L’application de la souveraineté numérique apporte une vision particulière de l’organisation du droit des données personnelles. Sur un réseau Internet vu comme un « reflet de la
concurrence des souverainetés »136, la souveraineté numérique porte une volonté d’indépendance numérique régionale (A). Pour mettre en place cette indépendance numérique régionale le droit des données personnelles doit adopter selon la souveraineté numérique une organisation réticulaire au niveau européen (B).
A) La souveraineté numérique comme volonté d’indépendance numérique régionale pour appliquer les valeurs du droit des données personnelles européen
L’un des indicateurs qui a été identifié dans l’étude de la souveraineté numérique est la vision de la souveraineté numérique comme réponse aux acteurs américains. Selon les tenants de la souveraineté numérique ces acteurs américains seraient vus comme dominants dans le cyberespace, et ils auraient une incidence sur les souverainetés étatiques traditionnelles et leur capacité à appliquer leur droit et leurs valeurs. Cette partie se propose d’explorer en quoi les acteurs américains seraient dominants dans le cyberespace (1) et pourquoi et comment la souveraineté numérique entend opposer à cette domination son droit et ses valeurs (2).
1. Les formes de domination des acteurs américains dans le cyberespace selon la souveraineté numérique
Cette partie cherche à identifier comment s’exerceraient les souverainetés sur le cyberespace des acteurs dominants, qu’il s’agisse des souverainetés classiques d’un État par son rôle dans l’essor des réseaux, ou des nouvelles souverainetés d’acteurs privés. Ces deux types de souverainetés sont les deux qui se retrouvent dans les travaux existants sur la souveraineté numérique. Face à ces souverainetés sur le numérique, certains États traditionnels peineraient à influer sur le numérique. C’est à la souveraineté, réelle ou supposée de ces acteurs dominants, que les discours sur la souveraineté numérique entendent faire face. Ces discours demandent une souveraineté européenne, une indépendance numérique régionale, qui a
38
cependant la particularité de ne pas vouloir créer un environnement numérique clos. Les demandes de souveraineté numérique ne remettent pas en cause l’interopérabilité du réseau, son caractère interactif et transfrontière137.
La souveraineté numérique suppose une perte de pouvoir des États sur le numérique, qui serait dominé par les acteurs américains. Dans son ouvrage, Olivier Iteanu identifie « trois forces en présence »138 qui exercent leur puissance dans le cyberespace : les libertariens californiens, la Silicon Valley, et le gouvernement américain. Autrement dit, des acteurs sur le plan idéologique pour les libertariens, une base entrepreneuriale et d’innovation pour la Silicon Valley, ainsi qu’un acteur étatique, l’État américain. Ces trois acteurs exercent leur force sur la régulation d’Internet de manières divergentes, parfois convergentes ou frontalement opposées. Pour exemple, les libertariens, notamment par le biais de l’Electronic Frontier Foundation (EFF), s’opposent souvent au gouvernement américain, dénonçant ses positions sécuritaires. Ces derniers dénoncent aussi la collaboration sur le terrain sécuritaire entre les entreprises du numérique, collaboration dont l’affaire PRISM fut la marque la plus éclatante. Pourtant ces entreprises du numérique s’opposent aussi aux intérêts du gouvernement : il est possible de prendre pour exemple le refus de Microsoft de donner accès au gouvernement à des documents stockés sur ses serveurs en Irlande. Ce tableau très rapide permet de voir les rapports entre les différents acteurs139.
Deux acteurs sont cependant vraiment concernés par la souveraineté numérique, l’État américain et les grandes entreprises du numérique, souvent désignées pour ces dernières par l’acronyme GAFA (Google Amazon Facebook Apple).
Le numérique apparaît comme un nouveau territoire international, un cyberespace à proprement parler, dans lequel les souverainetés, étatiques ou privées, s’exercent. Deux souverainetés sur le numérique doivent alors être identifiées : une traditionnelle, par un État, et une autre plus originale, par des entreprises privées.
