La souveraineté numérique sur les données personnelles : étude du règlement européen no 2016/679 sur la protection des données personnelles à l'aune du concept émergent de souveraineté numérique

La souveraineté numérique sur les données personnelles

Étude du règlement européen n° 2016/679 sur la protection des

données personnelles à l’aune du concept émergent de

souveraineté numérique

Mémoire

Maîtrise en droit

Marin Brenac

Université Laval

Québec, Canada

Maître en droit (LL.M.)

et

Université de Paris-Sud

Orsay, France

Master (M.)

iii

Résumé

Le présent mémoire se propose d’étudier l’implication du concept de souveraineté numérique dans l’évolution du droit des données personnelles. À ce titre, ce travail s’attache à mettre à jour une définition juridique du concept émergent de souveraineté numérique, concept qui porte l’objectif d’une maîtrise européenne sur le numérique. Ce travail se penche sur l’étude de l’évolution du droit des données personnelles à la lumière du concept de souveraineté numérique, et plus particulièrement sur la présence de ce concept dans le règlement européen n° 2016/679 sur la protection des données personnelles du 27 avril 2016. Il ressort finalement de cette étude que la notion de souveraineté numérique semble témoigner d’un déplacement de l’objectif premier de la norme, de sa légitimité vers son effectivité.

iv

RESUME III

REMERCIEMENTS VI

INTRODUCTION 1

1. Constats relatif à la souveraineté numérique en regard de la protection des données personnelles 5

1.1 L’évolution du droit des données personnelles face aux transformations imposées par le numérique 5 L’utilisation des données personnelles, un problème de souveraineté 6 La difficile application du droit sur Internet et la tentative de réponse au niveau du droit des données

personnelles 8

1.2 L’émergence progressive du concept de souveraineté numérique 10 Première phase d’émergence dans les travaux de sciences politiques 11

Deuxième phase de systématisation et de recherche du concept 12

Troisième phase d’appropriation politique du concept 13

2. Problématisation du travail de recherche 15

3. Questions de recherche 17

4. Définition de la souveraineté numérique et formulation de l’hypothèse de recherche 18

TITRE PRELIMINAIRE : L’ETABLISSEMENT D’UNE DEFINITION JURIDIQUE

DE LA SOUVERAINETE NUMERIQUE 21

1. Définitions des termes de souveraineté et de numérique 21

2. Une approche globale de la souveraineté numérique 22

3. L’émergence des indicateurs d’une définition juridique de la souveraineté numérique 23

Méthode d’élaboration de la définition 23

3.1 Une souveraineté en réseau 25

Le principe de l’organisation en réseau 25

La décentralisation par délégation de souveraineté 26

L’interaction entre les acteurs 28

3.2 Le contrôle souverain du réseau 30

Le principe du contrôle 30

L’Europe, échelon pertinent pour la souveraineté numérique 32

Une réponse aux puissances du numérique 34

TITRE I LE DROIT DES DONNEES PERSONNELLES A LA LUMIERE DU

CONCEPT DE SOUVERAINETE NUMERIQUE 37

A) La souveraineté numérique comme volonté d’indépendance numérique régionale pour appliquer les valeurs du droit des données personnelles européen 37

1. Les formes de domination des acteurs américains dans le cyberespace selon la souveraineté numérique

37

Le rôle historique du gouvernement états-uniens dans l’essor d’Internet à l’origine d’une souveraineté sur

le numérique 39

Le pouvoir normatif des grandes entreprises du numérique à l’origine d’une souveraineté sur le

cyberespace 40

L’application extraterritoriale du droit des acteurs majeurs d’Internet 45 2. La souveraineté numérique comme promotion d’un droit et de ses valeurs dans le cyberespace 46

v

La consécration du droit des données personnelles en Europe 48 Une tentative d’influence des États tiers par la consécration du droit des données personnelles 50 Vers une influence de la vision européenne de la protection des données personnelles en ligne ? Le cas du

droit à l’oubli au Canada. 52

B) L’organisation réticulaire à l’échelon européen proposée pour appliquer la souveraineté numérique 55

1. La décentralisation du droit des données personnelles pour une meilleure régulation dans l’univers

numérique 55

Une régulation du numérique en réseau au service d’un objectif d’efficacité 55 La décentralisation de l’État au profit des autorités administratives indépendantes : l’exemple de la CNIL

57

L’individu, acteur de l’utilisation de ses données 59

2. Une souveraineté numérique à l’échelon européen 62

L’Union européenne, échelon de la souveraineté numérique grâce à sa « puissance normative » 62 La volonté d’exercer la souveraineté numérique sur le droit des données personnelles au niveau de l’Union

européenne 64

TITRE II L’APPLICATION DE LA SOUVERAINETE NUMERIQUE AU DROIT

DES DONNEES PERSONNELLES : L’EXEMPLE DU REGLEMENT EUROPEEN 70

A) Une volonté d’application effective du droit des données personnelles européen 71

1. La volonté de subjuguer les acteurs du numérique étrangers au droit européen par l’extraterritorialité et le renfort des mécanismes de transfert des données personnelles aux États-tiers 72

Une application extraterritoriale 72

Une application plus stricte des mécanismes de transferts des données personnelles aux États- tiers. 76 2. Le renversement de philosophie des règles pour les entreprises : l’obligation de conformité :

l’intégration de l’entreprise dans la souveraineté numérique 78

La place de l’obligation de conformité dans la souveraineté numérique : une apparente contradiction 78 L’encadrement par le règlement de la mise en conformité des entreprises 81

B) Le renforcement des souverainetés individuelles et collectives par le règlement 86

1. Le renfort de la souveraineté individuelle au prisme de l’autodétermination informationnelle 86 L’autodétermination informationnelle, clé de lecture du renfort de la souveraineté individuelle dans le

règlement 86

La consolidation du consentement de l’individu 88

L’apport de nouveaux droits pour le contrôle de l’usage des données personnelles par l’individu 90 2. Les autorités de protection des données personnelles, pierre angulaire de la stratégie européenne 92

Le renfort des missions et des pouvoirs des autorités nationales 93

La mise en place d’une coopération européenne entre les autorités de contrôle nationales sous l’égide du

comité européen à la protection des données 95

CONCLUSION 98 BIBLIOGRAPHIE 101 Annexe 1 110

vi

Remerciements

Je tiens tout d’abord à exprimer ma reconnaissance à mes deux directeurs de recherche, les professeurs Alexandra Bensamoun et Pierre-Luc Déziel, qui ont su par leurs conseils avisés, leur suivi régulier et leur confiance orienter ce travail et lui donner la rigueur et le recul nécessaires.

Je tiens ensuite à remercier tous ceux avec lesquels j’ai pu partager des échanges foisonnants et libres, qui ont nourri la réflexion sur l’objet d’étude, et plus particulièrement l’ensemble de la première promotion du master PIFTN, sans qui cette année et ces recherches n’auraient pas eu la même saveur. Je remercie enfin ceux qui, par leur relecture attentive et méticuleuse, m’ont apporté une aide précieuse.

1

Introduction

« Homme libre, toujours tu chériras Internet ! »1

Ce travail propose une étude du droit des données personnelles à la lumière du concept de souveraineté numérique2_{. Pour mener à bien cette étude, le travail entend donner une définition}

juridique du concept de souveraineté numérique, puis analyser le règlement n°2016/679 sur la protection des données personnelles en regard de cette définition.

Aux origines de la souveraineté numérique : une troisième voie de gouvernance d’Internet3

Pour comprendre et appréhender au mieux l’originalité du concept de souveraineté numérique, une approche contextuelle est la bienvenue. La souveraineté numérique vient s’inscrire dans les débats traditionnels sur la gouvernance d’Internet. Ces débats portent sur la maîtrise d’un nouvel espace, le cyberespace, dans lequel la souveraineté s’applique avec difficulté, puisque les critères classiques de son pouvoir, comme le territoire, lui font défaut.

