niveau européen.
La mise en place de ce système, qui entrera en vigueur le 25 mai 2018, se fait en
raison de l’évolution exponentielle et imprévisible du numérique lorsque la directive
1995293 a été adoptée. Le règlement doit permettre de s’adapter aux nouveaux enjeux du
numérique.
Le règlement vient abroger la directive de 1995294, prise dans un contexte juridico-
économique à l’opposé du contexte actuel,
avec un grand rôle de l’État dans le domaine de la protection des droits fondamentaux en matière de protection des données, une surveillance importante laissée à la Commission, une part réduite accordée aux problématiques relatives à la circulation internationale des données, une gestion natio-centrée des questions liées à la protection des données295.
Ce contexte était à l’opposé des objectifs de la souveraineté numérique, qui compte
désinvestir l’État de ses missions au profit des autorités de régulation et des individus,
prendre en compte l’augmentation exponentielle des transferts internationaux, et délaisser
la régulation étatique pour la porter au niveau européen. Le règlement, en abrogeant la
directive vise à s’adapter au nouveau contexte international.
Le choix du règlement a pour objectif d’harmoniser la protection des données à
caractère personnel au niveau de l’Union. Le règlement, en abrogeant la directive de 1995
292 UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données [2016], JOUE, L 119, 4.5.2016, supra note 28. 293CE, Directive (CE) n°95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, supra à la note 30. 294 Ibid. 295 Jean-Luc Sauron, « Le règlement général sur la protection des données, règlement (UE) n° 2016/679 du 27 avril 2016 : de quoi est-il le signe ? » (2016) 9 CCE, à la p 13.
71
(qui avait été transposée de manière très disparate selon les États membres), désire
s’adapter aux nouveaux enjeux pour la protection des données à caractère personnel. Le
choix d’une nouvelle réglementation pour répondre à ces enjeux passe par la
reconnaissance des faiblesses de la directive de 1995296, directive qui « n’a pas permis
d’éviter une fragmentation de la mise en œuvre de la protection des données personnelles,
une insécurité juridique, ou le sentiment, largement répandu dans le public que des
risques importants pour la protection des données personnelles subsistent »297.
Ces nouveaux enjeux sont exprimés au considérant 6298 : l’augmentation de
l’ampleur de la collecte et du partage de données personnelles, la facilitation par la
technologie de l’utilisation des données personnelles, ainsi que la tendance de plus en
plus forte des individus de communiquer leurs informations personnelles au niveau
mondial.
Ces enjeux sont les mêmes que ceux qui motivent la souveraineté numérique. Le
règlement européen et le concept étudié partagent-ils des velléités communes dans
l’application du droit des données personnelles ? L’étude des composantes de la
souveraineté numérique sur les données personnelles peut être observée sur le règlement
européen. Il est possible de rechercher la volonté d’application effective du droit des
données personnelles européen face aux acteurs étrangers (A) ainsi qu’un renforcement
des souverainetés individuelles et collective (B).
A) Une volonté d’application effective du droit des données personnelles européen
Cette volonté d’application effective du droit des données personnelles européen
passe par une volonté de subjuguer les acteurs du numérique au droit européen (1) et la
mise en conformité des entreprises à travers le mécanisme d’accountability (2).
296CE, Directive (CE) 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, supra à la note 30.297 UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, supra note 28, au considérant n° 9. 298 Ibid., au considérant n° 6.
72
1. La volonté de subjuguer les acteurs du numérique étrangers au droit européen par
l’extraterritorialité et le renfort des mécanismes de transfert des données
personnelles aux États-tiers
Le choix de l’application extraterritoriale du règlement couplé aux renforcement des
mécanismes tiers pour le transfert des données personnelles semble mêler des logiques
de verticalité et d’horizontalité du droit. Plus particulièrement l’ensemble crée un grand
nombre de dispositions applicables qui pourraient ne pas faciliter la clarté du texte.
Retrouver une volonté de souveraineté numérique sur les données personnelles dans
le règlement européen nous conduit tout d’abord à rechercher si une opposition avec les
acteurs américains, une volonté de les soumettre au droit européen se retrouve. Cela se
manifeste dans le cadre du transfert de données personnelles en dehors de l’Union
européenne. Le considérant 101299 du règlement note que l’augmentation des flux de
données personnelles à destination et en provenance de l’Union a apporté de nouveaux
enjeux et de nouvelles préoccupations.
Une application extraterritoriale
Le règlement européen affirme une application extraterritoriale du droit de
l’Union européenne. Pour Céline Castets-Renard, l’article 3 du règlement européen
démontre une volonté « d’attraire en droit de l’union européenne les services des géants
américains de l’Internet »300. Cet article 3 vise expressément les responsables de
traitement (ou sous-traitants) qui ne sont pas établi dans l’Union lorsque les activités de
traitements sont liées « à l’offre de biens ou de services à ces personnes concernées dans
l’Union, qu’un paiement soit exigé ou non desdites personnes ; ou au suivi du
comportement de ces personnes dans la mesure où il s’agit d’un comportement qui a lieu
au sein de l’Union »301. En ces termes, l’article 3 met en place le critère dit de l’activité
299 UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, supra note 28, au considérant 101. 300 Céline Castets-Renard, « Brève analyse du règlement général relatif à la protection des données personnelles » (2016) 7 Dalloz IP/IT, à la p 331. 301UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, supra note 28, à l’article 3.
73
dirigée. Il ne s’agit plus de prouver l’établissement principal, qui avait connu une
extension ces dernières années dans la jurisprudence européenne, mais de démontrer une
activité dirigée vers l’Union européenne. Pour Isabelle Falque-Pierrotin la mise en place
du critère de ciblage (ou activité dirigée) est une « affirmation d’une souveraineté
numérique européenne beaucoup plus forte en matière de protection des données
personnelles »302.
L’évolution du critère d’établissement vers celui de l’activité dirigée ou du ciblage
a été rendue nécessaire en raison de l’augmentation exponentielle des flux transfrontières
de données personnelles303. L’élargissement de la notion d’établissement ces dernières
années par la jurisprudence européenne, avant que le règlement vienne apporter le critère
du ciblage, semble bien montrer le caractère inévitable de cette évolution.
La notion d’établissement provient en droit français de l’article 4 de la directive
95/46304 et l’article 5 de la loi Informatique et Libertés305. Cette notion suppose, d’après
le 19e considérant de la directive de 1995306, l’exercice effectif et réel d’une activité au
moyen d’une installation stable, et ne discrimine pas sur la forme juridique307. Le juge
doit examiner deux critères, celui de l’existence d’un établissement et celui de la mise en
œuvre du traitement dans le cadre de ses activités. La notion d’établissement avait elle-
même connu ces dernières années une extension par les décisions des autorités de
contrôle, conscientes de la problématique de l’absence d’établissement du responsable de
traitement sur le territoire, empêchant l’application de la loi nationale.
Après avoir mentionné la possibilité d’un élargissement de la notion
d’établissement dès 2011 dans sa décision Google Street View, la CNIL a appliqué cet
élargissement contre Google dans une décision du 3 janvier 2014308. Dans la décision
302 Falque-Pierrotin, supra note 43. 303 Romain Perray, « La délimitation territoriale du RGDP: le champ d’application et les transferts de données hors de l’Union européenne » (2016) 12 Dalloz IP/IT 581‑587. 304 CE, Directive (CE) n°95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, supra à la note 30, à l’article 4. 305 Loi 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, supra note 27, à l’article 5. 306Ibid., au considérant 19,307 Anne Debet, Jean Massot et Nathalie Métallinos, Informatique et libertés: la protection des données à caractère personnel en droit français et européen, supra note 31, au §402. 308 Ibid. au paragraphe 404.
74
Google Street View la CNIL envisageait la possibilité d’élargissement de la notion
d’établissement en notant qu’il existait bien en France une entité juridique distincte
(Google France)309. Dans la décision du 3 janvier 2014 la CNIL saute le pas et décide que
le critère d’établissement se trouve rempli en raison de l’activité de publicité de
l’entreprise en France310. La CJUE s’est elle aussi engouffrée dans la brèche de
l’élargissement dans les arrêts Google Spain311 et Weltimmo312. Dans l’affaire Google
Spain du 13 mai 2014, la Cour a repris le raisonnement français et a déterminé que la
société Google avait bien un établissement en Europe du fait des activités
d’intermédiation publicitaire de la filiale Google Spain, indispensables à l’activité du
moteur de recherche. Cela a permis de soumettre l’entreprise non installée dans l’Union
au droit de l’Union313. L’affaire Weltimmo, quant à elle, porte sur l’installation fictive
d’un responsable de traitement dans un pays, pour se voir appliquer le droit de ce pays
plutôt qu’un autre314, et réduit considérablement l’exigence de l’existence
d’établissement. Une société immatriculée en Slovaquie exploitait plusieurs sites Internet
à propos de biens immobiliers situés en Hongrie. Les annonces immobilières étaient
rédigées en hongrois, et l’activité de la société slovaque était exclusivement dirigée vers
la Hongrie. L’existence d’un établissement en Hongrie a été apportée par la simple
existence d’un représentant de la société slovaque, une boîte aux lettres et un compte
bancaire hongrois315.
Face à ces évolutions le règlement a proposé le critère de l’activité dirigée, qui
reprend l’interprétation actuelle et élargie de la notion d’établissement316. L’apport de
précisions à la notion d’activité dirigée a été réclamée par le groupe de l’article 29 dans
son avis 01/2012, qui a été suivi en cela dans les considérants 23 et 24 du règlement317.
Ces précisions portent sur l’intention du responsable de traitement ou de son sous-traitant,
309 Debet, Massot, Metallinos, supra note 31, au paragraphe 412. 310 Ibid. au paragraphe 404. 311Google Spain SL, Google Inc c Agencia Española de Protección de Datos (AEPD), Mario Costeja González, supra, note 40.312 Weltimmo s.r.o. c Nemzeti Adatvédelmi és Információszabadság Hatóság, 2015, CJUE, C-230/14. 313 Anne Debet, « Facebook sommé de se conformer aux règles françaises de la protection des données » (2016) 6 CCE, à la p 38. 314 Ibid.315 JurisClasseur Administratif, Fasc 274-10, « INFORMATIQUE. Données à caractère personnel. Introduction générale et champ d’application de la loi “Informatique et libertés” » par Romain Perray. 316 Perray, supra note 303. 317 Ibid.
75
avec les circonstances qui ne suffisent pas à l’établir (« la simple accessibilité d’un site
internet », « d’autres coordonnées », l’emploi « d’une langue généralement utilisée dans
le pays tiers »), ainsi que celle qui indiquent clairement cette intention (l’utilisation
« d’une langue ou d’une monnaie d’usage courant dans un ou plusieurs États membres »,
en lien « avec la possibilité de commander des biens ou des services sur internet dans
cette autre langue ou la mention de clients ou d’utilisateurs qui se trouvent dans
l’Union »)318.
Le groupe de l’article 29 a aussi contribué dans l’écriture de l’article 3 à
l’appréhension des entreprises proposant des biens ou des services sans contrepartie
pécuniaire.
Ce qui semble être ici visible est une distorsion du lien entre le territoire et le droit
des données personnelles. Dans le contexte mondial d’Internet le territoire perd de son
sens, et conduit à la modification des critères. Le territoire est un des critères classiques
de la souveraineté traditionnelle. La transformation progressive (d’abord par
l’élargissement jurisprudentiel, puis par le règlement) du critère du territoire vers un
critère d’activité dirigée témoigne probablement de la volonté de s’en détacher pour
mieux soumettre les responsables de traitement au droit de l’Union. Comme le disent
Fabienne Jault-Seseke et Célia Zolynski, « l’idée même de territorialité a du plomb dans
l’aile : dans une société numérique, la localisation des données est une gageure »319. Il
ne faut plus démontrer l’existence d’un établissement mais l’intention de proposer des
biens et des services à des personnes de l’Union.
L’application extraterritoriale ne suffit cependant pas à appréhender tous les
acteurs concernés, parce qu’ils ne relèveront pas tous des critères d’applicabilité de
l’Union européenne. À cette fin l’Union européenne a cherché à mettre en place un
encadrement plus strict du transfert de données vers les États tiers.
318 Perray, supra note 303.319 Fabienne Jault-Seseke, « Le règlement 2016/679/UE relatif aux données personnelles. Aspects de droit international privé » (2016) 32 D., à la p 1874.
76
Une application plus stricte des mécanismes de transferts des données personnelles aux
États- tiers.
