Intervention de Laurence Harribey

Monsieur le Président, mes chers collègues, comme le président l'a indiqué, Christophe-André Frassa et moi-même avons mené nos travaux à partir de l'initiative de Catherine Morin-Desailly, très investie sur la question de la souveraineté numérique.

La pandémie de Covid 19 a mis en lumière de manière crue la dépendance de l'Europe aux grands acteurs américains du numérique. Nous l'avons vu, par exemple, avec le recours de nombreux États européens aux solutions proposées pour mettre en place leur application numérique nationale de traçage des contacts, telle « Stop-Covid », visant à lutter contre l'épidémie. En France, la base nationale des données de santé - le fameux Health Data Hub -, officiellement créée par le Gouvernement à l'automne 2019, a fait l'objet, à la faveur de la crise, de vives controverses au sein même de notre hémicycle. En effet, le choix de Microsoft pour héberger et traiter ces données sensibles, aux dépens d'acteurs européens, a agi comme un révélateur de la dépendance des entreprises et États européens vis-à-vis des acteurs extra-européens du numérique, notamment américains, en termes de capacités de collecte, de stockage et de traitement des données - ce dernier point constituant un enjeu crucial. Le Gouvernement français a en effet justifié son choix par un déficit d'offre européenne en matière d'infrastructures, de logiciels et de plateformes permettant d'exploiter les données. Or, cet argument de l'absence d'acteurs européens, qui revient comme un leitmotiv, nous entraîne dans un cercle vicieux.

Un deuxième élément de contexte plaidait pour se pencher sur le sujet des données. Le 16 juillet dernier, la Cour de Justice de l'Union européenne (CJUE), dans son fameux arrêt « Schrems II » a invalidé le « Privacy Shield », cet accord d'adéquation qui permettait le transfert, sans exigences supplémentaires, de données personnelles européennes vers les États-Unis. Ce faisant, la CJUE n'a fait que reconnaître ce que tout le monde savait depuis plusieurs années, à savoir que le droit et les pratiques des autorités américaines en matière d'accès aux données dans le cadre des activités de renseignement n'offrent pas un niveau de protection des données personnelles équivalent à celui prévu par le règlement général sur la protection des données (le RGPD). L'existence du RGPD a en effet changé la donne par rapport à la situation qui prévalait antérieurement à 2018, en établissant un cadre juridique de référence. Dans son arrêt, la Cour ne pose cependant pas un principe d'interdiction de tout transfert de données personnelles vers les États-Unis (ou d'autres destinations) mais, conformément au RGPD, la Cour rappelle qu'il incombe désormais à tout responsable de traitement des données souhaitant transférer des données hors de l'Union européenne de vérifier, au cas par cas, si les garanties substantielles prévues par le RGPD sont assurées. À l'instar de ce que prévoient d'autres règlements européens, tel le règlement REACH sur les substances chimiques, le RGPD instaure un mécanisme de renversement de la charge de la preuve, favorable aux victimes.

Ce contexte particulier légitime l'heureuse initiative prise par notre collègue Catherine Morin-Desailly, il y a quelques semaines, d'une initiative afin d'imposer le traitement des données européennes en Europe et par des entreprises européennes. Les travaux menés avec notre collègue Christophe-André Frassa ont d'ailleurs mis en évidence des enjeux allant au-delà de la simple protection des données. C'est pourquoi, avec l'accord de Catherine Morin-Desailly, nous avons élargi le champ de son initiative et lui avons donné la forme d'un avis politique destiné à orienter les prochaines propositions européennes en la matière.

Personnelles ou non- personnelles, les données sont tout aussi stratégiques : l'enjeu dépasse la question de la protection de la vie privée attachée à la protection des données personnelles.

Les données sont souvent qualifiées de « pétrole du XXIè siècle ». La croissance exponentielle de leur masse est appelée à s'accélérer, notamment en raison de la diffusion des objets connectés. L'innovation fondée sur l'exploitation de ces données, notamment grâce à l'intelligence artificielle, est l'une des clefs pour affronter les grands défis actuels, aussi bien environnementaux que sociétaux : vieillissement, lutte contre le réchauffement climatique, optimisation des mobilités, de la consommation d'énergie, mais aussi transformation de l'action publique ou lutte contre le terrorisme. L'exploitation des données représente, pour l'Europe, un relais de croissance considérable ainsi qu'un enjeu politique majeur.