Une analogie avec le droit de la mer et le cyberespace permettra de mieux comprendre l’originalité de la souveraineté numérique, qui désire être une nouvelle proposition de gouvernance d’Internet. Cette troisième voie de gouvernance entend effectuer un compromis entre les théories d’un Internet ouvert et international du réseau et celles d’un réseau Internet clos où le pouvoir politique régional et national peut s’appliquer sans concurrence.

Poser la question de souveraineté dans le monde numérique peut paraître incongru. Le monde numérique, aussi désigné par le terme de cyberespace, échappe aux logiques de territoire sur lesquelles reposent les souverainetés des États-nations. Internet s’est d’ailleurs en partie bâtie en opposition avec cette idée, soutenue par la pensée des libertariens, qui excluaient toute souveraineté sur ce nouveau territoire. L’un d’eux, John Perry Barlow, auteur de « La déclaration d’indépendance du cyberespace », apostrophait ainsi les États : « Gouvernements

du monde industriel, vous géants fatigués de chair et d’acier, je viens du Cyberespace, le

1 _{Pierre Bellanger, « De la souveraineté numérique » (2012) 170:3 Le Débat 149‑159,à la p 153.}

2 _{Le mode de citation utilisé lors de ce travail sera celui du Manuel Canadien de la référence juridique (Guide} McGill).

3 _{La graphie et l’utilisation du terme Internet sont sujettes à débat. L’emploi du terme dans ce travail suit les} recommandations de l’Office québecois de la langue française, c’est-à-dire avec une majuscule et sans article devant le terme, sauf dans le cas spécifique d’une volonté de différencier avec les autres réseaux qui n’utilisent pas le même protocole. http://gdt.oqlf.gouv.qc.ca/ficheOqlf.aspx?Id_Fiche=8361867, consulté le 28 juin 2017.

2

nouveau domicile de l’esprit. Au nom du futur, je vous demande à vous du passé de nous laisser tranquilles. Vous n’êtes pas les bienvenus parmi nous. Vous n’avez pas de souveraineté où nous nous rassemblons »4.

Au lendemain des révélations d’Edward Snowden sur la surveillance pratiquée par la NSA, force est de constater que cet esprit n’a pas vécu. Le cyberespace est un champ de bataille de plus pour les rivalités des États. La rupture est cependant à nuancer, puisque le réseau Internet libre et ouvert défendu par les États-Unis trouve une partie de ses sources dans la pensée libertarienne. Les entreprises américaines du numérique partagent avec cette pensée une « défiance vis-à-vis des États »5, tandis que l’État américain lui-même rejoint cette pensée par l’accent mis dans sa Constitution sur la valeur cardinale de la liberté, en tension depuis 2001 avec la sécurité6. La promotion de la liberté sur Internet lui permet de s’imposer dans la compétition étatique grâce à son poids dans l’organisation du réseau.

Le cyberespace n’est pas le premier espace universel se jouant des frontières que le droit doit appréhender. Pour aider à comprendre les rapports de force dans le monde numérique qui aboutissent à l’idée d’une souveraineté numérique, une analogie avec le droit de la mer est souhaitable7. Cette analogie est le sens du pastiche du vers fameux8 de Charles Baudelaire qui introduit ce travail.

Le débat sur la nature du droit de la mer est ancien, mais retrouve son actualité dans les clivages autour de la gouvernance d’Internet. La controverse a vu s’opposer les théories du « mare liberum » et du « mare clausum »9. En 1609, Hugo Grotius défend la première

conception dans l’ouvrage De la liberté des mers. La mer est un « territoire international libre

de droit, d’usage et de circulation pour toutes les nations »10. Si Hugo Grotius défend cette position, c’est qu’une mer ouverte favorise les intérêts de son pays, et lui donne un moyen de lutte contre le monopole des mers détenu par l’Espagne et le Portugal11. Dans le cyberespace,

4 _{John Perry Barlow, « Déclaration d’indépendance du cyberespace » dans Libres enfants du savoir numérique,} coll Hors collection, Paris, Editions de l’Éclat, 2000, 47‑54, DOI :10.3917/ecla.blond.2000.01.0047 à la p 50.

5 _{Olivier Iteanu, Quand le digital défie l’Etat de droit, Paris, Eyrolles, 2016 à la p 27.} 6 _{Ibid à la p 42.}

7 _{Ce rapprochement est fait dans deux travaux différent sur la souveraineté numérique : l’ouvrage de Pierre} Bellanger « La souveraineté numérique » (infra note 12) et un article de colloque d’Amaël Cattaruzza sur la balkanisation du cyberespace (infra note 9).

8 _{« Homme libre, toujours tu chériras la mer ! », tiré du poème L’homme et la mer, Charles Baudelaire, Les fleurs}

du Mal.

9 _{Amaël Cattaruzza, La « Balkanisation du cyberespace » Débat et perspectives stratégiques, Droits et}

souveraineté numérique en Europe, Bruxelles, Bruylant, 2016, à la p 117.

10 _{Ibid à la p 117.} 11 _{Ibid à la p 117.}

3

un Internet libre et ouvert favorise certains acteurs. Cette réalité trahit d’une certaine manière le rêve des libertariens américains : la liberté favorise de facto certains États, les États-Unis en tête. Comme l’écrit Pierre Bellanger, qui a popularisé l’expression de souveraineté numérique : « la thalassocratie de jadis est l’internetocratie d’aujourd’hui, tout aussi à même

de faire passer sa souveraineté réelle pour une liberté théorique, soumise en fait à son seul contrôle »12. Cette domination d’Internet se situerait dans les mains des États-Unis. Selon les

mots d’un rapport de la Délégation aux affaires stratégiques du Ministère français de la Défense : « la suprématie américaine sur l’Internet est évidente à tous les niveaux, que ce soit

pour ce qui est des infrastructures physiques, des avancées techniques, de la recherches technologiques, du poids économique, mais aussi et surtout de l’influence règlementaire »13.

Ce sont ceux qui sont maîtres des trois couches constitutives d’Internet, physique, logique et sémantique qui imposent leur puissance dans le cyberespace14. Cette domination faciliterait une application extraterritoriale des lois et des valeurs des États-Unis sur Internet, qui n’y trouverait pas d’adversaire à sa taille.

Face à Hugo Grotius est opposée la thèse du mare clausum, par le portugais Serafim de Freitas puis l’anglais John Selden15, qui fait de la mer un espace appropriable et qui a donné naissance à l’appropriation des zones côtières. De la même manière, cette volonté d’appropriation peut être rapprochée de la politique des États qui ferment leurs réseaux nationaux, à l’instar de la Chine ou de la Russie. Ces derniers réappliquent leur souveraineté sur le monde numérique en clôturant leur réseau. Dans ce contexte, l’objectif est de « protéger

la souveraineté du numérique »16. Ce phénomène constitue pour certains le sens de l’expression souveraineté numérique. Ce sens n’est cependant pas exclusif, et l’utilisation la plus fréquente du terme recouvre une autre réalité.

12 _{Pierre Bellanger, La souveraineté numérique, Paris, Stock, 2014, à la p 17.}

13 _{Amaël Cattaruzza et al, La balkanisation du web : chance ou risque pour l’Europe ?, Paris, Délégation aux} affaires stratégiques du Ministère de la défense, 2014, à la p 17.