Le transfert des données personnelles en dehors de l’Union européenne comprend
toute une série de mécanismes, qui se voient renforcés par le règlement européen à la
protection des données. Il existe une absence de hiérarchie entre les dispositions régulant
le transfert des données aux États en dehors de l’Union européenne320, qui rejoint la
position horizontale du droit en réseau.
Rappelons le principe d’interdiction traditionnel de transfert des données
personnelles, sauf en cas dérogations, notamment par des décisions d’adéquations321. Ce
principe d’interdiction avait été apporté par la directive de 1995, qui soumettait les
transferts de données personnelles à des États-tiers à l’existence d’un niveau de protection
équivalent. Cette interdiction avait conduit à influencer les politiques de protection des
données personnelles des États-tiers, notamment le Canada322.
Les principes de transfert deviennent plus stricts dans le règlement car ne s’appliquent
plus seulement aux États, mais aussi aux organisations internationales323. Surtout, le
nouveau régime de responsabilité civile des sous-traitants, qui permet de retenir leur
responsabilité dans certains cas au même titre que celle des responsables de traitement,
vient renforcer la législation sur les transferts à des États-tiers324. Ce nouveau régime de
responsabilité civile est en effet lui aussi une marque d’une volonté d’extraterritorialité :
avec l’émergence de sous-traitant puissant, à l’instar des services de cloud, souvent situé
hors de l’Union européenne, il devenait nécessaire de leur consacrer une responsabilité à
part, et d’en décharger le responsable de traitement325. Signe du temps, les critères pour
juger du niveau d’adéquation comprennent aujourd’hui la sécurité publique, défense et
sécurité nationale326.
Ces décisions d’adéquation ont pour but de démontrer qu’un niveau équivalent de
protection existe dans un pays tiers. Un renforcement externe au règlement européen est
320 Perray, supra note 303. 321 Emilie Brunet, « Règlement général sur la protection des données à caractère personnel-Genèse de la réforme et présentation globale » (2016) 12 Dalloz IP/IT à la p 567. 322 Cette influence a été abordée plus tôt, cf. aux pp 49-50. 323 Perray, supra note 303. 324 Brunet, supra note 321. 325 Perray, supra note 303. 326 Ibid.
77
intervenue ces dernières années avec l’adoption du Privacy Shield, qui emploie des règles
plus contraignantes que l’accord précédent, le Safe Harbor, invalidé dans l’affaire
Schrems327. La question de l’articulation entre le règlement et les décisions d’adéquations
peut se poser si la décision d’adéquation permet d’échapper à une partie des dispositions
du règlement européen. Ce point est relevé par Olivier Iteanu qui note que le Privacy
Shield déroge au règlement, rendant inapplicables certaines dispositions de ce dernier, à
l’instar de la possibilité de sanctionner à 4% du chiffre d’affaire les entreprises par les
autorités de contrôle328.
L’extraterritorialité va plus loin selon Romain Perray, puisque les règles européennes
« vont jusqu’à exiger la mise en place de dispositifs, étant précisé qu’à défaut d’être
prévues par la réglementation de l’État tiers ou de l’organisation internationale en
question elles devront être fixées contractuellement »329. En d’autres termes, le règlement
européen vient orienter la régulation du numérique en imposant au sein des entreprises
une mise en conformité, quand bien même la loi nationale de l’entreprise ne prévoirait
pas ce cas. Cela se fait dans le cadre d’un principe hérité du droit ango-saxon,
l’accountability, qui « prévoit pour les entreprises une obligation de « rendre des
comptes » sur leur fonctionnement interne et les investit du pouvoir d’établir les règles
dans ce cadre »330. Cela oblige concrètement toute entreprise désirant transférer des
données sur son territoire à se mettre elle-même en conformité avec le droit européen,
quand bien même le droit national de l’entreprise ne le prévoirait pas. Ces règles sont de
plusieurs sortes, dont les deux principales sont les clauses contractuelles types, qui
peuvent provenir de la Commission européenne ou d’une autorité de protection des
données personnelles à l’instar de la CNIL, et surtout les Binding Corporate Rules (BCR).
Les Binding Corporate Rules (ou Règles Internes d’Entreprise), présentées à l’article 47,
sont des règles internes d’entreprise contraignantes331, qui existaient déjà dans certaines
entreprises mais se trouvent aujourd’hui consacrées dans le règlement européen.
327Maximilian Schrems c Data Protection Commissioner, supra, note 46. 328 Sylvie Rozenfeld, « E-colonisation, Olivier Iteanu » (2016) 418 Expertise des Systèmes d'Information à la p 366. 329 Perray, supra note 303. 330 David Forest, supra note 154 à la p 19. 331 Perray, supra note 303.
78
2. Le renversement de philosophie des règles pour les entreprises : l’obligation de
conformité : l’intégration de l’entreprise dans la souveraineté numérique
Le règlement renverse le système de formalités classique pour mettre en place un
système d’obligation de mise en conformité par les entreprises.
La place de l’obligation de conformité dans la souveraineté numérique : une apparente
contradiction
Le règlement paraît marqué par l’influence du droit fédéral américain. On y retrouve
en effet des concepts tels que l’accountability ou le privacy by design (article 23).
L’accountability a pour conséquence dans le règlement que les responsables de traitement
ne « se voient plus désormais soumis à un contrôle formel a priori, mais un contrôle a
posteriori traduisant une obligation de rendre compte »332. Le privacy by design
« consiste à intégrer la dimension de la vie privée dès le stade de la conception des
produits informatiques et des logiciels »333. Cela semble démontrer une prise en compte
du caractère normatif de la technique, que Lawrence Lessig avait éclairé et qui a été
abordé plus tôt dans ce travail334.
L’obligation de conformité se retrouve à l’article 24 du règlement. Il comprend « la
mise en œuvre de politiques appropriées en matière de protection des données par le
responsable du traitement »335, ainsi que la possibilité de recours à un code de conduite
ou à des mécanismes de certifications. L’obligation de mise en conformité s’accompagne
à l’article 25 de « la protection des données dès la conception (« Privacy by design ») et
protection des données par défaut (Privacy by default ») »336. Ce changement oblige
l’entreprise à entreprendre une véritable démarche de conformité337.
332 Castets-Renard, supra note 185. 333 Forest, supra note 154 à la p 20. 334 Voir supra, à la p. 38. 335 UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, supra note 28, à l’article 24. 336 Anne Debet, « Les nouveaux instruments de conformité » (2016) 12 Dalloz IP/IT, à la p 592. 337 Ibid.
79
C’est en tout cas un changement de philosophie338, une rupture profonde339 voire une
révolution340. Ce renversement qui fait peser la responsabilité sur l’entreprise semble
témoigner d’une influence du droit américain. Ces principes se retrouvent en effet dans
les lois fédérales sectorielles américaines341. Plutôt que la poursuite d’une colonisation
par le droit anglo-saxon du droit européen il faudrait y voir un rapprochement des
législations internationales de protection des données personnelles. Il peut sembler
curieux, en connaissance de l’objectif de réponse aux géants du numérique, de voir
consacré un tel principe de responsabilisation.
En effet ce principe conduit bien à décentraliser la souveraineté étatique à des acteurs
tiers, mais ce transfert se fait ici à des entreprises étrangères. Cela interroge sur la nature
du réseau normatif de la souveraineté numérique : les transferts de pouvoirs ne doivent-
ils être effectués qu’à des acteurs nationaux ou européens ? L’ouverture du réseau
normatif à des acteurs étrangers semble aller à l’encontre de la souveraineté numérique.
Ce choix paraît alors en apparence difficilement s’intégrer aux principes de souveraineté
numérique, en privilégiant l’économie et la libre circulation des données personnelles
dans le marché intérieur. Il donne des gages à l’autorégulation : « les instruments d’auto-
régulation des acteurs privés sont encouragés puis consolidés par les institutions
matérialisant alors une corégulation »342. C’est en effet un choix de renfort de
l’autorégulation des entreprises étrangères, à laquelle la souveraineté numérique semble
s’opposer343, bien que ce choix de renfort soit soutenu par une corégulation par le contrôle
des autorités de protection des données. Le choix de l’obligation de mise en conformité
semble renforcer les pouvoirs de régulation des grandes entreprises, et affaiblir la mise
en réseau européenne du droit.
En effet, dans cette optique les mécanismes de la coordination propres au droit en
réseau sont privilégiés. Avec l’accountability une concession est faite au droit en réseau,
au détriment d’une souveraineté centralisée nationalement. Le pouvoir qui est donné aux
entreprises de se mettre elles-mêmes en conformité, pour être contrôlées a posteriori par
338 Brunet, supra note 321. 339 Debet, supra note 336. 340 Marino, supra note 35. 341 Castets-Renard, supra note 185.342 Castets-Renard, supra note 300. 343 Voir supra, « Le pouvoir normatif des grandes entreprises du numérique à l’origine d’une souveraineté sur le cyberespace », à la p 39.
80
les autorités de contrôle, est un choix qui privilégie l’action raisonnable d’entreprises
étrangères à l’action des autorités de contrôle nationales.
Cependant, il ne faut pas perdre de vue l’objectif d’efficacité et de garantie des droits
propre à la mise en place du réseau. Cette concession au réseau est un choix pragmatique :
l’application précédente avec un contrôle a priori des autorités était peu satisfaisante,
tandis que celle-ci semble porter plus de fruits. Une préférence à la responsabilité des
entreprises est accordée au détriment du contrôle a priori des autorités de protection des
données personnelles, cela dans un objectif d’efficacité, afin de mieux protéger les
libertés fondamentales. On retrouve ici l’idée de Charlotte Roques-Bonnet, qui a été
défendue plus haut selon laquelle l’efficacité du droit prime sur sa légitimité344.
C’est ce que relève le considérant 89 du règlement européen pour la protection
des données personnelles. Il note que le contrôle a priori emportait une charge
administrative et financière importante pour les entreprises et les autorités de protection
sans « pour autant avoir systématiquement contribué à améliorer la protection des
données à caractère personnel »345. En effet, ce système était coûteux pour les
entreprises, et administrativement peu viable, ce qui avait un impact sur la qualité du
contrôle. Pour exemple la CNIL a reçu 96 323 dossiers de formalités simplifiés en 2015,
ce qui emporte une charge administrative de contrôle et de validation des formalités
lourdes. Face à ce système qui n’améliorait pas le droit des données personnelles, une
préférence à l’efficacité est donnée, volonté que l’on retrouve dans le même considérant
89 :
Ces obligations générales de notification sans distinction devraient dès lors être supprimées et remplacées par des procédures et mécanismes efficaces ciblant plutôt les types d’opération de traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques du fait de leur nature, de leur portée, de leur contexte et de leur finalité. 346
Dans cette phrase du considérant 89 c’est toute la philosophie du changement de
régime vers l’accountability qui est définie : l’accountability est une préférence à
l’efficacité. Si ce principe facilite le principe de libre circulation il semble aussi être
344 Voir supra, à la p 55, Roques-Bonnet, supra note 82. 345 UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, supra note 28, au considérant 89. 346 Ibid.
81
efficace pour la protection des données personnelles comme le relève le paragraphe cité
précédemment347.
Cette obligation de mise en conformité emporte aussi une plus grande efficacité
par la forme qu’elle prend. C’est en effet un système de droit plus souple, plus facilement
applicable à l’évolution technologique « qui ne peut plus être contrôlée à un instant
donné, comme par exemple le dépôt d’une formalité auprès de la CNIL »348. Le système
d’obligation de mise en conformité permet une « vigilance continue »349 par l’entreprise.
Ce système en fin de compte conduit à un « processus dynamique »350 mieux adapté à
cette évolution technologique.
En privilégiant l’efficacité au détriment de la centralisation et du contrôle, la
norme serait en fin de compte mieux appliquée. En dessinant la souveraineté numérique
autour de cet objectif d’efficacité, le concept gagne en souplesse d’application.
L’encadrement par le règlement de la mise en conformité des entreprises
Dans le cadre de la souveraineté numérique, il paraît donc possible de transférer
la régulation aux entreprises, ce qui a pour avantage de renforcer le nombre d’acteurs du
réseau normatif, mais pour défaut de le distendre en l’étendant à des nouveaux acteurs
qui ne sont pas forcément partie à l’Union européenne. Ce déplacement vers l’obligation
de conformité se fait dans le cadre d’une corégulation avec les autorités nationales de
contrôle.
Pour remplir cet objectif de mise en conformité, le règlement consacre en effet
toute une série d’outils approuvés par les autorités de contrôle pour que les entreprises
mènent à bien leur obligation de conformité. Ces outils viennent permettre aux entreprises
d’être des acteurs de premier plan de la protection des données personnelles. Les mesures
de responsabilisation sont diverses et viennent ajouter de nouvelles strates normatives.
Surtout, ce qui sera vu dans la prochaine partie, ce gage donné à l’autorégulation ne se
comprend qu’en regard de la co-régulation menée par les autorités de protection des
données personnelles.
347 Comme l’indique aussi Anne Debet « Du point de vue du respect des droits de l’individu, ce principe est sans doute plus efficace que les obligations déclaratives très lourdes ». Debet, supra note 336. 348 Emile Gabrié, « Les pouvoirs des autorités de protection des données » (2017) 5 Dalloz IP/IT à la p 268. 349 Ibid. 350 Ibid.
82
Le règlement vient encadrer l’émergence de ce que Karim Benyekhlef nomme les
« normes alternatives », qui « reflètent une privatisation du droit dans un contexte de
gouvernance globale »351. Les acteurs privés optent le plus souvent pour ces normes
alternatives afin de contourner ou de compléter le droit étatique. En favorisant et en
encadrant ces normes, c’est une question de souveraineté numérique qui est en jeu pour
le règlement, à savoir « la question de la propension du droit étatique à maîtriser les
normes dites alternatives »352. Pour contrôler ces normes alternatives, le règlement
accompagne l’obligation de mise en conformité d’une série d’outils, supervisés par les
autorités de contrôle. Le règlement contribue ainsi à la mise en place d’une corégulation
organisée par les autorités de protection des données personnelles et menée en
collaboration avec les entreprises.
Le nouveau principe directeur du droit des données personnelles européen que
constitue l’obligation de mise en conformité est en effet assorti d’une série d’outils,
contrepartie demandée par les autorités françaises353 à sa mise en place. Ces outils sont là
pour guider l’entreprise dans sa démarche de conformité. La responsabilité, l’obligation
de sécurité, ou le privacy by design et le privacy by default peuvent être en effet garantis
par des certifications ou des codes de conduite.
Le privacy by design recommande de prendre des mesures dès la conception pour
éviter les atteintes au droit des données personnelles, mais seulement
compte tenu de l’état des connaissances et des coûts de mise en œuvre et prenant en considération la nature, la portée, le contexte et les finalités de traitements, ainsi que les risques, dont le degré de probabilité et la gravité varient, que présente le traitement pour les droits et libertés des personnes physiques354.
C’est donc un outil non général. Il peut se traduire concrètement par la
pseudonymisation ou la minimisation des données355.
351 Benyekhlef et al, supra note 99, à la p 762. 352 Ibid. à la p 759. 353 Brunet, supra note 321. 354 UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, supra note 28, à l’article 25 355 Debet, supra note 336.
83
Les outils permettant la mise en place du principe de responsabilité sont divers. Ils
permettent tous d’autonomiser l’entreprise dans son rapport au droit des données
personnelles. Face au constat d’un contrôle lourd et coûteux pour les entreprises et dans
l’objectif de faciliter le marché intérieur, le règlement se tourne vers un mécanisme de
responsabilisation des entreprises356. Cette responsabilisation implique une baisse des
formalités, compensée par une procédure préalable d’analyse du risque chez
l’entreprise357. Cette analyse du risque prend notamment la forme d’une analyse d’impact,
prévue à l’article 35 et 36 du règlement que les entreprises doivent mener pour les
traitements à risque. Si et seulement si cette analyse laisse entrevoir un risque élevé
l’entreprise doit consulter l’autorité de contrôle358.
Dans cette série d’outils un point particulier doit être noté sur la consécration des
Binding Corporate Rules, déjà abordées auparavant. Elles ont pour intérêt de déterminer
la politique de l’entreprise quant aux données personnelles. Il existe une différence entre
les BCR et les codes de conduites. Les BCR ressemblent dans leur nature à des codes de
conduites mais sont plus contraignantes, car approuvées par le régulateur et applicable à
l’intérieur de l’entreprise359. Les BCR apparaissent comme une solution éprouvée et
connue des régulateurs. En effet le groupe de l’article 29 avait déjà préconisé leur
utilisation360 et de nombreux responsables de traitement les utilisent d’ores et déjà. Le
règlement européen les préconise aussi, en cas d’absence de décision d’adéquation361.
Cette responsabilisation implique aussi une obligation pour l’entreprise de signaler
les failles de sécurité362. Cette notification de violation des données préexistait dans le
356 Brunet, supra note 321. 357 Ibid. 358 Debet, supra note 336. 359 Fabrice Naftalski, « L’impact du nouveau règlement sur les stratégies de transferts internationaux des données personnelles » (2016) 7 Dalloz IP/IT, à la p 340. 360 https://www.cnil.fr/sites/default/files/typo/document/Checklist_fr.pdf 361 Brunet, supra note 321. 362 Il peut être noté que cette obligation pour l’entreprise de signaler les failles de sécurité suit les conclusions de l’Eurobaromètre 431. À la question « qui devrait vous informer si vos données étaient perdues ou volées ? », les répondants ont choisi à 65% les entreprises responsables des données, contre 45% les autorités de protection de données. Cette obligation s’inscrit donc sur une position globale des citoyens européen, et décharge les autorités de protection de l’alerte des failles de sécurité. Data Protection – Report, supra à la note 287, à la p.74
84
secteur des télécommunications mais est aujourd’hui élargie aux autres secteurs363. Cette
obligation de notification est cependant limitée par plusieurs conditions dont l’approche
fondée sur le risque, ou le délai long de 72h pour notifier la violation. Le changement
n’est cependant pas aussi radical puisque le contrôle par l’autorité de protection est
désormais a posteriori, certaines formalités demeurent, et dans le cas des traitements
comportant les risques les plus élevés le contrôle demeure364.
Les entreprises doivent mettre en place une démarche de conformité et pouvoir
apporter une preuve de cette démarche. Pour assurer cette responsabilité, des Data
Protection Officer365 doivent être nommés dans certains cadres, lorsque le traitement est
effectué par une personne publique ou lorsque les données traitées constituent l’activité
de base du responsable de traitement et sont des données sensibles ou des données traitées
à grande échelle366.
Ces outils de responsabilisation peuvent être garantis par les codes de conduite et les
mécanismes de certifications. Ils sont la marque d’un droit alternatif, particulièrement
pour les codes de conduite qui se rapprochent de la soft law367. Ils viennent apporter une
variante à la norme contraignante.
Les codes de conduite se trouvent à l’article 40 du règlement qui les « encourage »
pour préciser diverses modalités, dont « le transfert de données à caractère personnel
vers des pays tiers ou à des organisations internationales »368. L’article 41 précise que
ces codes de conduite seraient suivis et approuvés par un organisme spécialisé agréé par
l’autorité de contrôle. Ils sont le marqueurs d’une volonté d’alternative au droit dur.
Les mécanismes de certifications se trouvent à l’article 42 du règlement. Ils sont eux
aussi « encouragés » par le règlement et comprennent les mécanismes de certification,
les labels ou les marques en matière de protection des données personnelles. Comme le
précise l’alinéa 2 de l’article 42, ces certifications peuvent servir dans le cadre de
363 Debet, supra note 336. 364 Ibid. 365 Naftalski, supra note 359. 366 Castets-Renard, supra note 300. 367 Naftalski, supra note 359. 368 UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, supra note 28, à l’article 40.
85
transferts des données vers un pays tiers en ce qu’ils constituent des « garantie
appropriées »369.
Les codes de conduite et les certifications peuvent servir à démontrer le respect
général du principe de responsabilité et de l’obligation de sécurité. Pour les transferts de
données personnelles à l’étranger, ils sont assortis d’un engagement contraignant et
exécutoire d’appliquer les garanties appropriées dans le pays tiers370. Le choix de ces
garanties permet de transférer vers un pays tiers sans l’autorisation de l’autorité nationale.
Dans le prisme de la souveraineté numérique ces dispositions aident à intégrer le
niveau de protection des données personnelles des entreprises dès le premier stade. Cela
ne concerne alors pas seulement les grands groupes étrangers qui transfèrent les données,
mais aussi les entreprises nationales, les petites et moyennes entreprises ou les micro-
entreprises qui se voient particulièrement prises en compte par le règlement, notamment
par des modulations qui leurs sont apportées. Elles permettent ainsi d’assurer une
harmonisation à un niveau élevé du droit des données personnelles dans tout l’espace
européen, contribuant à une vision des données personnelles européennes communes.
Le règlement semble traduire « le passage d’une économie administrée par l’État à
une économie régulée par des autorités indépendantes et la mise en conformité par les
opérateurs de leurs pratiques »371. Cette économie régulée par les autorités indépendantes
et la mise en conformité se fait dans le cadre d’une corégulation. Cette corégulation vient
renforcer les prérogatives des deux acteurs, les autorités de contrôle d’une part et les
acteurs privés d’autre part. Après l’étude de la mise en conformité des entreprises, il
convient donc d’étudier le deuxième volet de cette co-régulation, à travers le
renforcement des souverainetés collectives et individuelles.
369 UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, supra note 28, à l’article 42. 370 Naftalski, supra note 359. 371 Sauron, supra note 295.
86
B) Le renforcement des souverainetés individuelles et collectives par le règlement
La souveraineté numérique conduit à une délégation de souveraineté aux acteurs
les mieux à mêmes de répondre aux logiques de réseaux du numérique. Au sein de ces
acteurs se trouvent en premier lieu l’individu, acteur le plus bas, car premier utilisateur
des services en ligne. On en vient à parler pour cet acteur d’une souveraineté individuelle
sur ses données personnelles, par le renforcement de sa capacité à contrôler l’usage qui
en est fait. La souveraineté individuelle s’inscrit bien dans l’idée de délégation de
souveraineté par l’État de la souveraineté numérique. Le règlement vient apporter sa
pierre à l’édifice de la souveraineté individuelle en renforçant le consentement des
individus ainsi qu’en affirmant de nouveaux droits de l’individu dans l’univers
numérique (1.).
Il est plus compliqué de traiter de souveraineté à propos des autorités de protection et
de contrôle nationales, bien qu’une partie du pouvoir leur soit déléguée. Il s’agit plutôt
ici d’un partenariat de l’État avec une de ses autorités. Le nouveau règlement fait de ses
autorités une pierre angulaire de la protection des données personnelles au niveau
européen (2.).
1. Le renfort de la souveraineté individuelle au prisme de l’autodétermination
informationnelle
Le règlement européen renforce la souveraineté individuelle selon une logique
d’autodétermination informationnelle, qui conduit à consolider le consentement de
l’individu et à lui attribuer de nouveaux droits pour améliorer son contrôle sur l’usage de
ses données personnelles
L’autodétermination informationnelle, clé de lecture du renfort de la souveraineté
individuelle dans le règlement
Par le règlement européen, « ce que souhaite faire le législateur européen est de
donner de nouveau à cet individu cette capacité de souveraineté »372. Cette souveraineté
individuelle, à savoir la « capacité de se déterminer librement sur ses données »373, prend
372 Falque-Pierrotin, supra note 43. 373 Ibid.
87
pour Isabelle Falque-Pierrotin la forme de l’autodétermination individuelle.
L’autodétermination informationnelle entend donner à l’individu la capacité de décider
de l’usage qui est fait de ses données personnelles. Or le règlement confère des
instruments juridiques à l’individu pour l’aider à exercer sa capacité sur ces usages. Il
s’agit de rétablir le déséquilibre entre les acteurs économiques et les individus en donnant
la capacité à l’individu de pouvoir prendre des choix sur ses données. Ces choix sont
marqués par le renfort du consentement, ainsi que les nouveaux droits, le droit à l’oubli
numérique et le droit à la portabilité des données.
Pour avoir un sens, la souveraineté individuelle ne peut se comprendre en elle-même,
mais dans un réseau de souverainetés, en combinaison avec d’autres acteurs. En effet
l’individu ne peut par lui-même exercer une influence suffisante sur des grands acteurs
économiques pour les contraindre. Le fait de leur rendre le choix par un consentement
renforcé et de nouveaux droits contribue cependant à les rendre acteurs du contrôle de
l’usage de leurs données. Les droits des individus et le consentement qui fondent la
souveraineté individuelle n’acquièrent leur force que par la capacité d’autres acteurs de
les sanctionner, à l’instar des autorités de contrôle.
