La plupart des grandes puissances consacrent un droit stratégique des Etats à disposer des données personnelles, de leurs concitoyens en Chine, et sur les citoyens du monde pour les Etats Unis

« Data drives all we do ».

Le slogan commercial de Cambridge Analytica qui semblait bien ambitieux et exagéré lors de la création de cette société, il y a moins de dix années, semble aujourd’hui constituer un poncif absolu tant cette réalité est devenue une évidence. Le contrôle des masses, rendu possible par la généralisation de notre recours à internet, ne pouvait laisser sans réaction les grandes puissances. Il constitue désormais un enjeu stratégique. Sur ce nouveau terrain de l’affrontement entre les Etats, s’opposent principalement une approche inscrite dans une tradition humaniste héritée des Lumières estimant que le droit sur ses données constitue un droit personnel, fondamental et inaliénable et une autre approche privilégiant la défense des intérêts stratégiques des Etats et ignorant largement le droit des personnes.

Surveillance.

A la suite de la France, qui, dès 1978, consacrait la notion d’un droit des personnes sur leurs données personnelles, cette vision fut consacrée par l’Union Européenne en 2016 avec le RGPD. Ce droit personnel ne peut faire l’objet d’une cession ou d’une patrimonialisation. Pour simplifier, une personne doit pouvoir être en mesure de contrôler l’utilisation qu’un tiers peut faire de ses données. Cette vision est loin d’être dominante dans le monde. La plupart des grandes puissances consacrent, à l’inverse, un droit stratégique des Etats à disposer des données personnelles, de leurs concitoyens en Chine, et sur les citoyens du monde pour les Etats Unis. Les droits des individus sur leurs données personnelles constituent désormais un indicateur des libertés individuelles.

En Chine, l’objectif de la réglementation (loi de 2020) consiste « à sauvegarder la souveraineté du cyberespace à garantir la sécurité nationale ». Ce pays vient en 2021 d’adopter une réglementation qui, en apparence, reprend certains des principes fondamentaux du RGPD mais dont la finalité essentielle consiste à assurer à l’Etat chinois un contrôle des sociétés technologiques qui devront gérer les données personnelles en fonction de « leur pertinence pour la sécurité nationale ». Pékin exerce une surveillance d’Etat sans cesse renforcée, organisant notamment une notation du comportement de ses citoyens.

Si les Etats Unis partagent avec la Chine une vision utilitariste et une volonté de surveillance, ils sont aussi soucieux d’assurer la prospérité de leurs champions économiques. Or les GAFAM ont assis leur prospérité sur un modèle économique permettant une exploitation sans freins des données personnelles. Aussi, les Etats Unis se sont délibérément dotés de réglementations (Patriot Act et Cloud Act) permettant un contrôle important des personnes et particulièrement de celles qui ne bénéficient pas de droits de résidence dans ce pays. Ces réglementations à vocation extraterritoriale leur permettent donc, en toute légalité, de pouvoir appréhender des données et informations personnelles en violation totale du RGPD.

Face à ces attitudes ou réglementations ouvertement hostiles, est-il possible pour l’Union Européenne de ne pas réagir ? Dans cette « guerre » pour le contrôle des données, nous n’avons que trop tardé, aveuglés par nos préjugés candides et le nécessaire respect des droits des personnes.

Cette candeur de nos gouvernants, voire cette pusillanimité à répliquer, est particulièrement alarmante

Riposte.

A ce jour, la seule riposte mise en place l’a été sur le plan juridique et dans un registre strictement défensif. Ainsi l’arrêt de la Cour de Justice de l’Union Européenne du 16 juillet 2020 a estimé que, du fait de ces réglementations, les opérateurs américains n’assuraient pas un niveau de protection suffisant des données personnelles des Européens. Pour autant, le législateur, communautaire et national, demeure sans aucune réaction et il n’est nullement même envisagé la mise en place de dispositions offensives symétriquement équivalentes à celle des Etats Unis. Cette candeur de nos gouvernants, voire cette pusillanimité à répliquer, est particulièrement alarmante sur le terrain économique.

En effet, la principale des ripostes consisterait à avoir les moyens de son indépendance et donc de pouvoir héberger des données. A ce jour il n’existe aucun acteur significatif susceptible d’offrir une alternative réelle aux géants américains. La France prétend devenir un Eldorado en la matière mais croit-elle vraiment en sa politique alors que certaines administrations, et symboliquement le health data hub, choisissent Microsoft comme hébergeur ? Il est évident que l’Etat ne peut sérieusement et sans incohérence encourager un hébergement des données à des opérateurs français alors que lui-même ne dispose pas d’autre choix que de devoir recourir au GAFAM.

Croire à des projets simplement hexagonaux est sur ce point particulièrement naïf. Il est évident qu’un opérateur majeur devrait par essence avoir une taille et une vocation communautaire. Cette absence de vision ne peut que réjouir nos concurrents chinois et américains qui, à l’évidence, ont de beaux jours devant eux et pourront sereinement se partager le trésor de nos données personnelles. Sans pour autant passer dans le temps des cyniques, l’Union Européenne doit entrer dans le camp des réalistes.