14 _{Ibid aux pp 17-19.}

15 _{Cattaruzza, supra note 9, à la p 118.}

16 _{Pierre-Yves Quiviger, L’approche philosophique du concept émergent de Souveraineté numérique, Nice, La} souveraineté numérique : le concept, les enjeux, 7 octobre 2016, en ligne : <http://unspod.unice.fr/video/4315-colloque-7-octobre-2016-la-souverainete-numerique-le-concept-les-enjeux/> (consulté le 6 janvier 2017).

4

Entre l’« Internet librum » et « l’Internet clausum »17, la souveraineté numérique traduit le désir et la possibilité d’une troisième voie européenne18. C’est un choix de gouvernance d’Internet spécifique, un chemin tiers entre une gouvernance multi-acteurs et une gouvernance intergouvernementale19. Prises entre les deux théories, l’expression en elle-même relève du paradoxe : comment garder le principe d’un Internet ouvert tout en appliquant une régulation régionale et nationale ?

Pour la souveraineté numérique, si Internet est un réseau universel, les usages et les valeurs des régions et des États diffèrent dans le monde. Ces différences constituent des sous-espaces culturels sur Internet, par l’action de « dynamique de fragmentation (technique, politique,

linguistique, économique, juridique) »20. La souveraineté numérique catalyse alors les craintes. La crainte tout d’abord que l’application extraterritoriale d’un droit étranger transforme l’Union européenne en « colonie du monde numérique »21, selon le titre d’un rapport sénatorial. La crainte ensuite que les systèmes de droit pâtissent de cet état de fait, et que le système anglo-saxon prédomine. Internet pousse au rapprochement des systèmes juridiques22, avec le risque de transformation de la norme. Par exemple, la privacy américaine diffère de la vie privée européenne23, et une substitution de la dernière pour la première contreviendrait aux droits des citoyens européens, et par là même à leur capacité à déterminer librement leur loi.

Les problématiques qui ressortent de cet état de fait touchent de nombreux domaines. Nous croyons cependant avec Pierre Bellanger qu’« un des premiers pas décisifs vient du droit »24, et particulièrement du droit des données personnelles.

La souveraineté numérique s’inscrit dans un contexte politique international sur la gouvernance d’Internet marqué par une domination des États-Unis. Par la troisième voie qu’elle propose, elle a vocation à répondre aux craintes de non-respect du droit et des valeurs des États sur leurs territoires, ainsi qu’à celle de transformation du droit européen au contact du droit anglo-saxon.

17 _{Cattaruzza, supra note 9, à la p 117.}

18 _{Marc Watin Augouard, Les enjeux de sécurité de la « souveraineté numérique », Nice, La souveraineté} numérique : le concept, les enjeux, 7 octobre 2016, en ligne : <http://unspod.unice.fr/video/4326-la-souverainete-numerique-le-concept-les-enjeux/> (consulté le 6 janvier 2017).

19 _{Cattaruzza et al, supra note 13, à la p 10.} 20 _{Ibid à la p 27.}

21 _{Catherine Morin-Dessailly, L’Union européenne, colonie du monde numérique ?, Rapport d’information, 443,} Paris, Sénat, 2012.

22 _{Pauline Türk, « La souveraineté des Etats à l’épreuve d’Internet » [2013] 6 Rev Droit Public 1489, à la p 4.} 23 _{Iteanu, supra note 5, aux pp 68 à 74.}

5

Un regard plus précis sur le sujet permet d’affiner ce contexte global. L’actualité récente montre un double mouvement dans l’émergence de ce thème. Le premier mouvement concerne la protection des données personnelles, frappée en plein cœur par le développement exponentiel et l’omniprésence d’Internet et des objets connectés. Ces dernières années, le droit semble prendre à bras le corps ce défi par des réponses plus nombreuses et plus fortes. Le deuxième est celui de l’émergence théorique du concept de souveraineté numérique, de plus en plus employé. Dans la description de ces deux mouvements apparaît en filigrane la trame de ce travail. Cette trame constitue la recherche des liens entre ces deux mouvements, théorique et pratique. Elle pourrait se formuler ainsi : la réponse du droit face au défi des données personnelles constitue-t-elle une tentative de souveraineté numérique ? Répondre à cette question nécessitera l’élaboration d’une définition de la souveraineté numérique, puisque si le terme est de plus en plus employé, ses contours ne sont pas encore bien délimités.

1. Constats relatif à la souveraineté numérique en regard de la protection des données personnelles

Comme il a été dit précédemment, un double constat est à l’origine de la recherche des liens entre le concept souveraineté numérique et droit des données personnelles. Le premier constat est celui de l’évolution du droit des données personnelles face aux transformations imposées par le numérique. En touchant des secteurs habituellement gérés par l’État comme la sécurité ou l’économie, le numérique pose un problème de souveraineté, auxquels le droit essaie de répondre par de nombreuses décisions récentes. Le deuxième constat est celui de l’émergence parallèle d’un concept ayant vocation à guider l’action politique, la souveraineté numérique.

1.1 L’évolution du droit des données personnelles face aux transformations imposées par le numérique

L’utilisation actuelle des données personnelles met en péril la souveraineté de l’État ainsi que la protection des données personnelles des internautes. Le numérique rend difficile l’application du droit sur Internet. Ces dernières années cependant, de nombreuses décisions semblent prendre la mesure du défi posé par le numérique.

6

L’utilisation des données personnelles, un problème de souveraineté

« Quand nos données seront dans les mains d’acteurs américains, que restera-t-il de notre souveraineté ? »25 interrogeait la députée Laure de la Raudière lors des débats à l’Assemblée

Nationale sur la loi renseignement. Le cadre juridique du transfert de données vers des États-tiers pose en effet un problème de souveraineté, en ce que les données personnelles, intimement attachées à l’individu, sont au cœur de l’économie et de la sécurité contemporaine.

Malgré le risque tautologique, il faut appuyer le caractère essentiellement personnaliste26 des données personnelles. Par ce caractère, l’usage des données personnelles implique nécessairement le respect des droits attachés à l’individu, à commencer par le droit au respect de sa vie privée. Cet aspect personnaliste se retrouve dans les définitions des données personnelles au niveau français comme européen. La loi française Informatique et Libertés en 1978 les considérait « comme toute information relative à une personne physique identifiée,

directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres »27. La définition donnée par le nouveau règlement européen

n°2016/679 sur la protection des données personnelles28 à son article 4 conserve ce noyau personnaliste, en s’inspirant de la définition donnée en 1995 par la directive29 : « « données à

caractère personnel » toute information se rapportant à une personne physique identifiée ou identifiable »30. Ces définitions, qui présentent la donnée personnelle comme la donnée qui permet d’identifier directement ou indirectement, témoignent d’une conception extensive de la donnée personnelle, bien au-delà de la simple information nominative. Ce qui ressort est la volonté d’inclure toutes les données qui peuvent avoir un lien de rattachement avec l’individu. À ce titre, la neutralité, la confidentialité ou le caractère équivoque des données ne sont pas des critères pertinents pour exclure la qualification de données personnelles31. La qualification

25 _{Citée dans Annie Blandin-Obernesser, Les entreprises souveraines de l’Internet : un défi pour le droit en}

Europe., Droits et souveraineté numérique en Europe, Bruxelles, Bruylant, à la p 105.

26 _{Frédérique Lesaulnier, « La définition des données à caractère personnel dans le règlement général relatif à la} protection des données personnelles » (2016) 12 Dalloz IP/IT, à la p 573.

27 _{Article 2 de la Loi 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, JO,} 16 novembre 2016.

28 _{UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes}

physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données [2016],

JOUE, L 119, à la p 1, 4.5.2016. 29 _{Lesaulnier, supra note 26.}

30 _{CE, Directive (CE) n°95/46/CE relative à la protection des personnes physiques à l'égard du traitement des}

données à caractère personnel et à la libre circulation de ces données, [1995] JO L 281, à la p 31, 23.11.1995.