Si l’individu est au centre de la souveraineté numérique c’est non seulement parce
qu’il en est un utilisateur direct, mais parce qu’il est l’objet des droits fondamentaux qu’il
doit protéger. Son droit à la protection des données personnelles se retrouve cependant
mis en balance dans le règlement européen, avec d’autres libertés fondamentales au
considérant 4. Ce dernier rappelle que « le droit à la protection des données à caractère
personnel n’est pas un droit absolu, il doit être considéré par rapport à sa fonction dans
la société et être mis en balance avec d’autres droits fondamentaux, conformément au
principe de proportionnalité »374. Le règlement rappelle par là que la protection des
données personnelles s’oppose parfois à d’autres droits fondamentaux, particulièrement
la liberté d’expression. La protection des données personnelles est surtout en balance dans
le règlement avec la logique économique, qui « est certainement celle avec laquelle les
tensions sont les plus vives »375. La balance entre marché intérieur et protection des
données vue plus tôt dans ce travail semblait montrer une évolution vers une
374 Considérant 4, UE, Règlement (UE) n° 2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données [2016], JOUE, L 119, 4.5.2016, supra note 28. 375 Castets-Renard, supra note 300.
88
autonomisation de la protection des données. Cette évolution est cependant à relativiser
avec la place importante laissée à la réalisation du marché intérieur. Pour Céline Castets-
Renard « il semble donc que le parachèvement du marché intérieur par la construction
d’un marché unique numérique soit l’objectif prioritaire »376.
Malgré cette balance, le règlement tend à renforcer la protection de l’individu de
manière significative.
La consolidation du consentement de l’individu
C’est tout d’abord le consentement, critère fondamental du régime de traitement
des données, qui est précisé dans son régime et sa définition377. L’article 4 définit au
paragraphe 11 le consentement comme « toute manifestation de volonté, libre spécifique,
éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou
par un acte positif clair, que des données à caractère personnel la concernant fassent
l’objet d’un traitement »378. L’obligation du caractère « éclairé et univoque » du
consentement, manifesté par une déclaration ou un « acte positif clair » apporte en
précision par rapport à la directive européenne de 1995379. Cependant « si la nouvelle
définition est plus précise, il n’est pas sûr qu’elle apporte un nouveau degré
d’exigence »380, en raison de la difficulté à prouver un acte « éclairé et univoque ». Le
remplacement du « consentement indubitable » par une « déclaration ou un acte positif
clair » semble quant à lui apporter un véritable renforcement du consentement individuel,
en permettant de mieux s’assurer de la réalité de ce dernier381.
Le règlement précise ensuite à l’article 6, portant sur la licéité du traitement, que
la personne concernée doit consentir à toutes les finalités pour lesquelles les données
376 Castets-Renard, supra note 300.377 Ibid. 378 Article 4, paragraphe 11 UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données [2016], JOUE, L 119, 4.5.2016, supra note 28. 379 Lesaulnier, supra note 26. 380 Castets-Renard, supra note 300. 381 Castets-Renard, supra note 300.
89
personnelles seront utilisées382. À défaut d’un tel consentement sur une ou plusieurs
finalités, la validité du consentement serait remise en question. Pour Frédérique
Lesaulnier, une telle disposition nécessite clarté et exhaustivité dans l’expression des
finalités et a pour contrepartie une souplesse dans la forme que peut prendre le
consentement383. Ainsi, le consentement peut procéder d’une déclaration écrite, orale, par
le fait de cocher une case sur un site Internet, voire par le comportement de la personne384.
En somme c’est le principe d’un consentement explicite qui est posé385 pour que
les données soient traitées, redonnant à l’individu un choix plus fort dans l’acception des
traitements de ses données.
Parler de souveraineté individuelle revient aussi à adapter ce contrôle sur l’usage
des données à l’âge de l’individu. La validité du consentement est de ce fait adaptée pour
les mineurs. Le mineur fait l’objet d’une protection particulière dans le règlement en
raison de son âge et de sa capacité plus faible sur ses données. Les enfants sont plus
exposés aux atteintes à leurs droits, car ils « peuvent être moins conscients des risques,
des conséquences et des garanties concernées et de leurs droits liés au traitement des
données à caractère personnel »386. Le règlement prévoit en raison de cette capacité à
donner son consentement amoindri un seuil de 16 ans à partir duquel le consentement
peut être librement donné387. Ce seuil peut être descendu jusqu’à treize ans selon l’État.
En dessous-du seuil déterminé le consentement parental est requis. Ces dispositions sur
l’enfant mineur permettent d’adapter la souveraineté individuelle sur les données en
fonction de la capacité de l’individu, variable ici en raison de son âge.
382 UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, supra note 28, à l’article 6. 383 Lesaulnier, supra note 26. 384 Ibid. 385 Marino, supra note 35. 386 UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données [2016], JOUE, L 119, 4.5.2016, supra note 28, au considérant 38. 387 Lesaulnier, supra note 26.
90
L’apport de nouveaux droits pour le contrôle de l’usage des données personnelles par
l’individu
Le règlement apporte deux nouveaux droits pour renforcer la souveraineté
individuelle de l’individu. L’article 17 vient consacrer le droit à l’oubli, tandis que
l’article 20 apporte le droit à la portabilité des données. Bien que son nom de droit à
l’oubli fasse automatiquement penser à l’arrêt Google Spain388 cet article est un peu plus
large.
« Le droit à l’effacement (« droit à l’oubli ») », selon la rédaction alambiquée de
l’article 17, vient prendre la conséquence de l’arrêt Google Spain389 de la CJUE, déjà
maintes fois cité dans ce travail.
L’impact de ce droit à l’oubli sur le renforcement des souverainetés individuelles
fait débat. Il est jugé par certains décevant, car les conditions pour l’appliquer ne feraient
que reprendre des conditions de licéité de traitement déjà existantes390, tandis que pour
d’autres il « aidera les personnes à mieux gérer les risques liés à la protection des
données en ligne », en obtenant « la suppression des données les concernant si aucun
motif légitime ne justifie leur conservation »391. Il nous semble pourtant devoir préférer
la deuxième option, puisque, s’il est vrai que les hypothèses de licéité sont classiques, le
règlement innove en demandant au responsable du traitement qui a rendu les données
publiques d’informer les responsables de traitement tiers qui utilisent ces données qu’il a
transmises.
Le droit à l’oubli vient en effet ajouter à un droit classique à l’effacement auprès
du responsable de traitement un droit d’obtenir le retrait de données publiées par un autre
opérateur que le responsable de traitement. Dans sa recherche d’information du nouveau
responsable de traitement, le premier responsable est cependant limité par le fait que sa
388Google Spain SL, Google Inc c Agencia Española de Protección de Datos (AEPD), Mario Costeja González, supra, note 40.389Ibid.390 Castets-Renard, supra note 300. 391 Marino, supra note 35.
91
recherche doit se faire « compte tenu des technologies disponibles et des coûts de mise en
œuvre », ainsi que par des « mesures raisonnables »392.
Par le règlement a lieu un élargissement et une généralisation du droit à l’oubli,
qui s’applique à toutes les personnes morales, que la CJUE avait déjà imposé aux moteurs
de recherche dans l’affaire Google Spain393. La consécration du droit à l’oubli retranscrit
surtout les conditions fixées dans cette dernière affaire pour limiter le droit. Le droit à
l’oubli n’est pas absolu puisqu’il doit respecter notamment l’exercice du droit à la liberté
d’expression et d’information (qui fut le terrain de l’arrêt Google Spain394), les
obligations légales ou la constatation, l’exercice ou la défense des droits en justice.
Malgré ces limitations raisonnables, le droit à l’oubli est un véritable apport à la
souveraineté individuelle, puisque l’individu a désormais en main un pouvoir de contrôle
sur les données qui circulent en ligne.
Le droit à la portabilité quant à lui vient apporter un nouveau droit de transfert de
services des données d’un prestataire de services à un autre. Ces prestataires de services
peuvent être des réseaux sociaux, sites de streaming, fournisseurs d’accès à Internet395,
ce qui laisse entrevoir tout l’intérêt d’un tel droit pour l’utilisateur en ligne. Ce droit à la
portabilité est d’une certaine manière une amélioration du droit d’accès, puisqu’il permet
non seulement une communication de ces données, mais aussi une transmission dans un
format structuré, couramment utilisé et lisible par machine, ainsi qu’une transmission de
cette copie à un autre responsable de traitement, sans que celui-ci puisse y faire obstacle.
Ce droit est plus protecteur des individus en ce qu’il leur permet de ne plus être
« prisonnier » d’un prestataire de services, et de pouvoir circuler plus facilement de l’un
à l’autre, tout en conservant leurs données personnelles. Il faut cependant voir que
l’objectif principal poursuivi est celui d’assurer une libre concurrence entre prestataires
de services en ligne396.
392 UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données [2016], JOUE, L 119, 4.5.2016, supra note 28, à l’article 17 paragraphe 2. 393 Marino, supra note 35.394Google Spain SL, Google Inc c Agencia Española de Protección de Datos (AEPD), Mario Costeja González, supra, note 40.395 Marino, supra note 35. 396 Ioanna Gheorghe-Badescu, « Le nouveau règlement général sur la protection des données » [2016] Rev Union Eur, à la p 466.
92
Ce qu’il faut constater c’est que ces deux droits, mêmes limités ou pris dans des
intérêts plus économiques que protecteurs des données personnelles, donnent à
l’internaute une véritable capacité d’agir en ligne sur l’usage de ses données. En
renforçant cette capacité d’agir c’est la souveraineté individuelle de l’individu qui est
protégée.
Il convient de noter aussi que le règlement refuse de s’intéresser à la « mort
numérique », et annonce au considérant 27 que les États membres sont libres de prendre
des dispositions pour réguler le traitement des données des personnes décédées397. C’est
ce qui a déjà été fait en France avec la loi République numérique, qui a prévu des règles
pour encadrer cette mort numérique.
Ces renforcements des droits à la protection des données personnelles des individus
ne prend tout son sens pour la souveraineté numérique qu’à un niveau global d’analyse
du règlement. Comme le dit pertinemment Jean-Luc Sauron :
le règlement structure le contrôle des droits fondamentaux par le biais d’un système reposant sur la surveillance des justiciables mieux informés, pouvant se défendre devant des autorités nationales dont l’harmonisation des pratiques et l’efficacité des contrôles sont garanties par une nouvelle institution de l’Union (le comité européen de protection des données)398.
C’est donc définitivement une optique de réseau qui se met en place avec le système
que consacre le règlement, avec une pluralité d’acteurs aux pouvoirs renforcés et aux
interactions accentuées.
2. Les autorités de protection des données personnelles, pierre angulaire de la
stratégie européenne
La stratégie européenne bâtie autour des autorités de protection des données
personnelles se traduit dans le règlement par un renforcement des missions et des
397 Considérant 27, UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, supra note 28. 398 Sauron, supra note 295.
93
pouvoirs des autorités nationales, ainsi que par l’établissement d’une coopération entre
les autorités de contrôle européennes.
Le renfort des missions et des pouvoirs des autorités nationales
Les autorités de contrôle se renforcent par leur organisation européenne mais aussi
dans le même temps par l’attribution de nouvelles prérogatives aux autorités nationales.
Le premier apport est celui d’une explicitation des missions et des autorités. La
directive européenne de 1995399 décrivait en des termes très généraux les missions des
autorités de protection et de contrôle400. Les articles 57 et 58 du règlement viennent
expliciter toutes ses missions et pouvoirs. Ces missions et pouvoirs sont clarifiées et
multipliées par rapport à la directive ; les missions sont au nombre de 22, les pouvoirs au
nombre de 28, cette liste n’étant pas exhaustive puisque le législateur national a la liberté
d’y ajouter des pouvoirs et des missions401.
La prérogative la plus médiatique du règlement européen concerne la modification du
pouvoir de sanction à l’article 83 § 5. Les autorités ont désormais le droit de sanctionner
certaines violations à hauteur de 20 000 000 euros à 4 % du chiffre d’affaire annuel
mondial total de l’exercice précédent de l’entreprise. Dans les violations qui peuvent être
sanctionnées par un tel montant se trouvent la violation des transferts de données à
caractère personnel à un destinataire situé dans un pays tiers ou à une organisation
internationale. Cela permet d’associer l’application extraterritoriale du règlement à une
sanction véritablement dissuasive, loin des montants précédents des sanctions que les
autorités pouvaient donner.