137 Cattaruzza et al, supra note 13, à la p 64. 138 Iteanu, supra note 5 à la p 24.
39
Le rôle historique du gouvernement états-uniens dans l’essor d’Internet à l’origine d’une souveraineté sur le numérique
L’essor technique d’Internet doit être abordé, en ce qu’il démontre le pouvoir de l’État états- uniens sur l’organisation technique d’Internet. Internet est en effet avant tout un système technique, et le contrôle de la technique a un impact sur la souveraineté sur les réseaux. La régulation des réseaux dépend de l’organisation technique, en raison du « caractère normatif
de la technique »140. Ce caractère normatif de la technique a particulièrement été développé par Lawrence Lessig, qui expliquait que l’orientation du droit sur le numérique dépendait de ceux qui codent, par les choix techniques qu’ils prennent. L’orientation de la protection de la vie privée dépend ainsi pour lui des choix de ceux qui codent141. Pour Lessig, dans son célèbre article « Code Is Law », deux acteurs peuvent modifier l’architecture du réseau, et décider de la règle applicable, le monde économique et le gouvernement142.
À ce sujet, le rôle du gouvernement des États-Unis dans la création d’Internet donnerait une piste d’explication à sa souveraineté sur le numérique aujourd’hui. Le gouvernement américain joue un rôle indubitable dans le développement technique du réseau. Internet a une origine militaire dans le développement d’Arpanet. La Defense Advanced Research Project Agency (DARPA), reliée au département de la Défense américain, donne l’impulsion au projet Arpanet, visant à lancer « un réseau d’ordinateurs pouvant travailler ensemble à distance ». Le projet Arpanet sera lancé en 1969, pour des institutions agrées par la DARPA. Par la suite, l’essor d’Arpanet vient complexifier le système de connexion entre les machines. Pour remédier à cela un système d’adresse numérique est mis en place, le Domain Name System (DNS), géré par l’Internet Corporation for Assigned Names and Number (ICANN)143. Cette autorité de gestion des noms de domaines, institution centrale dans l’organisation d’Internet, est placée sous l’égide du Département du commerce américain, qui lui a transféré en 1998 la gestion de l’attribution des noms de domaines144.
140 Pierre Trudel, « La lex electronica » dans Le droit saisi par la mondialisation, coll Droit International,
Bruxelles, Bruylant, 2001, à la p 229.
141 À propos du choix de la forme technique d’une certification d’identité sur Internet : « Thus wether the certification architecture that emerges protects privacy depends upon the choices of those who codes ». Lawrence Lessig, « Code Is Law, On Liberty In Cyberspace » [2000] Harv Mag
142 Lawrence Lessig, « Code Is Law, On Liberty In Cyberspace » [2000] Harv Mag.
143 Compiègne, Isabelle. Internet: histoire, enjeux et perspectives critiques, coll Infocom, Paris, Ellipses, 2007, à la p 45.
40
Ce contrôle technique sur l’organisation d’Internet est encore extrêmement récent, puisque l’ICANN est restée associée au Département du commerce américain jusqu’au 1er octobre 2016145. Cet abandon du contrôle fait suite à une polémique de longue durée contestant la suprématie américaine dans le cyberespace146, polémique renouvelée et amplifiée par les révélations de la surveillance exercée par la NSA147.
Moins médiatique mais aussi important, l’organisme qui élabore les standards d’Internet, Engineering Task Force (IETF), se voit critiqué pour le rôle majeur que les Américains y occupent, bien que l’IETF ne soit pas reliée à un État et que la participation y soit ouverte148.
Comme le résume Isabelle Compiègne, le gouvernement des États-Unis joue un rôle majeur dans le contrôle du réseau : « On ne peut nier non plus, une certaine ambiguïté des instances
de régulation qui sont toutes placées, en dernier ressort, sous l’autorité du gouvernement des États-Unis, et la dimension centralisée du système d’adresse sur Internet reposant exclusivement sur le DNS, supervisé par l’ICANN »149.
Le rôle du gouvernement américain dans l’essor technique d’Internet continue à lui donner un pouvoir sur la régulation du numérique. Ce contrôle contesté est à l’origine d’une polémique ancienne autour de la gouvernance de l’Internet. Les tenants de la souveraineté numérique viennent contester cette gouvernance de l’Internet, qui laisse de fait un pouvoir important au gouvernement américain, ainsi que l’action des grandes entreprises du numérique dans le cyberespace.
Le pouvoir normatif des grandes entreprises du numérique à l’origine d’une souveraineté sur le cyberespace
Si le cyberespace est un territoire dans lequel les puissances étatiques s’affrontent, de nouveaux acteurs privés y appliquent aussi leur puissance.