31 _{Anne Debet, Jean Massot et Nathalie Métallinos, Informatique et libertés: la protection des données à}

caractère personnel en droit français et européen, coll Les intégrales, n°10, Issy-les-Moulineaux, Lextenso,

7

choisie par les définitions étend le caractère personnaliste le plus loin possible, à tous types de données, tant qu’existe cette possibilité de rattachement à l’individu. Le caractère personnaliste de la donnée personnelle ne découle pas logiquement de sa définition ; il est un choix assumé, qui vient couvrir la notion de donnée personnelle d’une certaine vision des droits et libertés européens. Les données personnelles portent en elles les droits et libertés des citoyens européens et leur utilisation est intrinsèquement liée à la notion de souveraineté, qui a notamment pour mission de protéger ces droits et libertés.

Dans cette optique, les données personnelles constituent un problème de souveraineté dans leur aspect économique et sécuritaire. Les données personnelles représentent en effet une mine d’or pour tout acteur du numérique. Si la quantification est difficile, et si les chiffres divergent, l’importance du marché ne peut être niée : pour Viviane Reding en 2011 le marché européen serait de 315 milliards d’euros, tandis que pour le journal Le Monde en 2013 il représenterait 102 milliards d’euros32. En tout état de cause la valeur des données transférées aux États tiers se chiffrerait en centaines de milliards d’euros, ce qui fait des données personnelles européenne une manne profuse pour les acteurs du numérique. La captation de cette valeur par les acteurs étrangers constitue un problème de souveraineté pour l’Union Européenne.

L’aspect sécuritaire de ce problème de vie privée n’est pas négligeable. La prise de conscience générale du recul de la vie privée à l’ère numérique s’est d’ailleurs produite sur ce terrain, avant le terrain économique, avec l’affaire Edward Snowden33. La surveillance américaine opérée par la National Security Agency (NSA) est un cas d’école de la double appropriation des données personnelles par les entreprises et l’État américain, puisque la découverte de la surveillance a révélé une collaboration entre ces acteurs dans l’application du programme PRISM34. Cette double appropriation est un risque sécuritaire pour l’État ainsi qu’un danger pour la protection des droits des citoyens européens.

32 _{Judith Rochfeld, Les géants de l’Internet et l’appropriation des données personnelles : plaidoyer contre la}

reconnaissance de leur « propriété »., L’effectivité du droit face à la puissance des géants de l’Internet. actes des journées du 20, 21 et 22 octobre 2015, Paris, IRJS éditions, 2016, à la p 73.

33 _{Le terrain sécuritaire est probablement le facteur qui a eu le plus de poids dans la mobilisation des États pour} repenser le rôle de la souveraineté de l’État dans la gouvernance de l’Internet. Cf. le paragraphe 2.2.1 « Une

fragmentation au nom de la sécurité nationale » dans le rapport déjà cité de la délégation aux affaires stratégiques

du ministère de la Défense.

34 _{Le programme PRISM consiste en un programme de la National Secyrity Agency (NSA) mettant en place un} accès direct aux données de grandes entreprises du numérique. Anne Debet, « Programme Prism : les citoyens européens sur écoute » (2013) 25 D., à la p 1736.

8

Cette utilisation des données personnelles se fait au mépris des accords qui existent pourtant entre l’Union Européennes et les États-Unis. C’est la raison même de l’invalidation de l’accord Safe Harbor dans l’arrêt du 6 octobre 2015 de la Cour de Justice de l’Union Européenne (CJUE), avec la remise en cause de l’équivalence de protection apportée par les États-Unis. Cette prise de conscience s’est aussi illustrée lors de la publication du règlement européen sur la protection des données personnelles du 27 avril 2016, inclus dans un paquet « Data Protection ». Dans ce paquet se trouvent deux autres directives sur le Passenger Name Record (PNR) et la prévention et la détection des infractions pénales. Il témoigne ainsi de l’inquiétude sécuritaire qui anime le Parlement et le Conseil européen35.

L’utilisation des données personnelles est donc un problème sécuritaire et économique qui touche directement la souveraineté de l’État et de l’Union européenne. Les réponses traditionnelles se trouvent battues en brèche par l’organisation de l’univers numérique, qui rend difficile l’application du droit des données personnelles.

La difficile application du droit sur Internet et la tentative de réponse au niveau du droit des données personnelles

Plusieurs inquiétudes se manifestent sur la protection des données personnelles des internautes. Parmi ces inquiétudes se trouve l’extraterritorialité des lois américaine : l’internaute est le plus souvent soumis à une loi étrangère qu’à sa loi nationale ou européenne de protection des données personnelles. Il existe plusieurs raisons à ce fait. La première est relative à la domination des entreprises américaines sur le numérique36. Cette domination permet une application des conditions générales des grands acteurs du numériques qui désignent le plus souvent leur propre juridiction comme juridiction compétente37. Les décisions des juges nationaux et des autorités de protection des données personnelles se trouvent inappliquées face au poids de ces acteurs. Le terrain du droit de la consommation a pu illustrer cette difficulté d’application : les arrêts déclarant abusives les clauses de compétences juridictionnelles, à l’instar de l’arrêt dit « Origine du monde » de la cour d’appel de Paris du 12 février 2016, semblent avoir eu peu d’impact sur les conditions générales d’utilisation des grands groupes38.

35 _{Laure Marino, « Le règlement européen sur la protection des données personnelles : une révolution » (2016) 22} JCP G, à la p 1079.

36 _{Cattaruzza et al, supra note 13, à la p. 21.} 37 _{Ibid à la p 21.}

9

Facebook a maintenu sa clause en dépit des arrêts qui la déclarent illégale39. Le poids d’un arrêt européen est plus efficace, à l’instar de l’arrêt Google Spain40 qui institue le droit à l’oubli numérique, mais pose des problèmes d’application important au niveau national. Le Conseil d’État a notamment demandé le 24 février 2017 des explications à la CJUE sur les critères du droit à l’oubli numérique41, ainsi que sur la territorialité de cette notion42.

Une observation de l’évolution de la législation et de la jurisprudence, principalement européenne, montre l’ébauche d’une réponse aux problèmes d’application du droit sur Internet à propos de la protection des données personnelles transférées vers les États tiers. Ces dernières années l’Union européenne paraît vouloir réaffirmer l’importance d’appliquer sa norme de protection des données personnelles. Selon Isabelle Falque-Pierrotin, « la réponse s’organise

d’une façon plus orchestrée que dans le passé »43. Il y a une tentative de « reconquête par

l’Union européenne et ses États membres du pouvoir de contrôler les activités européennes des géants de l’Internet »44.

Cette préoccupation pour la protection des données personnelles est visible à l’échelle européenne par l’action de la CJUE, avec trois arrêts. Tout d’abord, l’affaire Digital Rights Ireland v Minister for Communications sur la surveillance généralisée du 8 avril 2014, ensuite la très commentée décision Google Spain45, déjà citée, et enfin la fameuse invalidation du Safe Harbor46 dans l’affaire Schrems, avec pour conséquence l’établissement d’un nouveau cadre d’échange des données dans l’accord Privacy Shield adopté le 12 juillet 2016. Le Parlement européen s’est aussi saisi de cette question avec le règlement européen n° 2016/679 sur la protection des données personnelles, adopté le 27 avril 2016 et qui entre en vigueur le 25 mai 201847.

39 _{Iteanu, supra note 5 à la p 17.}

40 _{Google Spain SL, Google Inc c Agencia Española de Protección de Datos (AEPD), Mario Costeja González,} 2014, CJUE, C-131/12.