Comme il a été vu précédemment, les autorités de contrôle deviennent un rouage
essentiel, en lien avec toutes les parties prenantes. Cela vaut pour l’organisation du
système européen mais vaut aussi au niveau national. Les autorités de contrôle exercent
une action envers de nombreux acteurs, que l’on retrouve dans les missions de l’article
57. Les autorités exercent ainsi une mission de sensibilisation auprès du public, une
399Loi 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, supra note 27.400 Gabrié, supra note 348. 401 Ibid.
94
information sur leurs droits auprès des personnes concernées et la réception de leurs
réclamations et plaintes, une mission de conseil auprès des autorités, et une mission
majeure d’aide à la mise en conformité auprès des responsables de traitement.
Si les autorités de contrôle perdent leur contrôle a priori avec l’obligation de mise en
conformité des entreprises, elles jouent un rôle a posteriori de contrôle, qui allège la
charge administrative et conduira probablement à un contrôle plus approfondi. Elles se
voient consacrées de nombreux rôles avec les entreprises, que l’on retrouve dans la liste
de leurs missions à l’article 57402. Ainsi l’autorité de contrôle « adopte les clauses
contractuelles types »403, « établit une liste » des traitements nécessitant une analyse
d’impact sur la vie privée404, « fournit des conseils sur les opérations de traitements »405,
« encourage l’élaboration de codes de conduite »406, « encourage la mise en place des
mécanismes de certifications » et procède à l’examen de celles-ci407, « autorise les clauses
contractuelles et les règles d’entreprises »408.
À la lecture de cette liste, le rôle crucial des autorités dans la mise en conformité des
responsables de traitement apparaît. Elles ont une mission de sensibilisation,
d’encouragement des codes de conduite et des certifications, d’approbation des clauses
contractuelles, des règles d’entreprise et des certifications, de conseils et de listage des
traitements demandant une analyse d’impact sur la vie privée. Les autorités ne contrôlent
pas elles-mêmes les codes de conduite mais agréent l’organisme qui les approuve et
publient les critères d’agrément de l’organisme409.
Leur place centrale pose aussi question, notamment pour les certifications, où
l’autorité de protection et de contrôle peut se retrouver à la fois autorité de certification
et de contrôle410.
402 Gabrié, supra note 348. 403 UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, supra note 28, à l’article 57, paragraphe 1, j) 404Article 57, paragraphe 1, k), ibid. 405 Article 57, paragraphe 1, l), ibid. 406 Article 57, paragraphe 1, m), ibid. 407 Article 57, paragraphe 1, n) et o), ibid. 408 Article 57, paragraphe 1 r) et s), ibid. 409 Article 57, paragraphe 1 p) et q), ibid. 410 Debet, supra note 336.
95
La mise en place d’une coopération européenne entre les autorités de contrôle nationales
sous l’égide du comité européen à la protection des données
Avec le règlement on assiste à un passage d’une « économie administrée par l’État à
une économie régulée par des autorités indépendantes »411. L’État voit une mutation de
sa partition et joue désormais un rôle de partenariat avec les autorités indépendantes. Une
coopération des autorités de contrôle européenne est mise en place dans le règlement
européen pour pallier l’« impossible réactivité inter-étatique »412. Tout le chapitre VII du
règlement vise à mettre en place la coopération et la cohérence des autorités de régulation.
À cette fin de coopération, l’article 60 nomme une autorité de contrôle chef de file,
l’article 61 organise l’assistance mutuelle entre les autorités, et l’article 62 précise les
opérations conjointes qui pourraient avoir lieu entre les autorités de contrôle.
Cette coopération se fait selon le mécanisme du guichet unique. Par ce mécanisme les
autorités de contrôle n’auront à rendre compte qu’à une seule et unique autorité de
protection dans l’Union européenne. Cette unique autorité de protection est celle où le
responsable de traitement a son établissement principal413. La mise en place de ce
mécanisme de guichet unique sert à garantir une application et une interprétation
cohérente et uniforme du règlement dans l’ensemble de l’Union414.
Le règlement instaure par l’article 68 le comité européen à la protection des données,
le dote de la personnalité juridique et en fait un véritable organe de l’Union. Avec ce
comité, la Commission européenne se retrouve à la marge, tandis que le comité devient
le régulateur européen de la protection des données personnelles « l’horloger des
équilibres intra-communautaires »415.
Le comité est ainsi longuement défini dans sa composition, ses missions et son rôle
au sein de quatorze articles du règlement. Il est composé des chefs des autorités de
contrôle de chaque État membre et du contrôleur européen à la protection des données. Il
est titulaire de différents pouvoirs. Un pouvoir normatif en publiant des lignes directrices
411 Sauron, supra note 295. 412 Ibid. 413 Marino, supra note 35. 414 Brunet, supra note 321. 415 Sauron, supra note 295.
96
et recommandations, un pouvoir de contrôle de l’application du règlement, un pouvoir de
règlement des litiges416.
C’est en cela que les autorités de protection prennent une telle importance dans la
nouvelle régulation de la protection des données personnelles européennes. Avec un tel
fondement la stratégie européenne s’apparente bel et bien à une tentative de souveraineté
numérique : une régulation menée par des autorités plutôt que par l’État, en interaction
avec les entreprises pour contrôler leur mise en conformité, avec les individus pour faire
respecter leur droit et sanctionner les entreprises, avec les États pour les conseiller dans
la rédaction des textes législatifs, le tout porté au niveau européen avec l’interaction des
autorités mise en place par le règlement et l’action du groupe de l’article 29, sous l’égide
d’un comité européen à la protection des données. Parée de tous les atours de la
souveraineté numérique, les autorités de protection semblent être la pierre angulaire417 de
la stratégie européenne de protection des données, le rouage essentiel d’un système
juridique réticulaire complexe.
En conclusion, le règlement façonne un système complexe et uniforme, qui prend
forme par le dépôt du socle de l’application extraterritoriale du règlement, puis se bâtit
autour d’un mécanisme d’obligation de mise en conformité des entreprises, d’un renfort
des souverainetés collectives et individuelles et enfin est parachevé par les autorités de
contrôle de protection, rouage essentiel qui en permet l’application concrète.
Le règlement semble adapter le droit au nouveau cadre international dans lequel
le droit des données personnelles s’applique. Cette mutation semble concrétiser les
apports de la souveraineté numérique. Ce que la souveraineté numérique se fixe comme
objectif, à savoir un désinvestissement de l’État avec une mise du droit en réseau qui
impliquerait plusieurs acteurs non hiérarchisés, se retrouve dans la vision du règlement
de Jean-Luc Sauron, qui y entrevoit
sans doute la concrétisation de ce que pourrait être une structure de régulation post-étatique et polycentrique. Polycentrique en ce sens qu’au-delà du responsable de traitement, des autorités de contrôle et du comité européen,
416 Castets-Renard, supra note 300. 417 Brunet, supra note 321.
97
les acteurs de la régulation seront les particuliers, les entreprises et les associations418.
Deux limites importantes doivent cependant être posées pour relativiser cette
affirmation. La première série de limites est intrinsèque aux dispositions, qui suite aux
longues négociation du règlement ne sont pas aussi fortes qu’elles pourraient l’être. Cette
lacune porte aussi sur l’adaptation du droit dans les États membres. La forme du
règlement a bien pour but l’harmonisation du droit, mais laisse de nombreuses portes de
sortie aux États pour préciser les dispositions419.
La deuxième consiste dans le fait que le règlement ne fixe que le cadre de la
stratégie européenne, et donne les moyens de la réaliser. Il n’est qu’un instrument, dont
l’application dépend de l’action des régulateurs.
418 Sauron, supra note 295. 419 Castets-Renard, supra note 300.
98
Conclusion
« Unifier, c'est nouer mieux les diversités particulières, non les effacer pour un
ordre vain »420.
La souveraineté numérique s’inscrirait dans le droit des données personnelles
existant pour en proposer une orientation tournée vers le droit en réseau. Cette orientation
a pour objectif l’importation des valeurs européennes du droit des données personnelles
dans le numérique et l’opposition aux grands acteurs du numérique. Pour remplir cet
objectif, la souveraineté numérique se pare d’un réalisme pragmatique, qui fait primer
l’efficience de la norme sur sa légitimité.
La souveraineté numérique se penserait comme un enchevêtrement d’un
positivisme hiérarchique et d’un réseau horizontal. La résolution de ce paradoxe semble
se trouver dans la primauté donnée à l’efficacité de la norme au-delà de sa légitimité. La
réalisation du positivisme dans le réseau ne porte plus tellement sur la légitimité de la loi.
L’objectif se décale sur la nécessité d’effectivité de la norme. À la manière du choix de
l’accountability dans le règlement européen, ce sont les choix pragmatiques et effectifs
qui priment sur les choix légitimes, qui consisteraient à conserver le pouvoir d’application
au niveau national. De cette manière, dans la souveraineté numérique, le pouvoir peut se
transférer à des pouvoirs privés ou publics tout en renforçant paradoxalement
l’application de la norme étatique. Ce qui est concédé au réseau est gagné en effectivité
pour l’État.
Ainsi le droit d’Internet vu sous le prisme de l’efficacité contribue à mettre le droit
en réseau. L’efficacité pousse à transférer l’application de la souveraineté numérique au
plus haut niveau, celui de la construction européenne. En raison de sa puissance
normative, l’Union européenne serait l’organe le plus à même de s’imposer et
d’influencer les autres États (en d’autres termes, d’user de sa souveraineté), pour
appliquer la norme qu’elle désire faire respecter. Le règlement européen sur la protection
des données personnelles participe de ce fait de la création d’un tissu normatif régional
uniforme. Appliquer une souveraineté sur le numérique sur les données personnelles pour
l’Union européenne, c’est bien alors « nouer mieux » au sein de ce réseau normatif les
420 Antoine de Saint-Exupéry, Citadelle, Nouv. éd Michel Autrand, coll Bibliothèque de la pléiade, n°454, Paris, Gallimard, 2003, à la p 562.
99
différents acteurs exerçant leur pouvoir sur le numérique. Ce nouement des « diversités
particulières » est ce que paraît faire le règlement européen, par son renforcement des
acteurs et sa mise en place d’une coopération européenne des autorités de contrôle. Une
volonté de souveraineté numérique semble pouvoir alors être déduite du règlement, avec
la limite de l’application effective de cette souveraineté numérique. La citation de Saint-
Exupéry pourrait alors se voir comme une prolongation de la devise de l’Union
européenne, « unie dans la diversité ».
La souveraineté numérique doit en tout cas être appréhendée en tension
permanente entre la protection de la vie privée, les intérêts économiques et sécuritaires,
qui dans la rencontre de leurs enjeux divergents façonnent la souveraineté numérique.
Les questions de souveraineté numérique pourraient cependant se voir réglées au
sein d’un traité du numérique, régissant l’action des souverainetés sur le numérique au
niveau international421. La reconnaissance internationale d’un niveau commun de
protection des données semble devenir l’horizon à long terme422. La forme d’une
convention pose pourtant de nombreux problèmes. Son aspect contraignant empêcherait
un suivi efficace de l’évolution de la technique, et un traité interétatique ne prendrait pas
forcément en compte les acteurs privés, acteurs majeurs du numérique423. Nonobstant ces
limites, un traité pourrait apporter des avantages non négligeables dans l’organisation de
la régulation du numérique. Comme l’a exprimé le professeur Pauline Türk :
une formalisation plus contraignante de ces principes, qui aurait pour effet d’augmenter leur portée normative, permettrait de donner un socle commun aux débats relatifs aux questions politiques et diplomatiques essentielles qui sont désormais liées au développement d’Internet. Il s’agit à la fois de consacrer et de définir des principes aux interprétations parfois divergentes : la liberté d’information ou le droit à la vie privée, par exemple. Il s’agit aussi de concilier des principes potentiellement contradictoires : la diversité et l’unicité, la liberté d’expression et la sécurité publique, la solidarité et le respect de l’autonomie, le droit à la vie privée et la transparence…424
De cette manière, un traité du numérique permettrait peut-être de réguler en partie
et d’offrir au droit des données personnelles la protection requise dans l’espace
421 Benhamou, supra note 186. 422 Roques-Bonnet, supra note 82, à la p 417. 423 Arnaud Vergnes et Caroline Demangeon, Vers un droit global du numérique ?, Compte rendu de la journée d’étude conclusive du cycle d’ateliers Conventions, Paris, Ministère des affaires étrangères, 2016.424Catherine Morin-Dessailly, L’Europe au secours de l’Internet : démocratiser la gouvernance de l’Internet en s’appuyant sur une ambition politique et industrielle européenne, supra note 176, à la p 160.