La souveraineté de ces entreprises du numérique est plus compliquée à démontrer. Traditionnellement rattachée à l’État, une souveraineté semble incompatible avec une entité privée. Pourtant, leur poids sur le monde numérique conduit à les qualifier de souveraines150.
145 https://www.icann.org/news/announcement-2016-10-01-en, consulté le 23 juin 2017. 146 Cattaruzza et al, supra note 13, à la p 13.
147 Ibid., à la p 13 148 Ibid., à la p 13
149 Compiègne, supra note 143, à la p 47. 150 Blandin-Obernesser, supra note 25, à la p 95.
41
Ces entreprises sont aujourd’hui principalement américaines, bien qu’il faille prendre en compte les entreprises d’États tiers pour ne pas enfermer le thème de la souveraineté numérique à une « guerre froide numérique », à une simple opposition politique entre l’Union européenne et les États-Unis151.
Que représente la souveraineté d’une entreprise ? Il est ici possible de se rattacher à la réflexion d’Annie Blandin-Obernesser : « nous proposons de qualifier de souveraines les
entreprises qui détiennent un pouvoir de marché tel qu’elles se dotent des attributs de la souveraineté, d’un véritable pouvoir de gouvernement »152. Ces entreprises détiendraient en
effet des composantes de la souveraineté à savoir un territoire (le cyberespace), une population de plus en plus identifiée, une langue (l’anglais, mais aussi le langage des réseaux sociaux), une fiscalité optimisée, et surtout un pouvoir d’édicter la norme, de la négocier et de l’appliquer153. Le pouvoir d’édicter la norme passe par une capacité à l’autorégulation des entreprises du numérique. L’autorégulation « se présente comme une alternative à la réglementation d’origine
étatique » et « développe dans un langage plus adapté que celui de la loi des principes voulus également plus adaptés aux pratiques d’un secteur d’activité »154. La globalisation économique
avait déjà contribué à l’émergence d’acteurs transnationationaux, capables de venir concurrencer les pouvoirs publics155.
Cette autorégulation vient s’opposer au modèle kelsenien pour lequel « les acteurs
juridiques ne sont jamais que des organes de l’État »156. À rebours de la pensée d’Hans Kelsen,
l’autorégulation tend à se séparer de la puissance étatique, puisque dans de nombreux cas, « il
ne s’agit plus tant de collaborer à la production de la norme étatique que de développer, en marge du droit étatique, voire contre lui, une régulation privée, sui generis »157. Ce droit
développé par des acteurs privés en marge de la norme étatique serait marquée par une « lex
mercatoria »158. Dans le cadre du numérique cette loi privée pourrait prendre la forme d’une « lex electronica »159, à savoir pour Gautrais « l’ensemble des règles juridiques informelles
151 Blandin-Obernesser, supra note 25, à la p 96. 152 Ibid., aux pp 95-96.
153 Ibid., aux pp 97-100.
154 David Forest, Droit des données personnelles, coll Droit en action, Paris, Gualino-Lextenso éd, 2011. 155 Ost et Kerchove, supra note 80, à la p 108.
156 Ibid., à la p 108. 157 Ibid., à la p 109. 158 Ibid., à la p 111. 159 Trudel, supra note 139.
42
applicables dans le commerce électronique international »160. Ces règles seraient les règles d’usages entre les acteurs du numérique, qui viennent s’imposer comme une véritable norme informelle en raison de leur capacité à orienter l’action des personnes qui y sont soumis.
Comment se traduit l’édiction de cette « lex electronica » ? Selon Pierre Trudel, une de ses sources majeures est indéniablement le contrat161. Dans le droit autorégulé, le contrat est en effet « l’instrument juridique par excellence, ce qui, en soi, reste conforme à la théorie
classique »162, avec « cette nuance près que l’empire contractuel prend ici une extension sans précédent et refoule très en périphérie l’ordre public et les lois impératives »163. Le contrat
permet de contourner la norme étatique ce qui se retrouve pour les entreprises souveraines du numérique par l’utilisation des conditions générales d’utilisation, qui se présentent comme « de
véritables lois de l’Internet, peu favorables en général au consommateur »164. Olivier Iteanu
note à juste titre que les mentions des conditions générales d’utilisation des grandes plateformes (Facebook, YouTube et Twitter), ne font pas référence à la loi. Les conditions générales d’utilisation de ces groupes désignent des contenus « inappropriés », des cas de « conduite
haineuse », mais n’utilise jamais le terme d’illicéité165. Pour Olivier Iteanu, ce choix de rédaction démontre une volonté des plateformes de « faire leur « loi » »166 et de ne pas se soumettre à la législation européenne.