41 _{Mme C, M. F, M. H, M. D., 2017, CE 9}e _{et 10}e _{ch., n° 391000.} 42 _{Google Inc, CE Ass., 2017, n° 399922.}

43 _{Isabelle Falque-Pierrotin, Souveraineté numérique et données personnelles, Nice, La souveraineté numérique :} le concept, les enjeux, 7 octobre 2016, en ligne : <http://unspod.unice.fr/video/4322-la-souverainete-numerique-le-concept-les-enjeux/> (consulté le 6 janvier 2017).

44 _Ibid.

45 _{Google Spain SL, Google Inc c Agencia Española de Protección de Datos (AEPD), Mario Costeja González,}

supra, note 40.

46 _{Maximilian Schrems c Data Protection Commissioner, 2015, CJUE, C-362/14.}

47 _{UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes}

physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données [2016], supra note 28.

10

À l’échelle nationale, un ensemble de mesures ont été récemment prises : en France, une mise en demeure de se conformer à la législation française relative à la protection des données personnelles a été adressée à Facebook par la Commission nationale de l’Informatique et des Libertés (CNIL) le 26 janvier 201648,ou encore un renforcement des pouvoirs de sanction de la CNIL dans la loi République numérique49 à l’égard des responsables de traitement. La mise en demeure de la CNIL envers Facebook a abouti le 16 mai 2017 à une sanction de 150 000 euros, montant maximal des amendes données par la CNIL50. Cette réponse est perceptible chez d’autres États membres. Il est possible de citer la décision du Tribunal de première instance néerlandophone de Bruxelles du 9 novembre 2015 imposant de cesser l’enregistrement par Facebook des données des internautes belges ne possédant pas de compte sur le réseau social51. David Forest, qui a rassemblé les précédentes mises en demeures et décisions relève aussi deux décisions allemandes à l’encontre de Facebook, de la Cour fédérale et d’un tribunal de Düsseldorf52. Il faut enfin mentionner la loi dite République Numérique53 _{qui vient renforcer le}

pouvoir de sanction de la CNIL, et crée un droit à l’oubli numérique pour les mineurs.

Ce constat de difficile application et ce mouvement juridique de réponse en droit des données personnelles s’accompagne en parallèle de l’émergence progressive du concept de souveraineté numérique.

1.2 L’émergence progressive du concept de souveraineté numérique

Ce développement juridique s’est accompagné en parallèle d’une émergence du terme de « souveraineté numérique » en France. Si ce travail se concentre sur les sources françaises traitant de la souveraineté numérique, il est cependant intéressant de noter que l’Allemagne s’interroge elle aussi sur ces questions54. Trois phases d’émergence peuvent être identifiées. Ces phases ne sont pas chronologiques puisqu’elles peuvent s’entrecouper dans le temps, mais

48 _{Commission nationale de l’informatique et des libertés, Délibération du bureau de la Commission nationale de} l’informatique et des libertés n° 2016-026 du 4 février 2016 décidant de rendre publique la mise en demeure n°2016-007 du 26 janvier 2016 prise à l’encontre des sociétés FACEBOOK INC. et FACEBOOK IRELAND, n°

2016-026, 4 février 2016.

49 _{Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, JO, 8 octobre 2016.}

50 _{Commission nationale de l’informatique et des libertés, Délibération CNIL Facebook Délibération de la}

formation restreinte SAN 2017006 du 27 Avril 2017 prononçant une sanction pécuniaire à l'encontre des sociétés Facebook Inc. et Facebook Ireland, n° SAN, 27 Avril 2017.

51 _{Fabrice Naftalski, « Facebook rattrapé par la loi belge sur la protection des données » (2016) 2 Dalloz IP/IT à la} p 98.

52 _{Forest, David. « Facebook interroge la souveraineté numérique » (2016) 5 Dalloz IP/IT, à la p 263.} 53 _{Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, supra note 49.}

54 _{Voir notamment « Volonté de l’Allemagne de renforcer sa “souveraineté numérique” » [2014] 107 RLDI. ;} Milton L Mueller, « Gibt es Souveränität im Cyberspace ? » (2015) 1 Journal of Self-Regulation and Regulation.

11

montrent bien trois moments distincts de l’appréhension du concept. Ces trois phases montrent un intérêt pour le concept dans différents domaines, qui est parfois défini, ou parfois simplement mentionné. Une définition juridique n’a cependant pas été donnée explicitement dans ces trois phases et devra être formulée.

Ces trois phases d’émergences peuvent être décrites ainsi : une « préhistoire » du concept avec une utilisation éparse principalement concentrée dans le secteur des sciences politiques, une deuxième période plus tardive de systématisation et d’enrichissement du concept par les universitaires et autres auteurs dans divers domaines et une troisième phase, celle de l’appropriation dans le discours politique et la loi.

Cette émergence d’une volonté de maîtrise sur les données personnelles s’est popularisé ces dernières années sous la terminologie de « souveraineté numérique ».

Première phase d’émergence dans les travaux de sciences politiques

La première phase est distinguée des autres car elle commence dès 2006, dans la revue

Politique Etrangère. Elle est mentionnée dans un article de Bernard Benhamou et Laurent

Sorbier55 ainsi que dans un article de Pierre de la Coste56, qui apporte une définition à l’expression. Cette première phase montre que l’emploi du terme a d’abord eu lieu dans la réflexion en sciences politiques, comme nous avons pu le voir au début de ce travail par l’étude du contexte politique international dans lequel naît la souveraineté numérique. En 2009, Frédérick Douzet, Jean-Loup Samaan et Alix Desforges mentionnent et définissent la souveraineté numérique dans un article sur la cyberpiraterie57. Le rapport déjà cité de 2014 de la Délégation aux affaires stratégiques du Ministère de la Défense58 traite lui aussi de la souveraineté numérique et vient confirmer cette filiation entre sciences politiques et souveraineté numérique.

55 _{Bernard Benhamou et Laurent Sorbier, « Souveraineté et réseaux numériques » (2006) Automne:3 Polit} Étrangère, à la p 530.

56 _{Pierre de La Coste, « La gouvernance internationale de l’Internet » (2006) Automne:3 Polit Étrangère, à la p} 507.

57 _{Frédérick Douzet, Jean-Loup Samaan et Alix Desforges, « Les pirates du cyberespace » (2009) 134:3 Hérodote,} à la p 191.

12

De manière différente, Harry Halpin a réfléchi en 2008 sur la souveraineté numérique en tant qu’« aristocratie immatérielle du World Wide Web »59 décrivant les individus les plus puissants sur Internet en raison de leurs compétences.

Deuxième phase de systématisation et de recherche du concept

La deuxième phase de recherche et de systématisation du concept de souveraineté numérique commence avec l’article de Pierre Bellanger, qui popularise et définit le concept et que d’autres acteurs, après lui travailleront à l’approfondir.

Cette tribune intitulée « De la souveraineté numérique »60, a été suivie d’un ouvrage de référence sur la question (« La souveraineté numérique »61). Un Institut de la souveraineté numérique a été créé et tient depuis plusieurs années des Assises de la souveraineté numérique62. Ces Assises réunissent tous les acteurs concernés par la souveraineté numérique pour réfléchir à son évolution et son intérêt pour la France et son industrie. Deux colloques en droit se sont intéressés à la question. Le premier, datant du 12 septembre 2014, s’intitule « Droits et souveraineté à l’âge de l’Internet : quels défis pour l’Europe ? » sous la direction d’Annie Blandin-Obernesser, et dont les actes ont été publié en 2016 sous le titre « Droits et souveraineté numérique en Europe »63. Le deuxième a eu lieu le 7 octobre 2016 à la faculté de droit de Nice et est intitulé « La souveraineté numérique : le concept, les enjeux ». Différents articles publiés dans des revues juridiques ont aussi employé les termes de souveraineté numérique64.Toutes ces études, de plus en plus nombreuses, cherchent à enrichir le concept plus qu’à le définir, à apporter une réflexion sur le lien entre le concept et les différents thèmes qui y affèrent.

