Hogan Lovells Paris : "L’Union européenne ne peut pas se permettre de rater le train de l’IA"

Décideurs. Les années 2000 ont vu apparaître les premières préoccupations sur le sujet. Quels sont aujourd’hui les grands enjeux de ce que l’on nomme la "souveraineté numérique" ? En Europe ? En France ? À l’international ?

Hogan Lovells Paris. La souveraineté est traditionnellement l’apanage des États. Dans les activités numériques, elle prend des formes très diverses, y compris à travers des standards techniques ou sectoriels ("soft law"). Les conflits de pouvoir y sont à la fois modernes dans leur terrain d’expression et intemporels. Ils touchent à la conquête et la défense d’intérêts stratégiques qu’il faut avoir définis pour pouvoir les articuler avec des valeurs politiques – en Europe, l’humanisme, le développement durable et la stabilité démocratique.

Depuis 2013 au moins, tous les États qui sont parvenus à affirmer une stratégie de souveraineté numérique l’avaient d’abord définie. Il n’est, en effet, pas de meilleur révélateur de la perception qu’une nation peut avoir d’elle-même, car la revendication – ou son absence – de souveraineté incarne le rapport qu’une société entretient avec le "pouvoir du pouvoir". L’Union européenne s’est longtemps caractérisée par son inaction extérieure, veillant à ne pas interférer avec la souveraineté numérique des autres – héritage de l’universalisme face à la polarisation du monde.

"La définition du 'territoire' reste l’apanage de la souveraineté, y compris numérique"

Depuis 2019 en France, commission d'enquête du Sénat, un rapport parlementaire et une mission d’information de l’Assemblée nationale, se sont succédé pour établir des constats et proposer des leviers d’action politique. À l’heure des interdépendances sanitaires mondiales, le moins que l’on puisse dire, est que la réflexion bat son plein ! La définition du "territoire" reste l’apanage de la souveraineté, y compris numérique. En fonction de leurs forces, les États utilisent soit l’instrument de leurs champions économiques, soit celui de leur imperium législatif et politique, soit les deux – pour ceux qui le peuvent.

Ainsi, les États-Unis agissent sur l’extraterritorialité de leur sécurité nationale, car la moitié des données du monde se trouve dans des datacenters contrôlés par des entreprises américaines. Dans les modèles chinois ou russe, il s’agit d’imposer le stockage local des données pour y accéder à des fins régaliennes, mais aussi pour user de leviers sur les acteurs privés "étrangers", dans une stratégie d’influence ou de repoussoir économique et politique. Ces exigences de localisation physique illustrent un réflexe protectionniste illusoire incompatible avec des réseaux ouverts. Cependant, la localisation de données recouvre des réalités très diverses : s’agit-il de localiser les données, mais pas leur analyse, qui pourrait se faire à distance ? Ou impose-t-on le stockage et le traitement des données sur un territoire, pour absorber ou localiser les savoir-faire ? La palette des exigences est variée et les leviers d’une stratégie européenne sur ce point sont encore indéterminés. En tout état de cause, ni le RGPD de 2016 ni la stratégie digitale européenne en discussion en 2021 (DSA et DMA) n’imposent la localisation de données en Europe. Ces textes et projets structurants mettent en œuvre une stratégie forte d’extraterritorialité des lois européennes au service d’un marché intérieur concurrentiel et loyal.

La Cour de justice européenne a invalidé en juillet 2020 l’accord de transfert de données entre l’Union et les États-Unis. En quoi cette décision pourrait-elle rebattre les cartes du numérique ?

À travers son arrêt Schrems II, la Cour de justice a posé les bases d’une interdiction de transférer ou rendre accessibles des données personnelles à destination d’États non européens, lorsque leurs lois de surveillance paraissent violer les droits fondamentaux garantis par l’UE. Cet arrêt a, tout d’abord, invalidé du jour au lendemain l’accord Europe-États-Unis de 2016 dit de "Privacy Shield", qui encadrait la protection aux États-Unis des données personnelles européennes entrant dans le champ d’application du RGPD transférées à des entreprises américaines adhérant à cet accord.