Par l’autorégulation, les entreprises souveraines du numérique peuvent construire des normes dans le cyberespace. Le marqueur de leur souveraineté n’est cependant pas seulement de construire un espace juridique privé à part, mais d’être capable de négocier la norme avec les États.
Ce pouvoir de négociation est particulièrement visible dans l’application du droit des données personnelles. La durée de conservation des données personnelles a ainsi été négociée entre Google et la Commission européenne pour aboutir à un compromis entre les recommandations du Groupe 29 et la pratique de Google167. Le groupe de l’article 29 avait proposé une durée de conservation des données personnelles par les fournisseurs de moteurs de
160 Trudel, supra, note 139, à la p 235. 161 Ibid., à la p 239.
162 Ost et Kerchove, supra note 80, à la p 118. 163 Ibid, à la p 118.
164 Blandin-Obernesser, supra note 25, à la p 98. 165 Iteanu, supra note 5 à la p 63.
166 Ibid. à la p 63.
43
recherche de six mois168. Google, qui avait opté pour une durée de conservation de dix-huit mois, a négocié avec la Commission européenne pour un délai plus long de conservation. Le délai a finalement été fixé à douze mois169.
Enfin, la puissance de ces entreprises se retrouve dans l’application du droit, reléguant parfois le juge à une place secondaire. C’est le cas criant du droit au déréférencement institué par l’arrêt Google Spain du 13 mai 2014170. Par cet arrêt de la Cour de Justice de l’Union européenne, les internautes peuvent demander l’application d’un droit à l’oubli numérique sur le fondement de l’article 14 de la directive européenne de 1995171 « pour des raisons
prépondérantes et légitimes tenant à sa situation particulière »172. L’application de ce nouveau droit pour les citoyens européens est cependant entre les mains du moteur de recherche, qui détermine si la demande de déréférencement lui paraît ou non pertinente. Le formulaire établi par Google ne fait par ailleurs aucune mention du droit d’opposition ou de la directive de 1995173. En cas de refus, le juge ou les autorités de contrôle peuvent être saisis. Les tribunaux ont eu l’occasion de vérifier le 19 décembre 2014 le respect des critères par le moteur de recherche174, mais face au faible intérêt des demandes, la saisine du juge risque d’être rare. Une inquiétude est alors émise, celle « d’assister in fine à une privatisation du jugement de
l’information pertinente, ce qui ne ferait qu’augmenter les craintes suscitées par l’arrêt »175.
En consacrant un moteur de recherche comme contrôleur de la pertinence d’une demande de déréférencement, la Cour de Justice renforce la souveraineté d’une entreprise dans le monde numérique. En effet, certaines entreprises commencent à exercer une quasi-mission de service public. La reconnaissance des droits de l’Homme sur Internet, couplée à une subjectivisation croissante des droits tend à donner aux acteurs du numérique un rôle public de défense des libertés individuelles. Certaines plateformes apparaissent comme des quasi services publics par l’alternative qu’ils proposent aux missions traditionnellement exercées par l’État : « l’usage
168 Avis n°1/2008 du 4 avril 2008, à la p 28. 169 Blandin-Obernesser, supra note 25 à la p 99.
170 Google Spain SL, Google Inc c Agencia Española de Protección de Datos (AEPD), Mario Costeja González,
supra, note 40.
171 CE, Directive (CE) 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des
données à caractère personnel et à la libre circulation de ces données, supra à la note 30. 172
Judith Rochfeld, Les géants d’Internet et l’exploitation des données personnelles : l’activation du droit « à
l’oubli » numérique à l’égard des moteurs de recherche, L’effectivité du droit face à la puissance des géants de l’Internet. actes des journées du 20, 21 et 22 octobre 2015, Paris, IRJS éditions, 2016, à la p 98.
