Sous la direction de Valérie Chavanne, la villa numeris mène, depuis le printemps 2021, des travaux portant sur les transferts transfrontaliers de données dans le cadre d’un groupe de travail réunissant un vaste panel d’experts pluridisciplinaires. Après plusieurs mois de recherches, de concertations, et d’auditions avec diverses personnalités représentatives des différents intérêts en présence, nous avons pu produire un livre blanc rassemblant nos conclusions et recommandations. Vous pouvez y accéder en cliquant ici.
Voici ci-dessous un résumé synthétique des idées présentées dans le livre blanc.
La mise en place de notre groupe de travail portant sur le transferts transfrontaliers de données tout comme le livre blanc que nous vous présentons sont tous deux partis d’un même constat. Les transferts de données sont devenus indispensables dans une architecture économique mondiale à la fois numérique et globalisée. Leur régulation est cependant délicate, dans le sens où elle doit trouver un équilibre satisfaisant entre les intérêts pourtant parfois opposés des différents acteurs concernés, c’est-à-dire principalement les États dans le cadre de leurs missions régaliennes, les acteurs publics comme privés qui traitent des données personnelles, et enfin les citoyens européens qui attendent (de manière justifiée) que leur droit à la vie privée soit respecté.
Comment donner une marge de manœuvre suffisante aux États pour leurs missions régaliennes, sans bafouer le droit à la vie privée des citoyens ? Comment réguler suffisamment les transferts pour sécuriser les droits des personnes concernées, sans étouffer les acteurs économiques ? Comment laisser les acteurs économiques travailler sans, du même coup, permettre aux États des intrusions disproportionnées ?
C’est en considérant l’ensemble de ces questions que l’Europe a dû mettre en place la régulation des transferts. Il est cependant devenu de plus en plus évident que l’équilibre entre les différents intérêts en présence n’est plus satisfaisant. La situation actuelle est celle d’une insécurité juridique pour l’ensemble des acteurs privés et publics européens, et l’arrêt Schrems II l’a illustré de manière assez spectaculaire. La combinaison de la révocation abrupte de la décision d’adéquation visant les États-Unis, et de la mise en avant simultanée d’une approche au cas par cas sans règle précise ni solution claire, illustre aujourd’hui le caractère très imparfait des règles entourant les transferts et la situation compliquée dans laquelle ces dernières placent un grand nombre d’acteurs, publics comme privés.
Le livre blanc que nous vous présentons représente l’aboutissement des recherches entreprises afin d’apporter une réponse à une telle situation complexe. La première conclusion à laquelle nous sommes parvenus, est que cette réponse ne passera pas par une simple dérégulation brutale des transferts de données. Les différentes réglementations qui entourent les traitements de données à caractère personnel d’une part, et plus spécifiquement leurs transferts d’autre part, poursuivent des objectifs légitimes, et sont en ce sens justifiées. Elles sont en accord avec la défense des valeurs démocratiques européennes, en protégeant le citoyen européen et en s’inscrivant dans la stratégie numérique pour l’Europe telle que définie dans différents textes. Il ne s’agit donc pas d’appeler à la destruction des règles existantes, ou même à leur modification : la réponse au casse-tête des transferts passera par l’élaboration de solutions agiles nous permettant de travailler avec elle, d’en améliorer l’application au monde économique, et d’en concrétiser les objectifs.
La question suivante était bien sûr de déterminer notre angle d’approche dans l’élaboration de solutions permettant de travailler de concert avec la réglementation existante. Quelle direction adopter, quel paradigme choisir ? Nos discussions avec les différentes personnalités auditionnées ont rapidement mis en évidence un cadre particulièrement pertinent et cohérent avec la stratégie politique européenne actuelle afin de penser la régulation des transferts : celle de la promotion de la souveraineté numérique de l’Europe.
