La notion de « souveraineté numérique » a été popularisée par Pierre Bellanger avec la publication en 2014 de son ouvrage portant ce titre. Depuis, l’expression est utilisée partout, attribuée à n’importe quelle entité, pour désigner à peu près tout et n’importe quoi. Il importe de clarifier la notion de souveraineté si l’on veut que la notion soit opérationnelle, et justifier pour quelle raison il n’est juridiquement pas possible de parler de souveraineté numérique pour l’Union européenne.
Par Anne-Thida Norodom, professeur de droit public, université de Paris
En droit, la souveraineté est l’attribut exclusif de l’Etat. Il ne peut donc y avoir de souveraineté numérique des utilisateurs (Avis du Conseil économique, social et environnemental, Pour une politique de souveraineté européenne du numérique, 2019, p. 17), ni des opérateurs de plateforme en ligne (A. Blandin, « Les entreprises souveraines de l’Internet : un défi pour l’Europe », Droits et souveraineté numérique en Europe, 2016) ou encore de l’Union européenne (Rapport de la mission d’information du Sénat, L’Europe au secours de l’Internet : démocratiser la gouvernance de l’Internet en s’appuyant sur une ambition politique et industrielle européenne, 2014, p. 26). L’utilisation d’autres termes pour désigner l’idée sous-jacente à celle de souveraineté devrait donc être favorisée lorsqu’il s’agit d’entités autres qu’étatiques.
Il y a plusieurs manières de définir la souveraineté en droit. Il peut s’agir du « plus haut degré de puissance et de liberté légales » (J. Combacau et S. Sur, Droit international public, 2019) ; la souveraineté peut désigner « des compétences, des droits et des attributs juridiques au profit de son titulaire (…) un noyau dur de prérogatives qui seraient celles de l’Etat » (R. Rivier, Droit international public, 2017) ; on peut encore distinguer la souveraineté interne, qui s’apparenterait à l’exercice d’un pouvoir exclusif sur son territoire, de la souveraineté externe (ou s’exerçant dans l’ordre international), qui serait synonyme d’indépendance et de non subordination à une autre autorité.
Lorsque l’on parle de souveraineté de l’UE, l’expression est juridiquement erronée parce que l’UE n’est en aucun cas un Etat. Utiliser cette expression, c’est donc s’inscrire dans un débat sur la nature de l’UE qui dépasse de loin la question numérique. Pourtant l’idée sous-jacente d’autonomie stratégique de l’UE doit être défendue et elle peut l’être par le droit. Trois domaines permettraient d’assurer cette autonomie de l’UE dans le domaine du numérique et de la cybersécurité.
La protection des données des citoyens européens constitue un premier domaine d’autonomie stratégique. Le RGPD et sa portée extraterritoriale (v. contribution de F. Jault-Seseke) ont conduit les autres Etats à adapter leur propre législation. La protection des données, conçues non pas dans une perception patrimoniale mais comme un attribut de l’individu, propose un véritable modèle européen voire un standard international.
Le développement de la puissance technologique de l’UE apparaît comme le deuxième volet de cette autonomie. La protection de l’industrie et du consommateur européens ainsi que le soutien apporté au développement des entreprises et de la recherche dans le domaine numérique sont indispensables. Cet aspect économique de l’autonomie stratégique de l’UE est aujourd’hui le plus développé ; il permet à l’UE de protéger son indépendance économique vis-à-vis des actuelles puissances numériques. Il doit continuer à être développé mais dans une perspective plus transversale en établissant une véritable politique européenne du numérique.
Des efforts restent cependant à produire en matière de cyberdéfense, troisième domaine de l’autonomie numérique stratégique. L’UE a surtout développé des mesures de cybersécurité dans la perspective du e-commerce. Quelques éléments de cybersécurité en dehors de ce champ ont toutefois vu le jour : l’adoption de la directive sur la sécurité des réseaux et des systèmes d’information (Directive NIS (UE) 2016/1148), la création en 2004 d’une agence ENISA dont le mandat prendra fin en juin 2020 pour se voir attribuer un mandat permanent au centre du dispositif de certification prévu par le projet de règlement sur la cybersécurité de 2018, enfin la mise en place d’une équipe CERT-UE pour réagir aux cyberattaques visant les institutions et agences de l’UE. La cyberdéfense reste toutefois essentiellement l’apanage des Etats alors qu’une réponse aux cyberattaques ne peut être uniquement nationale et devrait être a minima coordonnée à l’échelle européenne.
L’autonomie stratégique de l’UE en matière numérique ne sera pleinement opérationnelle que si elle est complète dans ces différents domaines. L’élaboration d’un cadre normatif est en cours mais doit encore être développé.