173
Forest, supra note 52.
174
Rochfeld, supra note 172, à la p 98.
44
gratuit des moteurs de recherche, l’accès à une documentation, à la connaissance et à des capacités de stockage et de calcul en constante progression font de l’Internet un concurrent pour de nombreux services publics, qu’il s’agisse de l’éducation, de la sécurité ou de la santé »176. Les plateformes semblent être en mesure de mettre en œuvre un service public, et le
revendiquent, en se présentant comme des « entreprises citoyennes, prêtes à servir l’intérêt
général »177. Les lois du service public (les lois de Rolland, à savoir la continuité, la mutabilité et l’égalité) semblent par ailleurs être les mêmes que celles qui président aux grandes plateformes178. Les opérateurs de télécommunications jouent de la même manière un rôle majeur dans le respect de la liberté d’accès à Internet, l’accès sans discrimination au réseau, dont on retrouve la trace dans le Guide des droits de l’homme pour les utilisateurs d’Internet179.
Cette capacité de régulation du réseau porte en lui un débat ancien sur la neutralité d’Internet. Dans le même ordre d’idée, les réseaux sociaux peuvent se voir reconnaître un rôle dans le débat démocratique : aux États-Unis la Cour Suprême a reconnu le 19 juin 2017 que l’accès aux réseaux sociaux était un droit constitutionnel180. Cette situation de service public assuré par des acteurs internationaux privés semble constituer, selon l’expression de Pauline Türk, une forme de « service public international »181.
La capacité de régulation de ces grands acteurs témoigne de leur puissance dans l’univers numérique. Ils peuvent être reconnus comme souverains dès lors que, comme Google, « sa
puissance économique lui permet de mettre en œuvre sa politique, son discours, d’aller au bout d’une logique et même d’appeler à la poursuivre en justice »182. Par cette souveraineté ils peuvent influencer le droit des États traditionnels.
176 Catherine Morin-Dessailly, L’Europe au secours de l’Internet : démocratiser la gouvernance de l’Internet en
s’appuyant sur une ambition politique et industrielle européenne, n° 696, Paris, Sénat, 2014, à la p 63.
177 Blandin-Obernesser, Annie. « Les entreprises souveraines de l’Internet : un défi pour le droit en Europe. » dans
Droits et souveraineté numérique en Europe, supra note 25, à la p 97.
178 Catherine Morin-Dessailly, L’Europe au secours de l’Internet : démocratiser la gouvernance de l’Internet en
s’appuyant sur une ambition politique et industrielle européenne, supra note 176, à la p 151.
179 Sandrine Turgis, Les valeurs du Conseil de l’Europe appliquées à Internet, Droits et souveraineté numérique
en Europe, Bruxelles, Bruylant, 2016, à la p 21.
180 http://lemonde.fr/pixels/article/2017/06/20/l-acces-aux-reseaux-sociaux-devient-un-droit-constitutionnel-aux- etats-unis_5148209_4408996.html (consulté le 8 mai 2017)
181 Morin-Dessailly, supra note 176, à la p 151.
182 Stéphanie Carre et Gilles Vercken, « Google et la fortune du droit d’auteur » dans Mélanges en l’honneur du
45
L’application extraterritoriale du droit des acteurs majeurs d’Internet
La domination de ces acteurs pose le problème de l’application extraterritoriale en droit des données personnelles. Par application extraterritoriale est entendue une « situation dans
laquelle les compétences d’un État (législatives, exécutives ou juridictionnelles) régissent des rapports de droit situés en dehors dudit État »183. Cette application est extraterritoriale d’une part, car elle applique la loi d’un État, le plus souvent les États-Unis à un autre État. Cela passe notamment par l’application des clauses de compétence juridictionnelle des grandes entreprises.
D’autre part, de manière plus originale, l’application du droit est d’une certaine manière extraterritoriale car les entreprises souveraines sur le numérique appliquent leur droit à un État : le droit autorégulé du territoire numérique s’appliquerait au territoire étatiques. En effet, les décisions des entreprises du numérique ne s’appuient pas forcément sur le droit américain et relèvent de leur pouvoir privé, à l’instar du droit au déréférencement. Cette porosité entre deux territoires, numérique et matériel, crée une imbrication de souverainetés. Comme le prévoyait