Pour tendre vers une souveraineté numérique européenne, réglementer l’usage, le stockage et la collecte des données s’avère indispensable. Cette nécessaire protection des données continue de susciter un débat complexe entre pays membres. Ce qui n’a pas empêché l’Union Européenne de prendre plusieurs initiatives à ce sujet. Décryptage.
Le Règlement général la protection des données (RGPD) : le point de départ
Entré en vigueur en mai 2018, le RGPD est le premier pas vers la souveraineté numérique. Il réglemente l’accès, le stockage et l’utilisation des données personnelles des citoyens européens. Pour cela, les entreprises qui détiennent de telles données doivent répondre à plusieurs exigences (suppression des données, consultation sur demande, nomination de DPO…). Ce même règlement stipule que les données personnelles de l’UE ne peuvent être transférées que vers des pays qui offrent une protection similaire et que l’UE considère comme pays “adéquats”*.
Or, la législation américaine, par exemple, est bien moins stricte que le RGPD. Le Cloud Act donne la possibilité au gouvernement américain d’accéder aux données détenues par des sociétés américaines. Et culturellement, les Américains considèrent la donnée comme un actif dont on peut faire commerce. Malgré ces différences, de nombreuses entreprises européennes confient leurs data aux grands fournisseurs de services numériques américains, notamment pour leur hébergement. Cela a poussé l’UE à prendre d’autres initiatives pour réguler le marché des données.
Le Data Governance Act et le Data Act : pour aller plus loin
Ces deux textes complètent le RGPD. Ils visent à développer un marché unique de la donnée en soutenant l’accès, le partage et la réutilisation des données, dans le respect des valeurs de l’UE.
Le Data Governance Act entrera en vigueur en septembre 2023. Il a pour objectif de favoriser le partage des données personnelles et non personnelles en mettant en place des structures d’intermédiation. Ces dernières définiront clairement les conditions dans lesquelles les données détenues par le service public pourront être réutilisées, et ainsi lutter à armes égales avec les acteurs du marché international.
Le Data Act, quant à lui, vise à établir des règles harmonisées quant à l’accès aux données générées par les objets connectés et les différents services liés. Il s’agit de faciliter l’accès, la gestion et le partage de ces données.
La réglementation platform-to-business : premier texte européen qui cadre le e-commerce BtoB
Entré en application en juillet 2020, ce règlement européen instaure un environnement équitable et prévisible pour les commerçants BtoB qui utilisent des plateformes en ligne (environ 7 000 plateformes et places de marché).
Il interdit les pratiques déloyales (clôture de comptes abusive par exemple), oblige les plateformes en ligne à rendre leurs conditions générales plus accessibles. Enfin, elles doivent indiquer les données qu’elles collectent ainsi que l’utilisation qui en est faite, notamment en cas de communication à des partenaires commerciaux. Autrement dit, il introduit de la transparence et de l’éthique dans le commerce numérique entre entreprises.
La Directive NIS2 : souveraineté et cybersécurité
La directive européenne Network Internet Security, dite NIS 2, a pour objectif de renforcer le niveau de préparation des entreprises et organisations aux risques cyber. Elle va se traduire par de nouvelles obligations : mesures de sécurité, règles de supervision, obligation de notifier toute attaque à l’ANSSI…
Chaque pays pourra dresser la liste des organisations concernées par cette directive, en fonction d’une analyse de risque. On estime que plusieurs milliers d’entités liées aux services numériques, à l’industrie spatiale ou la recherche vont ainsi être soumises à cette directive, qui est en cours d’adoption.
Les autorités locales : la CNIL et l’ANSSI pour veiller au respect des législations en France
En France, deux organismes se chargent de veiller à l’application des réglementations sur la protection des données et d’aider entreprises et citoyens à faire face à la menace cyber.
La Commission nationale de l’informatique et des libertés (CNIL), parfois appelée le gendarme du numérique, est le régulateur des données personnelles. Elle a plusieurs missions :
- Informer et protéger les droits : elle répond aux demandes d’information des professionnels et particuliers en matière de protection des données. Elle traite également leurs plaintes.
- Accompagner la conformité : elle propose une boîte à outils pour aider les entreprises à se mettre en conformité.
- Anticiper et innover : elle participe aux développements de solutions protectrices de la vie privée, conseille les entreprises et participe à la constitution d’un débat sur les enjeux éthiques de la donnée.
- Contrôler et sanctionner : elle contrôle la mise en application concrète de la loi.
L’ANSSI (Agence nationale de la sécurité des systèmes d’information), de son côté, apporte son expertise et son assistance technique aux organisations concernant la cybersécurité. Elle assure un service de veille, de détection, d’alerte et de réaction aux attaques informatiques.
L’action des gouvernements européens : de véritables prescripteurs
Pour tendre vers la souveraineté numérique, les gouvernements jouent un rôle important. Ils sont prescripteurs dans le choix de solutions technologiques. Leurs décisions aident à mettre en avant le savoir-faire des acteurs numériques européens. Depuis quelques années, les gouvernements poussent ainsi les collectivités et les entreprises à se tourner vers des solutions open source ou des logiciels produits par des éditeurs locaux.
Le développement de l’écosystème numérique européen permet ainsi de proposer une véritable alternative face aux GAFAM, et de garder le contrôle sur les données.
La prise de conscience des enjeux liés à la souveraineté numérique est bien réelle en Europe. Des règlements comme le RGPD ont éveillé l’attention des citoyens. Les médias se font l’écho de scandales liés à des fuites de données ou à la manne que représentent les données de santé. Des initiatives ont bien été prises à l’échelle européenne, mais elles ne sont pas encore suffisantes pour contrer la puissance des géants américains. Mais, ces règlements montrent la voie pour tendre vers des solutions plus respectueuses des données de nos concitoyens.
* Voir https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde