Intervention de Christophe-André Frassa

Merci. Parallèlement, il est urgent de mettre en place une règlementation européenne comparable en matière de transferts de données non personnelles vers des États tiers. Nous attendons beaucoup, à ce sujet, du paquet législatif annoncé en février dernier par la Commission, que nous avons pu auditionner récemment : il s'agit de créer un espace européen des données à caractère non personnel, en vue d'une circulation et une exploitation optimales de ces données au sein de l'espace économique européen, tout en garantissant leur sécurité. Nous serons attentifs à ce que ces textes mettent en place des mécanismes visant à assurer efficacement le respect des standards européens en matière de protection des données non personnelles, indépendamment de leur localisation, et par tous les acteurs, européens ou non, susceptibles de les héberger et/ou de les traiter, et ceci sans préjudice de la législation déjà existante en matière de protection des données personnelles, mais aussi par exemple, en matière de secret des affaires.

Il nous semble que l'approche développée par la Commission européenne en matière de protection des données est la plus efficiente : elle consiste à attacher la protection à la donnée et non aux acteurs qui la traitent. Cela fait du RGPD, je le rappelle, une législation elle aussi extraterritoriale. Ainsi sont assurés à la fois un haut degré de protection de nos données, des conditions de concurrence équitables, et une coopération le plus souvent féconde entre acteurs européens et extra-européens : une obligation de traitement par des acteurs européens et/ou sur le sol européen ne devrait intervenir qu'en dernier recours, si ce haut degré de protection ne pouvait pas être assuré autrement.

Nous devons en outre tenir compte des réalités du marché : comme nous l'a fait remarquer un de nos interlocuteurs, si dans les années 50, on avait interdit aux compagnies aériennes européenne d'acheter des Boeing, elles seraient quasi-mortes nées, et Airbus, ce symbole de réussite de la coopération industrielle européenne, n'aurait jamais vu le jour.

Quelle que soit l'option retenue in fine, un cadre réglementaire clair et stable sera nécessaire pour nos entreprises, pour qu'elles puissent se projeter, anticiper et se positionner sur les marchés, y compris à l'international.

Pour pouvoir faire respecter ce cadre réglementaire, il nous faut aussi nous en donner les moyens concrets : moyens d'audit et de contrôle, mais aussi existence d'acteurs économiques européens capables de prendre le relais des acteurs extra-européens aujourd'hui dominants, si ces derniers ne respectaient pas nos critères. Or pour l'heure, OVH, le plus grand acteur européen sur le marché du cloud, ne dispose, en Europe même, que de 1 % du marché, et il est inexistant au niveau mondial.

Tous les acteurs interrogés se sont accordés pour dire que l'Europe avait tous les atouts, notamment en matière de ressources humaines, pour rattraper, à terme, son retard en matière de capacités d'hébergement et de traitement des données. Néanmoins, l'avance prise par les géants américains du secteur, et les effets d'échelle et de verrouillage nécessitent des mesures volontaristes pour favoriser l'émergence et la croissance de nouveaux acteurs européens innovants.

Il s'agit d'abord de stimuler la demande, en sensibilisant les acteurs économiques, les particuliers et les acteurs publics européens à la valeur stratégique de leurs données, personnelles ou non personnelles.

Pour ce faire, il pourrait être utile d'élaborer un cadre européen harmonisé définissant des critères d'appréciation du caractère stratégique des données, en fonction de leur nature, de leurs usages et des risques ; nous invitons la Commission et les États-membres à réfléchir de manière coordonnée à ce sujet. Une attention toute particulière devra être accordée aux données nécessaires aux États et aux institutions européennes pour l'exercice de leurs missions régaliennes.

Afin de restaurer la liberté, pour les acteurs économiques, les particuliers et les acteurs publics de choisir à qui ils confient leurs données, une information claire et complète doit leur être fournie sur le lieu d'hébergement, les modalités et les finalités du traitement, ainsi que sur les législations en matière de données auxquelles les entreprises assurant l'hébergement et le traitement sont soumises. Il est également nécessaire d'assurer la possibilité technique de changer de prestataire d'hébergement et/ou de traitement des données aisément, et sans coût excessif.

Nous vous proposerons donc dans notre avis politique de demander à la Commission européenne des mesures ambitieuses, et si besoin contraignantes, en termes d'interopérabilité des systèmes et de portabilité de données, ainsi qu'en termes d'obligation de transparence.

Ce triptyque transparence-interopérabilité-portabilité est d'ailleurs à la base du projet franco-allemand de cloud européen Gaïa-X : ce projet de cloud européen entend, pour l'heure, fédérer les acteurs européens, mais aussi non-européens du cloud, en encourageant la complémentarité et la fluidité entre les services. Nous saluons bien sûr cette initiative, mais souhaitons une clarification des conditions de participation des acteurs extra-européens : considérant que la transparence n'a pas vocation à se substituer à la conformité, nous serons très attentifs à ce que la réglementation européenne en matière de protection des données s'applique pleinement à eux.

En tout état de cause, l'émergence et le renforcement d'acteurs européens d'hébergement et de stockage des données passera, plus directement, par une politique industrielle volontariste. Nous vous proposons d'appeler la Commission à aménager, en tant que de besoin, les règles de concurrence européennes et à assouplir les règles en matière d'aides d'État à cet effet. Dans un domaine d'intérêt majeur pour la souveraineté européenne comme le numérique, le recours à un projet important d'intérêt commun (PIIEC) dans le domaine du cloud nous semblerait tout à fait adapté.

En outre, les auditions que nous avons menées, tant auprès d'acteurs institutionnels que d'acteurs économiques, ont souligné que, davantage que la simple question des capacités d'hébergement des données, c'est la question de leur maîtrise et de leur exploitation qui représente aujourd'hui le principal enjeu : il s'agit de ne pas manquer la vague d'innovation portée par l'intelligence artificielle, mais aussi de se préparer aux prochaines vagues, notamment celle de la réalité virtuelle.

Ainsi, c'est tout l'écosystème numérique européen qui doit être renforcé, à la fois en amont et en aval de la collecte et de l'hébergement des données. C'est pourquoi nous saluons le geste fort qui consisterait à flécher vers la numérisation de l'économie 20 % des fonds prévus dans le plan de relance européen en cours d'adoption : c'est la condition à la fois de notre compétitivité économique et de notre autonomie stratégique. Nous devrons toutefois être vigilants à ce que ces fonds, là aussi, profitent à des entreprises européennes, ou à tout le moins pleinement respectueuses de la réglementation européenne, car il ne s'agit pas de financer sans contreparties la croissance des startups de la Silicon Valley.

Enfin, et c'est le dernier point de l'avis politique que nous vous proposons, alors que l'Union européenne, sur la scène internationale, semble parfois manquer de moyens pour ses ambitions, toutes les personnes auditionnées reconnaissent que la politique européenne de « diplomatie de la donnée » commence à porter ses fruits : deux ans seulement après la mise en place du RGPD, plusieurs pays ont adapté leur réglementation pour la conformer aux standards européens en matière de collecte et de traitement des données personnelles. Même aux États-Unis, la Californie s'est dotée, en janvier dernier, d'une réglementation inspirée des principes du RGPD, et la possibilité d'une loi fédérale de protection des données personnelles est désormais régulièrement évoquée à Washington, en particulier dans les milieux démocrates.

Forts de ce constat, nous souhaitons que l'Union européenne poursuive cette diplomatie, l'étende au cadre réglementaire à venir sur les données non personnelles, et l'approfondisse, car nous pensons que ces standards, cohérents avec les valeurs de l'Union, sont les bons.