Plus largement, les entreprises européennes, quelle que soit leur taille, ne pourraient désormais plus recourir à des prestataires non européens (américains, chinois, russes, etc.), qu’à la condition d’avoir imposé à ces derniers des "garanties appropriées", contractuelles, techniques ou organisationnelles. Ainsi, sans la moindre réforme législative européenne et sans comprendre les mécanismes légaux d’accès aux données mises en place par les États-Unis et par d’autres États non européens, on feint de croire qu’un contrat ou un mécanisme de chiffrement de données serait approprié et plus fort qu’une loi et qu’il pourrait empêcher des autorités publiques, habilitées hors de l’Union européenne, d’accéder à des données en application de lois souveraines non européennes. Il en résulte une immense insécurité juridique pour les entreprises européennes, qui n’ont pas davantage de solutions ni de leviers que leurs régulateurs nationaux.

Pourtant, plusieurs centaines d’entre elles font l’objet depuis l’été 2020 de poursuites, devant des régulateurs qui les pressent de conclure sur leur (in)capacité à trouver des solutions satisfaisantes à l’impasse institutionnelle résultant de cet arrêt Schrems II, à défaut de quoi, ils les sanctionneront. Ce jeu de massacre, qui ne protège ni les données personnelles de nos concitoyens ni les entreprises européennes, ne trouvera d’issue à moyen terme que par une voie politique, parmi deux principaux scénarios :

– soit la Commission européenne parviendra à convaincre l’administration Biden de conclure un accord plus protecteur que les deux précédents. Cela impliquerait, du côté américain, de modifier les lois de surveillance extraterritoriales américaines. Cela nécessiterait, du côté européen, de convaincre l’administration Biden de la stabilité européenne... alors que la CJUE a invalidé par deux fois en cinq ans, les accords que la Commission européenne avait négociés avec l’assentiment des autorités nationales de protection des données personnelles

– soit le législateur européen trouvera un consensus politique à ses propres exigences à l’égard du reste du monde et redéfinira souverainement les critères d’un équilibre « sécurité-libertés » qui satisfasse enfin ses propres Cours suprêmes – la CJUE et la CEDH.

"Quelles grandes problématiques juridiques cela soulève-t-il ?"

En attendant, la pression exercée sur les entreprises européennes conduira d’abord à sanctionner leur dépendance numérique extraeuropéenne, sans leur offrir de temps ni d’alternative. Le 19 février 2020, la Commission européenne a présenté son plan de bataille pour faire de l’Europe un territoire incontournable de l’IA tout en régulant l’usage des algorithmes.

Quelles grandes problématiques juridiques cela soulève-t-il ? L’Union européenne ne peut pas se permettre de rater le train de l’IA, qui circule ailleurs à grande vitesse. Que sa stratégie soit offensive ou défensive, l’Europe doit déterminer si ses valeurs de démocratie et d’humanisme nourriront un programme politique de conquête scientifique et économique, ou le scellement réglementaire d’une défaite assumée. On ne créera pas des champions économiques de l’intelligence artificielle sans des régulateurs qui accompagnent des créateurs porteurs de projets innovants visant à assembler des masses de données de sources hétérogènes.

Dans tous les secteurs où l’IA va remodeler nos rapports sociaux (santé, commerce, industrie, sécurité, justice, défense, services financiers, assurance, mobilités, etc.), les entreprises européennes – comme les autres – ont besoin de tester et de grandir. Pour cela, on doit apprendre à les suivre plutôt qu’à les poursuivre ou à leur imposer des contraintes dirimantes. Il ne s’agit pas de renoncer à nos valeurs, mais de les traduire dans des méthodes de régulation qui ne transforment pas une préoccupation légitime en une interdiction de principe. Des voies équilibrées permettent de favoriser le développement d’une technologie éthique, à laquelle les réglementations européenne et française peuvent apporter un avantage concurrentiel tout en permettant aux entrepreneurs de créer et d’exploiter des solutions efficaces dans un environnement de confiance et d’excellence.

"Le débat parlementaire européen qui s’ouvre sera crucial..."

En l’état, la grande inconnue juridique de ce programme européen est plus organique que jamais : comment s’articuleront les régulateurs (sectoriels et/ou transverses), quelles seront les données (industrielles ou personnelles), quels seront les objectifs intra et extraeuropéens (concurrence, concentrations) et quels seront les leviers d’action (éducation, partenariats, fiscalité, financement) ? Le débat parlementaire européen qui s’ouvre sera crucial, car il ne pourra pas faire l’impasse sur l’articulation nécessaire entre des régulations toutes légitimes, mais divergentes et concurrentes. C’est à la fois le péril et la grandeur des choix politiques.