59 _{Harry Halpin, « La souveraineté numérique. L’aristocratie immatérielle du World Wide Web » (2008) 35:4} Multitudes, à la p 201.

60 _{Bellanger, supra note 3.} 61 _{Bellanger, supra note 12.}

62 _{Site de l’Institut de la Souveraineté Numérique http://www.souverainetenumerique.fr/ (consulté le 16 mai 2017).} 63 _{Annie Blandin-Obernesser, Droits et souveraineté numérique en Europe, Bruxelles, Bruylant, 2016.}

64 _{Voir notamment Forest, supra note 52. ; Sylvie Rozenfeld, « Données personnelles : affaire Prism, pas de} souveraineté numérique sans industrie européenne du cloud computing » (2013) 382 Expertise des Systèmes d'Information à la p 243. ; Gérard Haas, « Union européenne : cinq propositions pour la reconquête de la souveraineté numérique perdue » (2014) 391 Expertises des Systèmes d'Information, à la p 192.

13

Troisième phase d’appropriation politique du concept

Enfin, la troisième phase qui peut être identifiée est celle de l’appropriation politique. Un rapport du Sénat de Catherine Morin-Desailly en 2012-2013 fait de la souveraineté numérique « un objectif politique pour l’Europe »65. Le 5 avril 2016, une note ministérielle

française interdit les collectivités publiques de stocker les archives sur des « cloud »non souverains66. Le cloud a été par ailleurs un des premiers terrains d’émergence de la souveraineté numérique. Il constituait l’entrée en matière des premières Assises de la Souveraineté numérique. L’expression de souveraineté numérique est désormais inscrite dans la loi française, à l’article 29 de la loi République Numérique67. Cet article de loi prévoyait dans sa rédaction initiale la mise en place d’un « système d’exploitation souverain ». Il a été modifié au Parlement et prévoit désormais la remise d’un rapport sur la possibilité de créer un commissariat à la souveraineté numérique. Ce rapport, prévu dans les trois mois après la promulgation de la loi, n’a pas aujourd’hui été rendu.

En outre, le concept de « souveraineté numérique » a été employé dans les programmes des candidats à l’élection présidentielle française de 2017 (dans au moins trois programmes, ceux d’Emmanuel Macron, de François Fillon et de Benoît Hamon) témoignant de la volonté politique de retrouver cette maîtrise sur les réseaux. Un inventaire des thèmes que visent les programmes en mentionnant la souveraineté numérique montre bien l’application diverse du concept : la souveraineté numérique est mentionnée pour la régulation des plateformes numériques industrielle et sectorielle, l’intelligence artificielle, la Blockchain et la cybersécurité. Elle est aussi mentionnée à propos d’une renégociation du droit européen des données personnelles, d’une taxe sur le chiffre d’affaires des grands groupes ou encore des logiciels libres. Au cours de la campagne présidentielle, mais aussi au-delà de celles-ci, des

65 _{Morin-Dessailly, supra note 21, à la p 67.}

66 _{Pauline Türk, Rapport introductif : « de la souveraineté à l’épreuve du numérique » à la « souveraineté}

numérique », Nice, La souveraineté numérique : le concept, les enjeux, 7 octobre 2016, en ligne :

<http://unspod.unice.fr/video/4314-colloque-7-octobre-2016-la-souverainete-numerique-le-concept-les-enjeux/> (consulté le 6 janvier 2017).

67 _{Article 29 de la loi n°2016-321 République Numérique du 7 octobre 2016, supra note 49 : « Le Gouvernement}

remet au Parlement, dans un délai de trois mois à compter de la promulgation de la présente loi, un rapport sur la possibilité de créer un Commissariat à la souveraineté numérique rattaché aux services du Premier ministre, dont les missions concourent à l'exercice, dans le cyberespace, de la souveraineté nationale et des droits et libertés individuels et collectifs que la République protège. Ce rapport précise les moyens et l'organisation nécessaires au fonctionnement du Commissariat à la souveraineté numérique. »

14

tribunes de représentants politiques nationaux et européens ont exhorté à mettre en place une souveraineté numérique68.

Si les termes de souveraineté numérique sont d’emploi récent, l’idée de maîtrise de l’informatique et du numérique n’est pas nouvelle. Dès 1966 le Plan Calcul tente de mettre en place une maîtrise de l’informatique face au poids américain dans ce domaine69. À cette fin le plan comporte deux volets, la mise en place d’une délégation à l’informatique, et la création d’une compagnie internationale de l’informatique pour l’aspect industriel70. Ce Plan Calcul ne trouve pas de suite et échoue. Plus près de nous, en 2009, le programme Andromède prévoyait aussi un rapatriement des infrastructures, par la création d’un centre d’hébergement de données français71. Si l’idée n’est pas nouvelle, elle trouve une deuxième jeunesse dans l’expression de souveraineté numérique. Surtout cette volonté n’existe pas seulement au niveau national et européen, mais fait l’objet d’une « montée en puissance »72 dans le monde, réclamée par plusieurs États, à l’instar du Brésil. Pourtant, comme bon nombre de concept à la mode, c’est un concept aux frontières et au contenu flou.

Cette exploration du contexte a permis de relever deux mouvements perceptibles en droit des données personnelles. Un mouvement juridictionnel d’application du droit aux acteurs d’Internet, qui se caractérise par sa profusion et trouve sa marque la plus apparente dans le règlement général sur la protection des données personnelles. De l’autre côté, l’émergence des réflexions sur le concept de souveraineté numérique traduit les inquiétudes sur la gouvernance actuelle de l’Internet.

Ces constats ne sont pas exempts de problèmes, qu’il faut pouvoir identifier. La résolution de ces problèmes guidera le travail.

68 _{Cf. Catherine Morin-Dessailly, « Souveraineté numérique : passer du discours aux actes », Le Monde.fr, en} ligne : Le Monde.fr <http://www.lemonde.fr/idees/article/2017/02/08/souverainete-numerique-passer-du-discours-aux-actes_5076224_3232.html> (consulté le 22 mars 2017). Viviane Reding, « Souveraineté numérique : «écrivons des règles du jeu internationales solides» », Libération (5 octobre 2016), en ligne : Libération <http://www.liberation.fr/evenements-libe/2016/05/10/souverainete-numerique-ecrivons-des-regles-du-jeu-internationales-solides_1449040>. (consulté le 23 juin 2017).

69 _{Valentine Martin, La république numérique en débat au Parlement : le projet de commissariat pour la}

souveraineté numérique, Nice, La souveraineté numérique : le concept, les enjeux, 7 octobre 2016, en ligne :

<http://unspod.unice.fr/video/4327-la-souverainete-numerique-le-concept-les-enjeux/> (consulté le 6 janvier 2017).

70 _Ibid. 71 _Ibid.

15

2. Problématisation du travail de recherche

Le travail de recherche s’oriente autour de deux constats : un constat théorique sur l’émergence d’un sujet encore peu traité, et un constat pratique sur la multiplication des décisions juridiques semblant aller dans le sens de cette souveraineté numérique. Le travail doit permettre d’approfondir le premier constat, puis de vérifier la parenté avec le mouvement juridique actuel.

Dans le sujet qui nous concerne le constat le plus évident est un constat théorique, celui d’absence de définition pour une expression pourtant très utilisée. Même dans les milieux scientifiques une définition peine à ressortir. Ce travail devra comporter une identification du concept, pour fixer un cadre de recherche clair, ainsi qu’une analyse du concept de souveraineté numérique pour vérifier sa pertinence dans le droit des données personnelles.

