EXPOSÉ DES MOTIFS
Mesdames, Messieurs,
Le 16 juillet 2020, la Cour de justice de l'Union européenne (CJUE) a rendu un arrêt historique invalidant le régime de transfert de données entre l'Union européenne (UE) et les États-Unis, appelé bouclier de protection des données ou privacy shield , au motif qu'il rendait « possibles des ingérences dans les droits fondamentaux des personnes dont les données sont transférées vers ce pays tiers ». Le caractère disproportionné des programmes de surveillance sur les données permis par la loi américaine sur l'informatique en nuage ou cloud act a convaincu la CJUE de déclarer cette pratique illégale au regard du règlement général sur la protection des données (RGPD) et de la Charte fondamentaux des droits de l'Union européenne.
Pour autant, la Commission européenne dispose toujours du pouvoir de désigner des pays extra-européens comme disposant d'un niveau adéquat de protection des données à caractère personnel. Cette diplomatie numérique de l'Union, qui concerne actuellement 13 pays 1 ( * ) , et le dispositif de clauses contractuelles types pour le transfert de données personnelles vers des sous-traitants situés en dehors de l'espace économique européen (EEE) sont de nature à porter atteinte aux intérêts stratégiques des États membres en les soumettant à des législations étrangères.
En effet, les affaires Snowden et Cambridge Analytica ont démontré que les données personnelles revêtent un enjeu stratégique en matière de politique industrielle, de libertés individuelles et collectives ou encore de démocratie. L'avènement des objets connectés - dont on estime qu'ils seront 50 milliards dans le monde en 2030 2 ( * ) - et les mutations technologiques liées à l'intelligence artificielle dans des domaines sensibles tels que la santé, la maitrise de l'énergie, la sécurité ou encore les transports posent dès à présent des questions de souveraineté sur la masse considérable de données, 175 zettaoctects 3 ( * ) , qui devrait être produite en 2025.
Face à ce constat, les États membres de l'UE se sont dotés du RGPD, lequel a posé les premières bases d'une souveraineté européenne sur les données. Si l'Europe a su montrer la voie dès 2016 en imposant ce cadre réglementaire ambitieux, nous assistons encore aujourd'hui au dévoiement, par certains États membres, des données collectées sur leur territoire. En témoignent les contrats conclus entre la Direction générale de la sécurité intérieure et Palantir, société historiquement liée à l'Agence centrale du renseignement (CIA) et à l'Agence nationale de la sécurité (NSA). Plus récemment, le ministère de l'Éducation nationale, qui a pourtant créé un comité d'éthique pour les données de l'éducation et lancé des états généraux du numérique pour l'éducation, a contracté avec Microsoft, de même que le ministère des Solidarités et de la santé pour l'hébergement des données de santé collectées par le Health Data Hub.
Ces choix sont autant de renoncements à la préservation de nos intérêts vitaux. Ils confirment que nos gouvernements, chantres de l'autorégulation des plateformes, cultivent une forme de complaisance vis-à-vis des géants du numérique extra-européens, plaçant nos démocraties libérales entre le modèle du capitalisme de surveillance à l'américaine 4 ( * ) et celui du crédit social chinois. Leur justification ne tient qu'au fait que les pays européens pâtissent d'un déficit d'offre en matière d'infrastructures et technologies de données, résultat d'une politique industrielle et de règles de concurrence inadaptées à l'ère numérique.
En effet, les règles européennes en matière de marchés publics, de concurrence, ou encore d'aides d'État n'ont pas permis d'aider à développer des champions européens, d'où l'impérieuse nécessité d'imposer la localisation et le traitement par des entités européennes des données issues des citoyens et des entreprises européennes.
Prenant la mesure de l'enjeu, la Commission européenne a présenté son agenda numérique avec la parution d'un recueil réglementaire pour l'informatique en nuage, un cadre législatif pour la gouvernance des données, une loi sur les données de grande valeur et la conclusion de protocoles d'accord avec les États membres afin d'aboutir à une fédération en nuage sur le modèle de l'initiative Gaia-X développée par la France et l'Allemagne.
Cette proposition de résolution européenne appelle à aller plus loin, c'est-à-dire à imposer la localisation européenne des données pour assurer la protection des données à caractère personnel des Européens en interdisant le recours à des responsables de traitement et/ou sous-traitant soumis à une législation extra-européenne ou disposant d'un siège social en dehors de l'EEE.
* 1 En réaction à la décision de la Cour du 16 juillet 2020, la Commission européenne a déclaré se préparer à réévaluer les décisions d'adéquation couvrant les pays suivants : Andorre, Argentine, Canada, l'Ile de Man, Guernesey, Israël, Iles Féroé, Jersey, Nouvelle-Zélande, Suisse et Uruguay.
* 2 Strategy Analytics, « Global Connected and IoT Device Forecast Update » (2019)
* 3 Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions du 19 février 2020 : « Une stratégie européenne pour les données » (COM(2020) 66)
* 4 Shoshana Zuboff, L'âge du capitalisme de surveillance : le combat pour un avenir humain face aux nouvelles frontières du pouvoir , Broché (2020)