Dans ce contexte, la souveraineté des États européens et de l'Union est soumise à deux risques majeurs. D'une part : la compétition « classique » avec des États tiers, qui se manifeste désormais aussi dans le champ de la maîtrise des données, au-delà de la simple question de leur hébergement. Il n'est évidemment pas acceptable, pour un État, que les autorités d'un autre État puissent accéder à ses données stratégiques ou à celles de ses entreprises, comme le permettent par exemple, aux États-Unis, le Patriot Act, ou l'article 702 du Foreign Intelligence Surveillance Act (FISA), qui autorise l'Agence nationale de sécurité américaine, la NSA, à récupérer des données concernant les personnes étrangères stockées sur des serveurs américains aux États-Unis. Cela concerne aussi bien les données personnelles que les données non-personnelles, notamment industrielles ou commerciales : la frontière avec l'espionnage industriel est parfois ténue.

L'atteinte à la souveraineté est bien sûr renforcée par le caractère extraterritorial de certaines lois comme le Cloud Act, de 2018, qui permet aux autorités américaines d'accéder aux données hébergées ou traitées par des sociétés américaines, y compris en-dehors des États-Unis. D'où l'intention première de Catherine Morin-Desailly de se concentrer sur l'hébergement et le traitement des données européennes par des sociétés européennes.

Le deuxième risque concerne les fonctions régaliennes. En effet, les acteurs privés américains, et dans une moindre mesure chinois, dominants sur les marchés, montrent une aspiration croissante à concurrencer les États dans leurs fonctions régaliennes traditionnelles, par exemple la fourniture d'identité en ligne ou la création de monnaies.

De là découle un troisième risque qui est à la fois économique et politique : il est aisé, pour ces sociétés, d'influencer les comportements des individus : grâce aux milliers de données accumulées, elles les connaissent presque exhaustivement. Tirant profit de leurs opérations de profilage, ces sociétés sont capables, en modulant tel ou tel paramètre, en présentant telle ou telle information au moment adéquat, de modifier les comportements économiques des consommateurs, grâce au « micro-targeting ». Mais ce sont aussi les choix politiques des citoyens qui, à force de profilage, peuvent être influencés ; de graves interférences dans les processus démocratiques sont alors possibles. Je vous invite à lire L'âge du capitalisme de surveillance, de l'universitaire américaine Shoshana Zuboff, qui expose de manière édifiante les enjeux qui sous-tendent ces manipulations des données.

En conséquence, le cadre juridique européen doit absolument être consolidé, tel qu'envisagé dans le texte de Catherine Morin-Desailly. En ce qui concerne les données personnelles, le RGPD, appliqué avec diligence, permet sans aucun doute de résoudre une grande partie des préoccupations évoquées. L'existence d'un cadre juridique européen solide en matière de protection des données personnelles a été confirmée au cours de l'ensemble de nos auditions. Néanmoins, il serait sans doute utile, dans la lignée du récent arrêt de la CJUE, de rappeler plus fermement aux acteurs économiques mais aussi aux gouvernements européens la responsabilité qui leur incombe à ce titre lorsqu'ils souhaitent transférer des données personnelles vers des pays tiers. Comme l'a rappelé la Cour, c'est bien au responsable du traitement, c'est-à-dire à la personne physique ou morale qui détermine les finalités et les moyens du traitement, qu'il revient de prouver que le traitement est à bon escient et de s'assurer du respect du RGPD. Si ce n'est pas le cas, nous risquons un afflux de plaintes, notamment auprès des autorités nationales de protection des données, pour non-respect de ces dispositions.

Mais au-delà du traitement des données personnelles, il convient d'élargir le champ de la règlementation européenne au traitement des données non-personnelles. Ce point va vous être exposé par Christophe-André Frassa.