100
difficilement appréhendable qu’est le numérique. À l’instar des autres espaces
internationaux difficilement appréhendables, comme les espaces maritimes vus en
introduction de ce travail, le traité pourrait s’avérer une solution envisageable aux
problématiques d’application de la souveraineté au numérique.
En conclusion, la souveraineté numérique invite à repenser le rapport du droit au
numérique. Ce travail sur la confrontation de la souveraineté et du numérique peut se
comprendre, à son échelle, comme une illustration supplémentaire de la nécessité
d’adaptation du droit, un droit, en somme, toujours recommencé.
101
Bibliographie
Actes juridiques
Loi 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, JO, 16 novembre 2016. Arrêté du 22 décembre 1981, Enrichissement du vocabulaire de l'informatique, JORF 17 janvier 1982, à la p 684. CE, Directive (CE) n°95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, [1995] JO L 281, à la p 31, 23.11.1995. Parlement européen, Conseil de l’Union européenne et Commission des communautés européennes, Accord interinstitutionnel – Mieux légiférer, [2003], JO C 321, aux pp 1-5, 31.12.2003. Commission nationale de l’informatique et des libertés, Délibération du bureau de la Commission nationale de l’informatique et des libertés n° 2016-026 du 4 février 2016 décidant de rendre publique la mise en demeure n°2016-007 du 26 janvier 2016 prise à l’encontre des sociétés FACEBOOK INC. et FACEBOOK IRELAND, n° 2016-026, 4 février 2016. UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données [2016], JOUE, L 119, à la p 1, 4.5.2016. Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, JO, 8 octobre 2016. Loi n° 2016-1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle, JO, 19 novembre 2016. Commission nationale de l’informatique et des libertés, Délibération CNIL Facebook Délibération de la formation restreinte SAN 2017006 du 27 Avril 2017 prononçant une sanction pécuniaire à l'encontre des sociétés Facebook Inc. et Facebook Ireland, n° SAN, 27 Avril 2017. Jurisprudence Française : Facebook Inc c Monsieur X, Paris, 2016, n°201658
Mme C, M. F, M. H, M. D., 2017, CE 9e et 10e ch., n° 391000.
Google Inc, CE Ass.,2017, n° 399922
102
Européenne : Google Spain SL, Google Inc c Agencia Española de Protección de Datos (AEPD), Mario Costeja González, 2014, CJUE, C-131/12.
Weltimmo s.r.o. c Nemzeti Adatvédelmi és Információszabadság Hatóság, 2015, CJUE, C-230/14.
Maximilian Schrems c Data Protection Commissioner, 2015, CJUE, C-362/14. Canadienne :
AT v Globe24h.com, 2017, FC, 114.
Google Inc v Equustek Solutions Inc, 2017 SCC, 34
Equustek Solutions Inc v Google Inc, 2015, BCCA, 265.
États-uniennes : Microsoft v United States, 2d Cir, 2016, No 14-2985
United States v Miller, 1939, USSC, n° 696.
Ouvrages Bellanger, Pierre. La souveraineté numérique, Paris, Stock, 2014. Benyekhlef, Karim, Antonia Pereira de Sousa, Mathieu Amouroux et Karim Seffar. Une possible histoire de la norme: les normativités émergentes de la mondialisation, Montréal, Éditions Thémis, 2008. Compiègne, Isabelle. Internet: histoire, enjeux et perspectives critiques, coll Infocom, Paris, Ellipses, 2007. Cornu, Gérard, Philippe Malinvaud, Marie Cornu, Marie Goré, Yves Lequette, Anne-Marie Leroyer, Alain Ghozi et Association Henri Capitant. Vocabulaire juridique, Paris, Presses universitaires de France, 2016. Debet, Anne, Jean Massot et Nathalie Métallinos. Informatique et libertés: la protection des données à caractère personnel en droit français et européen, coll Les intégrales, n°10, Issy-les-Moulineaux, Lextenso, 2015. Forest, David. Droit des données personnelles, coll Droit en action, Paris, Gualino-Lextenso éd, 2011. Iteanu, Olivier. Quand le digital défie l’Etat de droit, Paris, Eyrolles, 2016. Laïdi, Zaki. La norme sans la force: l’énigme de la puissance européenne, coll Nouveaux
103
débats, n°3, Paris, Presses de la fondation nationale des sciences politiques, 2005. Ost, François et Michel van de Kerchove. De la pyramide au réseau?: pour une théorie dialectique du droit, coll Publications des Facultés universitaires Saint-Louis, n°94, Bruxelles, Facultés universitaires Saint-Louis, 2002. Roques-Bonnet, Marie-Charlotte. Le droit peut-il ignorer la révolution numérique ?, Paris, Michalon Editions, 2010. (de) Saint-Exupéry, Antoine. Citadelle, Nouv éd, coll Bibliothèque de la pléiade, n°454, Paris, Gallimard, 2003. Salmon, Jean J. A., dir. Dictionnaire de droit international public, coll Universités francophones, Bruxelles, Bruylant, 2001. Schmidt, Eric, Jared Cohen et Anatole Muchnik. À nous d’écrire l’avenir comment les nouvelles technologies bouleversent le monde, Paris, Denoël, 2013. Revues et encyclopédies Autin, Jean-Louis et Pascale Idoux. « Nouvelle technologies de communication. Internet, télématique. », JurisClasseur Administratif, Fasc n° 274-12. Barlow, John Perry. « Déclaration d’indépendance du cyberespace » dans Libres enfants du savoir numérique, coll Hors collection, Paris, Editions de l’Éclat, 2000, 47‑54 Bellanger, Pierre. « De la souveraineté numérique » (2012) 170:3 Le Débat 149‑159. Bellanger, Pierre.. « Les données personnelles : une question de souveraineté » (2015) 183:1 Le Débat 14‑25. Belley, Jean-Guy. « L’Etat et la régulation juridique des sociétés globales » (1986) 18:1 Sociol Sociétés 11‑32. Benhamou, Bernard et Laurent Sorbier. « Souveraineté et réseaux numériques » (2006) Automne:3 Polit Étrangère 519‑530. Bennett, Steven C. « The “Right to Be Forgotten”: Reconciling EU and US Perspectives » (2012) 30:161 Berkeley J Int Law. Benyekhlef, Karim. « L’Internet : un reflet de la concurrence des Etats » (2002) 8:1 Lex Electron. Blandin, Annie. « La composition d’un espace européen autour du régime juridique des données personnelles » dans Politiques sécuritaires et surveillance numérique, CNRS Éditions, coll Les Essentiels d’Hermès, 139‑160. Bloud-Rey, Céline. « Quelle place pour l’action de la CNIL et du juge judiciaire dans le
104
système de protection des données personnelles ? Analyse et perspectives » (2013) 42 D. 2795‑2801. Brunet, Emilie. « Règlement général sur la protection des données à caractère personnel-Genèse de la réforme et présentation globale » (2016) 12 Dalloz IP/IT 567‑572. Carre, Stéphanie et Gilles Vercken. « Google et la fortune du droit d’auteur » dans Mélanges en l’honneur du Professeur Lucas, Lexisnexis, 2014. Castets-Renard, Céline. « Quels liens établir entre les USA et l’UE en matière de vie privée et protection des données personnelles ? » (2016) 3 Dalloz IP/IT 115‑119. Castets-Renard, Céline. « Brève analyse du règlement général relatif à la protection des données personnelles » (2016) 7 Dalloz IP/IT 331‑335. Dautieu, Thomas et Émile Gabrié. « Analyse de l’apport de la loi pour une République numérique à la protection des données à caractère personnel (2e partie) . - Les droits des personnes et les missions et pouvoirs de la CNIL » [2017] 1 CCE. Debet, Anne. « Programme Prism : les citoyens européens sur écoute » (2013) 25 D. 1736‑1736. Debet, Anne. « Facebook sommé de se conformer aux règles françaises de la protection des données » (2016) 6 CCE 38‑42. Debet, Anne. « Les nouveaux instruments de conformité » (2016) 12 Dalloz IP/IT 592‑596. Douzet, Frédérick, Jean-Loup Samaan et Alix Desforges. « Les pirates du cyberespace » (2009) 134:3 Hérodote 176‑193. Duong, Lê-My. « Les sources du droit d’internet : du modèle pyramidal au modèle en réseau » (2010) 13 D. 783‑789. Forest, David. « Facebook interroge la souveraineté numérique » (2016) 5 Dalloz IP/IT 263‑266. Frison-Roche, Marie-AnneJ Chevalier, dir, Internet et nos fondamentaux, Paris, PUF, 2000. Gabrié, Emile. « Les pouvoirs des autorités de protection des données » (2017) 5 Dalloz IP/IT 268‑272. Gheorghe-Badescu, Ioanna. « Le nouveau règlement général sur la protection des données » [2016] Rev Union Eur p.466. Haas, Gérard. « Union européenne : cinq propositions pour la reconquête de la souveraineté numérique perdue » (2014) 391 Expertises des Systèmes Informations 192‑193.
105
Halpin, Harry. « La souveraineté numérique. L’aristocratie immatérielle du World Wide Web » (2008) 35:4 Multitudes 201‑213. Jault-Seseke, Fabienne. « Le règlement 2016/679/UE relatif aux données personnelles. Aspects de droit international privé » (2016) 32 D. 1874‑1880. (de) La Coste, Pierre. « La gouvernance internationale de l’Internet » (2006) Automne:3 Polit Étrangère 507‑518. Lasprogata, Gail, King Nancy J. et Pillay Sukanya. « Regulation of Electronic Employee Monitoring: Identifying Fundamental Principles of Employee Privacy through a Comparative Study of Data Privacy Legislation in the European Union, United States and Canada » [2004] 4 Stanf Technol Law Rev. Lesaulnier, Frédérique. « La définition des données à caractère personnel dans le règlement général relatif à la protection des données personnelles » (2016) 12 Dalloz IP/IT 573‑580. Lessig, Lawrence. « Code Is Law, On Liberty In Cyberspace » [2000] Harv Mag. Marino, Laure. « Le règlement européen sur la protection des données personnelles : une révolution » (2016) 22 JCP G 1079‑1079. Meuris, Florence. « Vers un marché européen du numérique » (2015) 6 CCE 2‑2. Mueller, Milton L. « Gibt es Souveränität im Cyberspace? » (2015) 1 Journal of Self-Regulation and Regulation. Naftalski, Fabrice. « Facebook rattrapé par la loi belge sur la protection des données » (2016) 2 Dalloz IP/IT 98‑100. Naftalski, Fabrice.. « L’impact du nouveau règlement sur les stratégies de transferts internationaux des données personnelles » (2016) 7 Dalloz IP/IT 340‑344. Ochoa, Nicolas. « Pour en finir avec l’idée d’un droit de propriété sur ses données personnelles : ce que cache véritablement le principe de libre disposition » [2016] 6 RFDA 1157. Perray, Romain. « Arrêt Schrems : Cour(s) magistral(e) de droit à la protection des données personnelles » (2015) 12 CCE 9‑13. Perray, Romain. « INFORMATIQUE. Données à caractère personnel. Introduction générale et champ d’application de la loi “Informatique et libertés” », JurisClasseur Administratif, Fasc 274-10. Perray, Romain. « La délimitation territoriale du RGDP: le champ d’application et les transferts de données hors de l’Union européenne » (2016) 12 Dalloz IP/IT 581‑587.
106
Poullet, Yves. « Technologies de l’information et de la communication et “co-régulation” : une nouvelle approche ? » dans P Wéry, P Wynants et Y Poullet, dir, Liber amicorum Michel Coipel, coll Kluwer, Bruxelles, 2004, 167‑188. Rozenfeld, Sylvie. « Données personnelles : affaire Prism, pas de souveraineté numérique sans industrie européenne du cloud computing » (2013) 382 Expertises des Systèmes d'Information 243‑243. Rozenfeld, Sylvie. « E-colonisation, Olivier Iteanu » (2016) 418 Expertises des Systèmes Informations 366‑370. Saint-Laurent, Geneviève. « Vie privée et “droit à l’oubli” : que fait le Canada ? » (2015) 66 U.N.B.L.J. Sauron, Jean-Luc. « Le règlement général sur la protection des données, règlement (UE) n° 2016/679 du 27 avril 2016 : de quoi est-il le signe ? » (2016) 9 CCE 13‑17. Schwartz, Paul et Danie Solove. « Reconciling Personal Information in the United States and European Union » (2014) 102:4 Calif Law Rev 877. Tambou, Olivia. « Protection des données personnelles : les difficultés de la mise en oeuvre du droit européen au déréférencement » (2016) 2 RTDE 249‑274. Tambou, Olivia. « L’émergence d’un modèle européen d’interrégulation en matière de protection des données personnelles » dans Liber amicorum en l’honneur du Professeur Joël Monéger, Lexis Nexis, 2017, 600. Trudel, Pierre. « La lex electronica » dans Le droit saisi par la mondialisation, coll Droit International, Bruxelles, Bruylant, 2001, 477. Türk, Pauline. « La souveraineté des Etats à l’épreuve d’Internet » [2013] 6 Revue Droit Public 1489. « Volonté de l’Allemagne de renforcer sa “souveraineté numérique” » [2014] 107 RLDI. Colloques et actes de colloques Benhamou, Bernard. Les dimensions internationales du concept de souveraineté numérique, Nice, 2016. Billet, Carole. « Le transfert de données à caractère personnel aux États tiers » dans Droits et souveraineté numérique en Europe, Bruxelles, Bruylant, 2016, 165‑188. Blandin-Obernesser, Annie. Droits et souveraineté numérique en Europe, Bruxelles, Bruylant, 2016. Blandin-Obernesser, Annie. « Les entreprises souveraines de l’Internet : un défi pour le droit en Europe. » dans Droits et souveraineté numérique en Europe, Bruxelles, Bruylant, 95‑109.
107
Boizard, Maryline. « La tentation de nouveaux droits fondamentaux face à Internet : vers une souveraineté individuelle ? Illustration à travers le droit à l’oubli numérique » dans Droits et souveraineté numérique en Europe, Bruxelles, Bruylant, 2016, 31‑55. Cattaruzza, Amaël. « La “Balkanisation du cyberespace” Débat et perspectives stratégiques » dans Droits et souveraineté numérique en Europe, Bruxelles, Bruylant, 2016, 109‑124. Derosier, Jean-Philippe. Les limites du concept de souveraineté numérique, Nice, 2016. Desforges, Alix. « Les stratégies européennes dans le cyberespace » dans Droits et souveraineté numérique en Europe, Bruxelles, Bruylant, 2016, 81‑90. Erhel, Corinne. « Souveraineté et innovation : trouver l’équilibre » dans Droits et souveraineté numérique en Europe, Bruxelles, Bruylant, 2016, 91‑94. Falque-Pierrotin, Isabelle. Souveraineté numérique et données personnelles, Nice, 2016. Martin, Valentine. La république numérique en débat au Parlement : le projet de commissariat pour la souveraineté numérique, Nice, 2016. Meunier, P. Les compétences de l’Union européenne et la souveraineté numérique, Nice, 2016. Quiviger, Pierre-Yves. L’approche philosophique du concept émergent de Souveraineté numérique, Nice, 2016. Robin, Agnès. « Rapport de synthèse » dans Sylvain Chatry, dir, La régulation d’Internet - Regards croisés de droit de la concurrence et de droit de la propriété intellectuelle, Mare & Martin, 2016, 188. Rochfeld, Judith. « Les géants de l’Internet et l’appropriation des données personnelles : plaidoyer contre la reconnaissance de leur “propriété”. » dans L’effectivité du droit face à la puissance des géants de l’Internet. Actes des journées du 20, 21 et 22 octobre 2015, Paris, IRJS éditions, 2016. Rochfeld, Judith. « Les géants d’Internet et l’exploitation des données personnelles : l’activation du droit “à l’oubli” numérique à l’égard des moteurs de recherche » dans L’effectivité du droit face à la puissance des géants de l’Internet. actes des journées du 20, 21 et 22 octobre 2015, Paris, IRJS éditions, 2016. Trudel, Pierre. « La souveraineté en réseau » dans Droits et souveraineté numérique en Europe, Bruxelles, Bruylant, 2016, 5‑14. Turgis, Sandrine. « Les valeurs du Conseil de l’Europe appliquées à Internet » dans Droits et souveraineté numérique en Europe, Bruxelles, Bruylant, 2016, 17‑30. Türk, Pauline. Rapport introductif : « "De la souveraineté à l’épreuve du numérique" à
108
la "Souveraineté numérique" », Nice, 2016. Watin Augouard, Marc. Les enjeux de sécurité de la « souveraineté numérique », Nice, 2016. Zoller, Elisabeth. « Le droit au respect de la vie privée aux États-Unis » dans F Sudre, dir, Le droit au respect de la vie privée au sens de la Convention européenne des droits de l’homme, n° 63, coll Droit et Justice, Bruxelles, Bruylant, 2005, 35‑67.
Rapports et compte rendu :
Brizé, Nicolas, Numérique : notre souveraineté est-elle menacée ?, Synthèse des 1ères Assises de la Souveraineté Numérique, Paris, 2014. Brizé, Nicolas, Souveraineté numérique : quels enjeux pour l’économie française ?, Synthèse des 2èmes Assises de la Souveraineté Numérique, Paris, 2015.
Cattaruzza, Amaël, Didier Danet, Alix Desforges, Frédérick Douzet et David Naccache. La balkanisation du web : chance ou risque pour l’Europe ?, Paris, Délégation aux affaires stratégiques du Ministère de la défense, 2014. Morin-Dessailly, Catherine. L’Union européenne, colonie du monde numérique ?, Rapport d’information, 443, Paris, Sénat, 2012. Morin-Dessailly, Catherine. L’Europe au secours de l’Internet : démocratiser la gouvernance de l’Internet en s’appuyant sur une ambition politique et industrielle européenne, n° 696, Paris, Sénat, 2014. Sauvé (dir.), Jean-Marc. Le numérique et les droits fondamentaux, coll Les rapports du Conseil d’État, Conseil d’État, 2014. Thery, Jean-François et Isabelle Falque-Pierrotin. Internet et les réseaux numériques, coll Études du conseil d’État, Conseil d’État, 1998.
Vergnes, Arnaud et Caroline Demangeon. Vers un droit global du numérique ?, Compte rendu de la journée d’étude conclusive du cycle d’ateliers Conventions, Paris, Ministère des affaires étrangères, 2016.
Data Protection - Report, coll Special Eurobarometer 431, European Commission, 2015.
Articles de presse et tribunes :
Morin-Dessailly, Catherine. « Souveraineté numérique : passer du discours aux actes », Le Monde (8 février 2017)
109
Reding, Viviane et Jan Philipp Albrecht. « Ne sacrifions pas la protection des données sur l’autel du libre-échange », La Tribune (6 mars 2017) Reding, Viviane. « Souveraineté numérique : « écrivons des règles du jeu internationales solides» », Libération (5 octobre 2016).
« Le Danemark va envoyer un « ambassadeur numérique » au pays de Google et Facebook », Le Monde (7 février 2017)
110
Annexe 1
Tableaudedéfinitionsetd’élémentsdedéfinitiondelasouveraineténumérique
Légende :
Contributions à l’ouvrage collectif « Droits et souveraineté numérique en Europe », direction Annie Blandin-Obernesser, Bruxelles, Bruylant, 2016
Allocutions lors du colloque « Souveraineté numérique : le concept, les enjeux » à la faculté de Nice le 7 octobre 2016. En gras : définitions de la souveraineté numérique
Source Définition et éléments de définitions Domaines d’application
Juridique Annie Blandin-Obernesser, Droits et souveraineté numérique en Europe, Bruxelles, Bruylant, 2016
BLANDIN-OBERNESSER : « Avant-propos »
« En tout cas et de toute évidence, c’est de souveraineté au pluriel qu’il convient de parler. On soulignera à ce propos la coïncidence entre les enjeux de la construction européenne qui déjà nous invitait à penser différemment la souveraineté, et ceux du numérique ». p.1-2
Trudel Pierre « La souveraineté en réseaux »
« Rendre compte du droit et des souverainetés à l’ère d’Internet requiert de prendre la mesure des conditions engendrées par la prééminence de l’environnement en réseau sur le droit et sur les reconfigurations de la souveraineté qui en résultent » p.5 « Une logique de réseaux supplante de plus en plus une logique de lieux » p.5 « Les acteurs au sein du réseau vont nécessairement devoir gérer les risques qui leur sont induits par les normativités techniques, les pratiques des autres et les lois étatiques qui sont susceptible de s’appliquer à leurs activités. C’est pourquoi réguler les activités se déroulant dans différent contexte du réseau, c’est intervenir dans le cadre d’un processus de gestion de risque ». p.9 « L’État se trouve désormais de plus en plus concurrencé par d’autres entités productrices de normativité » p.6 « De plus en plus, le territoire entendu comme lieu d’influence des entités souveraines s’entend de l’espace constitué par les réseaux ». p.12.
111
« Par dessus-tout, l’UE incarne « un modèle intéressant de souveraineté en réseau » » p.13
Sandrine Turgis « Les valeurs du conseil de l’Europe appliquées à Internet ».
« Pour assurer dans l’environnement numérique le respect de ses valeurs que sont les droits de l’homme, la démocratie et la prééminence du droit, le Conseil de l’Europe se doit d’appréhender Internet tel qu’il est, c’est-à-dire un réseau global et planétaire. C’est pourquoi son action prend deux directions complémentaires. Ainsi à l’importation des valeurs du Conseil de l’Europe à l’environnement en ligne répond la volonté d’exporter ces valeurs au-delà de l’organisation européenne et de ses États membres ». p.19
Maryline Boizard « La tentation de nouveaux droits fondamentaux face à Internet : vers une souveraineté individuelle ? Illustration à travers le droit à l’oubli numérique »
Sur le droit à l’oubli : « La reconnaissance d’un tel droit procéderait assurément d’un renforcement des souverainetés individuelles mais peut dans le même temps creuser le fossé qui sépare la conception européenne d’Internet et de la protection des données personnelles et les conceptions d’autres puissances économiques » p. 31. « Dans cette perspective les souverainetés peuvent être envisagées de deux manières différentes. Les souverainetés peuvent être définies comme la somme des souverainetés individuelles par opposition à la souveraineté (…). Néanmoins les souverainetés renvoient également incontestablement à la confrontation des souverainetés nationales – ou européennes pour ce qui nous concerne – et puisqu’il s’agit de traiter des problématiques d’Internet, nous sommes inévitablement conduits à songer, en arrière-plan, à la notion émergente de souveraineté numérique qui oppose aujourd’hui la souveraineté états-uniennes et la souveraineté européenne ». p.32 Etude du critère territorial : où s’applique le droit à l’oubli ? Problématique de la maîtrise du droit à l’oubli dont la gestion a été laissée à Google.
Droit des données personnelles
Alix Desforges, « Stratégies Européennes dans le cyberespace »
Importance de la puissance normative de l’UE pour rivaliser par la souveraineté.
Blandin-Obernesser, « Les entreprises souveraines de l’Internet : un défi pour le droit en Europe »
Les Gafas ont acquis les caractéristiques d’un pouvoir souverain. Elles se présentent comme entreprises citoyennes. Face au transfert de compétence à l’Union européenne existe une persistance du niveau national sur les terrains sécuritaires.
Colloque « Souveraineté Numérique : le concept, les enjeux », Faculté de droit de Nice, 7 octobre 2016.
112
Pauline Türk, rapport introductif : « de la souveraineté à l’épreuve du numérique à la souveraineté numérique ».
Reprend les définitions de Pierre Bellanger. Pas une souveraineté numérique mais des souverainetés numériques : celle de l’individu, des groupes d’utilisateurs, des opérateurs privées. Pour Trudel ce qui est souverain est ce qui a le pouvoir de se faire obéir. La souveraineté numérique c’est aussi celle des États comme la Chine ou la Russie.
Dominique Rousseau : Discours introductif
L’objet du droit constitutionnel a souvent été l’État il porte désormais davantage sur les questions de sociétés. Doute quant à la pertinence du concept de souveraineté pour penser ce qu’il arrive : il a été conçu pour penser l’État. Est-il toujours pertinent alors que les sociétés cherchent d’autres formes que l’État pour s’organiser ? Proposition de « coopération loyale » plutôt que souveraineté.
Derosier : « Les limites du concept de souveraineté numérique »
La souveraineté numérique invite à dépasser le modèle pyramidal : en vertu de quelle critère les nouvelles normes existent-elles alors ? La souveraineté numérique invite à dépasser l’État, mais les acteurs de ce concept n’existent que par l’État. Souveraineté numérique « ne peut s’entendre qu’à l’échelle du numérique, c’est-à-dire sans frontière et, donc, à l’échelle mondiale. Donc sans les États. Donc sans le droit ! ».