Il s’agit donc de rétablir un équilibre dans la réglementation entourant les transferts en percevant ceux-ci par le biais du paradigme de la promotion de la souveraineté européenne. Car en effet, défendre la souveraineté européenne suppose d’assurer la défense des valeurs démocratiques européennes, et notamment le droit fondamental à la vie privée, mais aussi le système économique de l’Europe, tout comme ses intérêts stratégiques et régaliens. La recherche de la souveraineté recoupe parfaitement l’équilibre visé par les réglementations des transferts, et ce n’est pas un hasard : les transferts ont toujours constitué un outil incontournable d’indépendance stratégique. Leur dérégulation permet le recours à des solutions globales parfois plus performantes, au risque d’une vassalisation progressive ; leur verrouillage favorise les acteurs économiques nationaux ou régionaux, tout en les privant du recours à des outils externes.
Notre objectif est donc devenu clair : travailler avec la réglementation existante, puisque celle-ci est justifiée et s’inscrit dans la défense des valeurs démocratiques européennes. Le paradigme adopté pour atteindre cet objectif également : il s’agit de penser et d’utiliser les transferts comme un outil de souveraineté, un paradigme permettant d’atteindre l’équilibre désiré pour les réglementations des transferts. Mais concrètement, qu’est-ce que cela signifie ? Quelles solutions pratiques, réelles ces affirmations encore très théoriques supposent-elles ?
Notre conclusion est la suivante : la promotion de la souveraineté européenne par le biais des transferts passera par une stratégie en deux temps. Aujourd’hui, dans notre situation économique immédiate, il est difficile de nier l’avance technologique d’un certain nombre de géants du numérique, notamment américains et chinois. Il est également difficile de nier une certaine dépendance de l’Europe aux solutions de ces hyperscaleurs. Dans ce cadre, nous ne pouvons foncer tête baissée dans une application excessivement stricte de l’encadrement des transferts afin de favoriser les solutions européennes (ce que semble pourtant faire l’arrêt Schrems II). Les conséquences à court terme pour les acteurs européens publics comme privés qui ont besoin des solutions de ces géants du numériques et ne peuvent pas trouver d’alternative purement européenne satisfaisante seraient simplement catastrophiques. Des compromis et des solutions pratiques d’application immédiate doivent être trouvés afin de permettre aux acteurs européens de continuer de travailler avec les géants du numérique tout en gardant un niveau de protection satisfaisant pour les citoyens européens.
Nous étudions, dans ce livre blanc, trois de ces potentielles solutions, à savoir les licences, le chiffrement, et l’anonymisation profonde. Aucune de ces trois propositions ne constitue une solution miracle, applicable à l’ensemble des situations, sans aucun risque de dérive ou sans aucune imperfection. Nous sommes cependant convaincus que chacune d’entre elles est en capacité d’apporter une réponse convaincante à certaines situations précises, et que leur potentiel combiné couvre une partie importante des besoins immédiats des acteurs économiques en termes de transferts.
Nous parlions d’une stratégie en deux temps, et en effet l’élaboration et la mise en avant des solutions pratiques immédiates dont nous venons de parler ne doit pas occulter la nécessité de développer des alternatives purement européennes dans une vision de long terme. L’investissement prioritaire et régulier dans le développement de l’architecture numérique européenne, la promotion de l’Open Source sont autant de pistes que nous devons poursuivre afin d’encourager une véritable indépendance stratégique de l’Europe dans le domaine du numérique sur le moyen et long terme. Une volonté politique semble aujourd’hui porter la mise en avant de la souveraineté numérique européenne, et le développement de telles alternatives de long terme : il s’agit d’un effort qu’il faut poursuivre de manière prolongée.
Il ne s’agit pas tant d’opposer ces deux temporalités, que d’essayer de les réconcilier : la négligence des impératifs de court terme pour une focalisation aveugle sur des objectifs de long terme finira toujours par nuire à ces derniers, voire à les rendre impossibles à atteindre. À l’inverse, se concentrer uniquement sur les impératifs économiques urgents, en délaissant une vision plus globale, est loin de représenter un plan d’action durable. Trouvons des solutions pratiques, immédiates et agiles concernant les transferts, afin de donner à des alternatives européennes le temps d’émerger. Ce n’est qu’ainsi que nous pourrons promouvoir correctement les transferts en tant qu’outil de souveraineté numérique, et du même coup rétablir l’équilibre juridique de la réglementation des transferts, que nous semblons avoir perdu aujourd’hui.