L’état des travaux antérieurs sur le sujet montre que la souveraineté numérique en elle-même a peu été étudiée, encore moins dans le domaine juridique. Deux colloques juridiques se sont réellement penchés sur la question, sans chercher, volontairement, à la définir a priori. Cependant, l’impact d’Internet sur la souveraineté est une question qui a déjà été traitée. La souveraineté numérique ne naît pas dans un désert théorique. Le sujet qui concerne plus particulièrement la souveraineté numérique est celui de la possibilité d’influer politiquement sur la direction de la norme dans une société en réseau.

Le deuxième problème est celui de l’application pratique de la souveraineté numérique. Si un tel concept a vocation à guider l’action politique, il doit pouvoir s’appliquer aux normes de protection des données personnelles. Or, l’émergence du concept de souveraineté numérique s’accompagne en parallèle d’une action normative européenne et nationale dans le domaine des données personnelles. La question qui se pose ici est de savoir si ce mouvement peut se rapporter à une volonté de souveraineté numérique. Cette réponse européenne et nationale rentre-t-elle dans le cadre de la définition de la souveraineté numérique ? Si la souveraineté numérique a pour vocation d’orienter l’action du législateur, les mouvements déjà entrepris peuvent-ils s’y apparenter ? Loin de se satisfaire d’un lit de Procuste où l’action normative constatée serait présentée de manière à la faire rentrer de force dans la définition du concept, où inversement, un concept défini pour s’adapter à une situation préexistante, il faut pouvoir étudier avec rigueur les liens entre la définition et la réalité pratique.

16

À cette fin ce travail choisit de s’attarder sur l’objet d’étude que constitue le nouveau règlement européen sur la protection des données personnelles. Le règlement est un objet d’étude pertinent, car il a vocation à harmoniser la protection des données personnelles dans l’ensemble de l’Union européenne, et par là de donner l’orientation du droit dans l’Union. L’étude du règlement doit pouvoir montrer si la définition de la souveraineté numérique se retrouve dans la volonté européenne à l’origine du texte. Suite à ce choix, le travail se concentre sur l’utilisation du droit des données personnelles dans une perspective économique, et s’intéressera moins aux questions de sécurité, notamment à la problématique de la surveillance. Il faut cependant conserver en tête que la souveraineté numérique se comprend dans une tension permanente entre la protection d’un droit fondamental, les intérêts économiques et les intérêts sécuritaires.

La recherche est donc non seulement un approfondissement théorique mais aussi une analyse pratique du concept.

L’autre question annexe pour choisir le thème spécifique à traiter est celui de la faisabilité. Existe-t-il suffisamment de matériel, de sources pour le sujet traité ? Qu’est-il possible de démontrer ? Ce travail ne cherchera pas à démontrer l’efficacité de la souveraineté numérique dans la protection des données personnelles. Il est théoriquement possible de la mesurer, en étudiant les décisions de justice, l’efficacité des sanctions prononcées par les autorités de protection des données personnelles, l’évolution des condition générales d’utilisation ou encore de la surveillance sur les réseaux.

Cependant, le postulat initial est qu’une souveraineté numérique n’existe pas aujourd’hui, mais qu’on peut observer l’émergence d’un mouvement désirant la mettre en place. Il serait probablement vain d’essayer de prouver que les législations européennes et nationales offrent aujourd’hui la protection des données personnelles désirée. La souveraineté numérique entend apporter une nouvelle vision de l’organisation du droit des données personnelles, pour renforcer son efficacité. Les règles du droit des données personnelles en vigueur doivent être contextualisées dans le cadre de la souveraineté numérique, pour ensuite voir si la modification de ces règles va ou non dans le sens de la souveraineté numérique. Suite à cette contextualisation, ce qui peut être démontré est que le règlement général sur les données personnelles s’inspire du concept de souveraineté numérique, et montre la volonté d’en mettre une en place. Cette volonté de souveraineté numérique dans le règlement européen peut tout à fait être prouvée, en comparant le contenu (une fois identifié, puis appliqué au droit des données personnelles) du concept de souveraineté numérique et le contenu effectif du règlement général

17

sur les données personnelles. Cette nouvelle direction n’exclut pas de s’interroger sur l’efficacité des mesures mises en place.

Pour formuler la problématique il faut identifier les lacunes du champ d’étude choisi. Ces dernières sont en premier lieu conceptuelles, puisque la souveraineté numérique est elle-même est peu, voire pas définie. Elle ne fait en tout cas pas l’objet de définition juridique établie.

Il existe aussi une lacune analytique, du fait du manque d’études sur le sujet. Étudier le concept de souveraineté numérique à l’aune du règlement sur les données personnelles pourrait fournir un bon exemple d’analyse. Cette étude nécessite préalablement une interprétation du droit des données personnelles en vigueur par le concept de souveraineté numérique. Cela permettra d’identifier l’organisation du droit des données personnelles selon la souveraineté numérique, et de mieux identifier comment les apports du règlement sont une pierre à la construction d’un droit des données personnelles guidé par la souveraineté numérique.

Un double problème a été identifié, celui d’une absence de définition d’un concept qui a vocation à guider l’action politique, ainsi que l’appariement éventuel du concept au règlement européen. De ce double problème doit naître les questions qui orienteront la recherche.

3. Questions de recherche

À partir de l’identification des problèmes, les questions de recherches peuvent être formulées. La première question de recherche peut se formuler ainsi : quelle définition juridique donner à la souveraineté numérique ? La deuxième question de recherche demande comment le concept de souveraineté numérique peut être éclairé par le droit des données personnelles en vigueur ? Il s’agit d’étudier ce que signifierait une souveraineté numérique pour le droit des données personnelles. La troisième question de recherche se pose de la manière suivante : le règlement européen sur la protection des données personnelles traduit-il une tentative de souveraineté numérique ?

La première question de recherche conduit à élaborer une définition, ce qui sera fait dans un titre préliminaire. Cette élaboration s’appuie sur les définitions et éléments de définitions de la souveraineté numérique donnée, pour essayer d’en tirer une définition juridique, ainsi que

18

des indicateurs. À cette fin, les théories du droit en réseau sont explorées en raison d’un rapprochement possible avec l’organisation réticulaire du numérique.

Le deuxième axe de recherche porte sur la traduction de la souveraineté numérique pour le droit des données personnelles en vigueur. Il sera étudié d’une part comment la souveraineté numérique sous-entend en droit des données personnelles une volonté d’indépendance régionale face aux acteurs dominants, pour mieux défendre les valeurs européennes du droit des données personnelles. Il sera étudié d’autre part le sens d’une mise en réseau du droit des données personnelles pour une application plus efficace à l’échelle européenne.

Enfin, le troisième axe de recherche conduit à vérifier si une volonté de souveraineté numérique peut se retrouver dans le règlement européen. Dans ce cadre, l’analyse du règlement doit montrer si les indicateurs de la souveraineté numérique se retrouvent. Cette analyse vient compléter le deuxième axe de recherche, dans laquelle la traduction concrète de la souveraineté numérique dans le droit des données personnelles en vigueur a été étudié. L’analyse du règlement montrera si les dispositions du texte vont dans le même sens que les éléments détaillés dans le deuxième axe. Ainsi, il pourra être recherché l’affirmation d’une volonté d’indépendance numérique régionale claire, ainsi qu’un renforcement de la mise en réseau du droit des données personnelles.

Trois questions de recherches sont donc posées, sur la définition et l’approfondissement de la souveraineté numérique, sa traduction dans le droit des données personnelles, ainsi que le lien entre le règlement européen et la souveraineté numérique. Pour apporter une réponse à ces questions de recherche ce travail se place dans un cadre théorique. L’originalité du cadre théorique de ce sujet est qu’il est en partie à bâtir puisqu’il faut apporter une définition de la souveraineté numérique.