Pierre-Yves Quiviger « L’approche philosophique du concept émergent de souveraineté numérique »
Réflexion sur le sens de l’expression. Sens 1 : protéger la souveraineté du numérique Sens 2 : investir le champ du numérique pour garder la maîtrise. La souveraineté numérique est d’ « ontologie réticulaire ». La souveraineté a du se remodeler au fil de l’histoire en fonction des évolutions.
Meunier P. « Les compétences de l’Union européenne et la souveraineté numérique »
Numérique et Europe ont un point commun : la transnationalité.
Benhamou B. « Les dimensions internationales du concept de souveraineté numérique »
La souveraineté numérique entraîne un risque de balkanisation du réseau. Idée d’un traité du numérique.
Falque-Pierrotin I. : « Souveraineté numérique et données personnelles »
Souveraineté numérique : « comment est-ce que nous réinterprétons l’exercice de la souveraineté dans l’univers qui est le notre ? ». Le droit des DP est un excellent laboratoire : ce qui y est observé peut s’appliquer plus généralement. La SN vise à démontrer aux GAFA que le droit national et européen s’applique. Souveraineté individuelle : capacité de décider librement sur ses données. Sentiment de perte de maîtrise. Selon I. Falque-Pierrotin, « la réponse s’organise d’une façon plus orchestrée que dans le passé », appuyée sur un « substrat juridique solide ». Par le règlement le législateur européen souhaite redonner les moyens de la souveraineté à l’Europe.
Droit des données personnelles.
113
David Forest « Facebook interroge la souveraineté numérique », Dalloz IP/IT, aux p 263-266, 2016.
Action et décisions de la CNIL Autorégulation des GAFAs (« acteurs quasi-souverain »).
Loi n°2016-1321 du 7 octobre 2016 pour une République Numérique
• Article 29 :
« Le Gouvernement remet au Parlement, dans un délai de trois mois à compter de la promulgation de la présente loi, un rapport sur la possibilité de créer un Commissariat à la souveraineté numérique rattaché aux services du Premier ministre, dont les missions concourent à l'exercice, dans le cyberespace, de la souveraineté nationale et des droits et libertés individuels et collectifs que la République protège. Ce rapport précise les moyens et l'organisation nécessaires au fonctionnement du Commissariat à la souveraineté numérique. »
(Il n’a aujourd’hui pas été donné de suite à cet article)
Sciences Politiques
« La balkanisation du Web : chance ou risque dans l’Europe », Délégation aux affaires stratégiques, Ministère de la Défense, Septembre 2014.
Remarque d’une montée en puissance des discours sur la souveraineté numérique
« La gouvernance internationale de l’Internet », Politique Etrangère, Pierre de la Coste 2006/3 n°134, aux p 176 à 193.
Définition : « On peut évoquer pour mieux comprendre notre société en réseaux une « théorie de la souveraineté numérique » qui s’énoncerait ainsi : chaque structure est dite souveraine numériquement quand elle parvient à créer une interopérabilité entre les sous-structures qui la composent, et à éviter l’interopérabilité non désirée avec les structures dont elle dépend ». (p.510) « Émergence de nouvelles formes de relations entre l’État et le citoyen, passant de la « culture du silo » (approche verticale) à la culture du réseau. »
« Souveraineté et réseaux numériques » Bernard Benhamou et Laurent Sorbier, Politique étrangère 2006/3 n°134, aux p 519 à 530.
Mention de la souveraineté numérique. (p.530)
Harry Halpin « La souveraineté numérique, l’aristocratie immatérielle du World Wide Web », 2008/4 n°35, aux p 201 à 213.
Description de l’« aristocratie » d’Internet, les individus les plus puissants en raison de leurs compétences sur le réseau.
114
« Les Pirates du Cyberespace », Frédérick Douzet, Jean-Loup Samaan et Alix Desforges, Hérodote, 2009.
« Chaque État veille à préserver sa souveraineté numérique, à savoir le contrôle sur ses réseaux et sous-réseaux (rappelons que l’Internet est un réseau de réseaux) et à assurer la sécurité et le respect de ses lois sur son territoire. » (p.191.)
Politique Le Monde Catherine Morin Dessailly « Souveraineté numérique : passer du discours aux actes », 8 février 2017.
Demande d’une souveraineté numérique soutenue par la puissance publique.
Domaine fiscal Développement industriel Droit des données personnelles
Rapport du Sénat « L’Europe, colonie du monde numérique ? », Rapport d’information, 443, Sénat, 2012.
Le rapport fait de la souveraineté numérique un objectif politique pour l’Union européenne. Cela est perceptible dans les titres : « La souveraineté numérique : un objectif politique pour l’Union européenne » « Polariser l’Union européenne en interne vers la reconquête de cette souveraineté numérique » « Mieux intégrer l’ensemble des politiques européennes au service de cette ambition de souveraineté numérique »
Programme François Fillon 2017 https://www.fillon2017.fr/projet/numerique/
« Il faut affirmer la souveraineté numérique de la France et de l’Europe face aux États-Unis, à la Chine, ou aux géants de l’Internet; l’indépendance technologique et la cybersécurité seront nos priorités ; il faut continuer à défendre nos valeurs et notre liberté d’expression. » « Construire une véritable souveraineté numérique européenne »
Plate-forme numériques industrielles et sectorielles Intelligence artificielle Blockchain Cybersécurité Données personnelles (renégocier la réglementation européenne)
Programme Emmanuel Macron 2017
• « Objectif 5 : Une Europe du numérique.
L’Europe est l’espace pertinent pour développer le potentiel économique du numérique. C’est aussi à cette échelle que nous pouvons réguler la concurrence internationale et défendre avec lucidité et souveraineté, comme le font les autres grandes puissances, nos intérêts économiques et industriels dans la mondialisation. »
Régulation des plateformes Données personnelles (renégocier le Privacy Shield) Marché unique numérique Taxe sur le chiffre d’affaire.
Programme Benoît Hamon
• Mention de la souveraineté numérique Logiciel libre Cyberdéfense.
Général Pierre Bellanger « La souveraineté numérique », Le Débat, 170 :3, aux p 149-159, 2012.
« La souveraineté numérique s’impose au cœur de ces enjeux. Elle est la maîtrise de notre présent et de notre destin tels qu’ils se manifestent et s’orientent par l’usage des technologies et des réseaux informatiques ».
115
Pierre Bellanger « La souveraineté numérique », Paris, Stock, 2014.
« Il faut reconquérir notre souveraineté sur les réseaux et souveraineté informatique, y retrouver la maîtrise de notre destin. Telle est la souveraineté numérique ». « Les États sont des lieux, l’Internet est un lien » p.15
Serveur national Alliance de la puissance publique et des entreprises.
Synthèse des 1ères Assises de la souveraineté numérique, « Numérique : notre souveraineté est-elle menacée ? », Nicolas Brizé, 13 mai 2014.
Corinne Ehrel « De l’audace et de l’innovation »
La souveraineté numérique est une « réponse collective, en adaptant à la fois nos comportements, en faisant évoluer nos usages et nos pratiques, et en encourageant l’innovation et l’audace ». La souveraineté numérique n’est pas un « repli sur soi ».
Politique industrielle et protection des données personnelles.
Blandine Kriegel « La souveraineté a-t-elle encore un sens dans un monde globalisé ? »
Nécessité d’une mise en place d’un droit international public du numérique. « Réconcilier la souveraineté et la société civile » : nous n’avons pas à abandonner la souveraineté, mais à l’élargir (…) ; nous avons à l’ouvrir à la société civile globalisée, à la penser dans la coopération et l’équilibre des pouvoirs, selon des règles de justice à l’échelle de l’Europe, mais aussi de l’humanité ».
Didier Renard « Le cloud souverain au service du redressement français ? »
Les cloud souverains peuvent garantir la sécurité nationale. « Le cloud computing est un enjeu de sécurité nationale et un enjeu d’indépendance énergétique »
Cloud souverain
Table Ronde « La souveraineté a t-elle encore un sens quand les territoires sont devenus numérique ? »
Alain Garnier : « Le logiciel est la base de notre souveraineté, la partie la plus centrale du numérique, son actif principal ». Pascal Thomas : pour la reconquête de la souveraineté numérique, demande d’un système juridique et fiscal équitable, ainsi qu’une capacité à financer cette stratégie de conquête. Marc Charrière : Plan « Souveraineté Télécoms », « piloté par Alcatel-Lucent, conjointement avec l’Etat ». Objectif d’industrie des réseaux, de sécurisation et virtualisation des réseaux.
Logiciels, applications mobiles.
Table ronde « Faut-il inventer une data-éthique ? »
Mise en avant de la question des valeurs européennes dans la souveraineté numérique.
116
Table ronde 3 « Quelle régulation pour les données ? »
Bernard Benhamou : Droit à l’oubli, priorité à une industrie européenne Pierre-Jean Benghozi : la régulation relève de l’action de plusieurs autorités (CNIL, Hadopi, CSA, juge, ARCEP). Elle doit pouvoir prendre en compte la captation et le traitement des données et articuler la régulation locale et internationale. Eric Pérès : « Débat sur la régulation à mettre en place « Deux débats pour un combat d’une part les tenants d’une déréglementation au service d’une liberté d’entreprendre, et les tenants d’un encadrement normatifs rigides d’autre part. » Alain Bazot : « Le cadre de la régulation est a minima européen, voire mondial ».
Synthèse des 2èmes
Assises de la souveraineté numérique. « Souveraineté numérique : quels enjeux pour l’économie française ? ». Mercredi 14 avril 2015
Benhamou Bernard « Nouvelles formes d’atteintes à la souveraineté : quelles réactions des Etats ? Quelles conséquences pour les entreprises ? »
Les préoccupations de l’Institut de la souveraineté numérique portent sur l’établissement d’une base industrielle, la restauration d’un « équilibre entre sécurité et confiance » en ligne, ainsi que de redonner aux citoyens le pouvoir de déterminer leur « devenir numérique ». La souveraineté numérique n’est pas un repli sur soi, mais le moyen de devenir les « architectes de notre destin numérique ».
Politique industrielle.
Table Ronde 1 : « Economie du partage ou nouvel impérialisme ? »
Alain Garnier : Jean-Manuel Rozan : il y a eu une « prise de conscience Snowden » à l’origine du projet de moteur de recherche européen Qwant. Jean-Louis Constanza : domination américaine et chinoise sur les secteurs commerciaux numériques. Il y a une nécessité d’investir dans l’Internet des objet, « la robotique, l’intelligence artificielle, la génétique appliquée ».
Thierry Evanno « Infrastructures : le plan industriel « Souveraineté Télécoms »
Deux axes de la souveraineté télécom : la sécurisation des infrastructures, l’accompagnement des évolutions.
Infrastructures
Sébastien Soriano « Quelle place et quels moyens pour la régulation ? »
La souveraineté numérique est-elle seulement une question de régulation des réseaux ou aussi de régulation des plateformes ? Trois niveaux de régulation des plateformes : la concurrence entre les plateformes, l’impact des plateformes sur l’économie numérique, la transformation des verticales.
Régulation des plateformes
117
Olivier Iteanu « Le point de vue de l’utilisateur »
Deux outils de régulation : la réglementation-régulation et le contrat. La meilleure assurance pour l’utilisateur reste les promesses des prestataires, qui doivent créer un référentiel clair et doivent faire face à un devoir de certification.
Catherine Morin-Dessailly « L’Europe peut-elle reconquérir sa souveraineté numérique ? »
Quatre propositions de souveraineté numérique : 1. Une appropriation citoyenne de l’internet, 2. Un régime exigeant et réaliste de protection de nos données, 3. Afficher une véritable ambition pour une politique industrielle puissante, 4. Une régulation offensive des acteurs de l’écosystème. « Il est temps aussi que l’Europe pèse dans le cybermonde pour affirmer un monde qui se construit sur la base des principes européens, c’est-à-dire la charte des droits fondamentaux. Nous sommes pour un internet neutre, libre, ouvert, qui puisse éviter une fragmentation de cet espace auquel nous sommes tous attachés ».
Protection des données et politique industrielle.
Jean-Pierre Benghozi : « Plateformes : sur quoi faire porter la régulation ? »
Souveraineté des infrastructures et des réseaux, limites du cadre réglementaire, nécessité d’une régulation sectorielle ex ante : « La question de la souveraineté numérique s’inscrit ainsi dans un cadre très large où chacun des acteurs n’intervient qu’à un niveau spécifique, sur un territoire spécifique ».
Régulation des plateformes.
