II. DES INITIATIVES LÉGISLATIVES COMPLÉMENTAIRES DEMEURENT NÉCESSAIRES AFIN DE DOTER L'UNION EUROPÉENNE D'UNE STRATÉGIE NUMÉRIQUE PLUS AMBITIEUSE, AUTONOME ET INTÉGRÉE
A. UNE INDISPENSABLE RÉFLEXION SUR LA LOCALISATION DES DONNÉES DES ENTREPRISES ET DES CITOYENS SUR LE TERRITOIRE DE L'UNION EUROPÉENNE
1. Se protéger face à la vulnérabilité juridique extraterritoriale de l'Union européenne
En complément des objectifs fixés par le programme d'action numérique de l'Union européenne à l'horizon 2030, la commission des affaires économiques estime qu'il serait judicieux d'avoir un débat rapidement, au niveau européen, sur l'opportunité de localiser les données à caractère personnel des citoyens et les données sensibles des entreprises sur le territoire de l'Union européenne . Un tel sujet, majeur pour assurer la souveraineté numérique des États membres, doit ainsi faire l'objet d'un examen législatif spécifique au niveau européen.
La localisation des données est une première brique indispensable, mais insuffisante en elle-même, pour assurer la souveraineté numérique de l'Union européenne. Elle permettrait en partie d'améliorer notre résilience collective face aux lois extraterritoriales, en particulier américaines.
En effet, aujourd'hui, il est estimé que 80 % des données générées par les internautes français lorsqu'ils naviguent sur Internet sont hébergées dans des serveurs et dans des centres de données localisés aux États-Unis.
Jusqu'à l'adoption du Clarifying Lawful Overseas Use of Data Act dit Cloud Act par le Congrès américain en 2018 , le lieu de stockage des données était déterminant dans la détermination de la législation applicable .
La portée extraterritoriale de leur législation a toutefois était étendue avec l'adoption du Cloud Act . Désormais, tout prestataire de services électroniques immatriculé aux États-Unis doit communiquer à l'administration américaine les données de communication qui lui sont demandées dans le cadre d'un mandat de perquisition et ce, quel que soit le lieu de stockage de ces données dès lors que le prestataire en est propriétaire, les détient ou les contrôle. Par conséquent, la très grande majorité des principaux établissements de traitement de données, et en premier lieu les GAFAM, est désormais soumise aux législations américaines, car le lieu d'immatriculation des sociétés est devenu primordial dans la détermination de la législation applicable.
Ce changement de législation, conjuguée à une situation concurrentielle largement favorable aux grandes entreprises américaines du numérique, est devenu l'une des principales vulnérabilités de l'Union .
2. Construire des infrastructures européennes pour les usages numériques européens
La commission des affaires économiques estime indispensable qu'une nouvelle législation européenne en faveur de la localisation des données s'accompagne d'une politique de localisation des infrastructures sur le territoire de l'Union européenne .
Aujourd'hui, de très nombreux centres de données sont implantés à l'étranger et notamment aux États-Unis, même si ces centres stockent les données des citoyens et des entreprises européens. Il serait judicieux d'établir une politique européenne coordonnée de planification de l'implantation des serveurs et centres de données sur le territoire de l'Union.
En complément de l'implantation des réseaux terrestres, les récents travaux de la commission des affaires économiques sur la souveraineté 17 ( * ) ont également mis en évidence la nécessité, pour l'Union européenne, de se doter d'un réseau résilient et indépendant de câbles sous-marins par lesquels transitent entre 96 % et 99 % du trafic Internet mondial. Or les grandes entreprises américaines du numérique sont très majoritairement propriétaires de ces câbles, alors qu'il n'existe pas de commandes institutionnelles pour des usages civils.
En complément des réseaux terrestres et maritimes de télécommunications, l'Union européenne doit également se doter d'un réseau indépendant et souverain d'infrastructures spatiales, projet actuellement défendu par la Commission européenne et soutenu par l'ensemble de ses États membres dans le cadre de la mise en oeuvre de la constellation européenne de connectivité.
Ainsi, la construction d'infrastructures européennes pour les usages numériques européens suppose d'adopter une approche globale et cohérente des infrastructures terrestres, maritimes et spatiales .
3. Bâtir une souveraineté logicielle comme dernier maillon d'une politique européenne d'autonomie numérique
De façon complémentaire, la commission des affaires économiques estime que les investissements en faveur de la souveraineté logicielle de l'Union européenne constituent également une brique supplémentaire et indispensable pour bâtir une souveraineté numérique européenne .
La localisation des infrastructures européennes de télécommunications doit s'accompagner d'investissements en faveur du développement d'une filière européenne d'acteurs logiciels et informatiques dont les sociétés sont immatriculées sur le territoire de l'Union.
Les récents travaux de la commission des affaires économiques sur la souveraineté 18 ( * ) ont mis en évidence la nécessité pour l'Union de s'assurer une autonomie technique en matière de logiciels d'hébergement et de traitement des données. Il est indispensable d'être en capacité d'assurer la maintenance logicielle ou « le service client » car, une fois installé, les logiciels, y compris ceux utilisés sous forme de licence, sont considérés comme des services. Or, si le savoir-faire et les compétences nécessaires à cette maintenance logicielle ne sont pas détenus ni maîtrisés à l'échelle européenne, il existe alors une dépendance technique à l'égard d'acteurs extra-européens qui pourrait être préjudiciable pour les entreprises françaises et européennes.
* 17 http://www.senat.fr/notice-rapport/2021/r21-755-notice.html
* 18 http://www.senat.fr/notice-rapport/2021/r21-755-notice.html