4. Définition de la souveraineté numérique et formulation de l’hypothèse de recherche

Face à la complexité d’appréhension de la définition de souveraineté numérique, l’élaboration de la définition est précisée plus tard dans ce travail, dans le titre préliminaire. La définition trouvée, qui constitue le cadre théorique de la recherche peut cependant être apportée dès maintenant, afin de pouvoir établir l’hypothèse de recherche de ce travail. La souveraineté numérique peut être comprise comme une volonté de maîtrise européenne de la régulation d’Internet, face à la régulation hégémonique des acteurs américains, par l’établissement d’un réseau normatif décentralisé et interactif.

19

À partir de cette définition, l’hypothèse de recherche peut être posée. Les questions de recherche nous guident vers un approfondissement du concept de souveraineté numérique, son application au droit des données personnelles en vigueur, et une étude empirique du règlement à l’aune de ce concept. Le cadre théorique aide à établir la parenté entre ces questions. En effet, ce cadre montre que la souveraineté numérique traduit une volonté de contrôle étatique ou supra-étatique sur des flux en réseaux.

De plus, il est possible de postuler que le règlement européen n° 2016/679 pour la protection des données personnelles du 27 avril 201673 est empreint d’une volonté de souveraineté numérique. Ce texte est un texte majeur pour la protection des données personnelles puisqu’il abroge la directive de 199574 et vise à harmoniser et renforcer le droit des données personnelles au niveau européen. Des interrogations sur cette souveraineté numérique du règlement se retrouvent dans les réflexions sur le concept. La présidente de la CNIL indique que « le législateur européen a souhaité renforcer la capacité de souveraineté

de l’Europe sur ses données »75 par le règlement. D’autres s’interrogent sur la nature du

règlement européen comme « outil de la souveraineté numérique »76.

Le contenu du règlement peut en effet laisser penser à cette volonté de souveraineté européenne sur le numérique. Le règlement conduit en effet à une forme de délégation de souveraineté. D’un côté, il donne de nouveaux droits aux individus, : le droit à l’oubli numérique ainsi que le droit à la portabilité des données. De l’autre côté, il renforce les autorités de protection des données personnelles en augmentant leur pouvoir de sanction. Surtout le règlement semble s’opposer à l’extraterritorialité des lois américaines en affirmant l’extraterritorialité des lois européennes, par le changement du critère territorial d’établissement en un critère d’activité dirigée. Le règlement renforce aussi les obligations contractuelles par les « Binding Corporate Rules » ou les clauses types. Enfin, un des changements majeurs amené par le règlement est celui de la responsabilisation des entreprises, désormais soumises à une obligation de conformité.

Une vue d’ensemble montre donc que plusieurs indicateurs de la souveraineté numérique semblent être présent, le niveau européen, la délégation de souveraineté, la réponse

73 _{UE, Règlement (UE) n°2016/679 du Parlement européen et Conseil relatif à la protection des personnes}

physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données [2016],

JOUE, L 119, 4.5.2016, supra note 28.

74 _{CE, Directive (CE) n°95/46/CE relative à la protection des personnes physiques à l'égard du traitement des}

données à caractère personnel et à la libre circulation de ces données, supra à la note 30. 75 _{Falque-Pierrotin, supra note 43.}

20

à l’extraterritorialité des lois américaines. D’autres éléments, comme la mise en place d’une obligation de conformité pour les entreprises, interrogent cependant sur la pertinence de l’application de la souveraineté numérique au règlement. Au vu des éléments présentés, la question mérite cependant d’être posée.

Si on postule que le règlement est motivé par une volonté de souveraineté numérique, alors cette volonté de contrôle sur les réseaux doit se retrouver dans le texte européen. Les indicateurs qui ont émergés lors de l’élaboration de la définition aideront à expérimenter plus aisément cette parenté supposée.

L’hypothèse suivante est donc proposée :

Le règlement général sur la protection des données (RGPD) cherche à mettre en place une souveraineté numérique pour assurer l’application du droit européen des données personnelles sur les données personnelles transférées à des États tiers.

Cette hypothèse est falsifiable. Il est possible de conclure, après l’étude de ce que recouvre la souveraineté numérique et l’étude du règlement, que le règlement ne cherche pas à mettre en place une souveraineté numérique. Pour montrer qu’il veut mettre en place une souveraineté numérique il faudrait montrer qu’il met en place un réseau normatif en donnant des pouvoirs à d’autres acteurs, et qu’il y a interaction entre les acteurs. Le pluralisme juridique mis en place aurait alors pour origine une norme positiviste.

Ce travail sera l’occasion de construire autour de la validation ou de la réfutation de cette hypothèse, une réflexion approfondie sur l’originalité de la souveraineté numérique dans sa proposition de régulation d’Internet.

L’étude de la souveraineté numérique sur les données personnelles à laquelle se mémoire propose de se consacrer se déroule en trois temps. Le premier temps, préliminaire à la recherche, porte sur l’établissement de la définition de souveraineté numérique (I), suivi de l’interprétation du droit des données personnelles en vigueur au regard du concept (II), et complété par la recherche d’une volonté de souveraineté numérique sur les données personnelles dans le règlement européen (III).

21

Titre préliminaire : L’établissement d’une définition juridique de la souveraineté numérique

Ce travail de définition se déroule en plusieurs temps. Le premier travail, introductif et nécessaire consiste à isoler les deux termes de l’expression pour en rappeler leurs sens respectifs (1). Sans le rappel de ce sens, l’originalité du concept ne peut être entièrement comprise. Le deuxième travail est une approche du sens de la souveraineté numérique à partir de sa globalité (2). La souveraineté numérique est un concept qui touche de nombreux secteurs, et une approche les prenant en compte à partir de la définition préexistante la plus globale aide à orienter le travail. Enfin, la troisième partie a pour vocation de faire émerger les indicateurs de la définition, à partir d’une méthode de travail (3). L’émergence de ces indicateurs conduira à l’élaboration de la définition.

1. Définitions des termes de souveraineté et de numérique

Avant de s’intéresser au sens de l’expression souveraineté numérique, il faut pouvoir isoler les deux termes. Ces derniers sont bien connus et nécessitent une précision sur la manière dont ils vont être compris.

L’expression de souveraineté numérique tire son originalité de l’association de deux termes connus. La souveraineté est un concept ancien, à lier avec Jean Bodin et la naissance de l’État-nation. C’est « le caractère suprême d’une puissance qui n’est soumise à aucune autre », « un

attribut essentiel de l’État »77. Elle est en lien directe avec le droit : « classiquement la

souveraineté s’entend d’un monopole étatique sur l’énonciation et l’application du droit »78. Autrement dit, la souveraineté est une capacité à se déterminer librement, « la qualité de l’État

de n’être obligé ou déterminé que par sa propre volonté, dans les limites du principe supérieur du droit, et conformément au but collectif qu’il est appelé à réaliser »79. La souveraineté de

l’État est une indépendance par rapport aux autres États, ainsi qu’une capacité à appliquer son

77 _{Cornu, Gérard, Philippe Malinvaud, Marie Cornu, Marie Goré, Yves Lequette, Anne-Marie Leroyer, Alain} Ghozi et Association Henri Capitant. Vocabulaire juridique, Paris, Presses universitaires de France, 2016. à la p 882.

78 _{Pierre Trudel, La souveraineté en réseau, Droits et souveraineté numérique en Europe, Bruxelles, Bruylant,} 2016, à la p 10.

79_{Louis Le Fur, État fédéral et confédération d'états, Paris, Marchal et Billard, 1896, p. 443, cité dans Pauline} Türk, « La souveraineté des Etats à l’épreuve d’Internet » supra note 22, à la p 1489.