Souveraineté numérique : des espaces de données sécurisés et partagés entre les entreprises européennes

Le volume de données produites dans le monde augmente rapidement, passant de 33 zettaoctets (le zettaoctet étant égal à 10²¹ octets) en 2018 à 175 zettaoctets en 2025, selon une projection d’IDC parue en 2018.

Aujourd’hui, 80 % du traitement et de l’analyse des données ont lieu dans des centres de données, le reste étant produit par des objets connectés.

D’ici 2025, ces proportions seront probablement inversées selon un rapport de 2017 publié par le cabinet Gartner. « Outre les avantages économiques et de durabilité que cette évolution présente, elle offre aux entreprises des possibilités supplémentaires de développer des outils permettant aux producteurs de données de mieux contrôler leurs propres données », explique la Commission européenne.

« L’UE dispose de la technologie, du savoir-faire et d’une main-d’œuvre hautement qualifiée.  Toutefois, des concurrents tels que la Chine et les États-Unis innovent déjà rapidement et projettent leurs concepts d’accès et d’utilisation des données dans le monde entier », constate-t-elle également.

Création de valeur

En devenant le nerf de la guerre économique et politique, la donnée est devenue un enjeu de souveraineté alors qu’il y a une quinzaine d’années on évoquait plutôt cette problématique sous le terme « d’exception », rappelle à juste titre Étienne Drouard, avocat en protection des données et cybersécurité au cabinet Hogan Lovells.

À cause de l’évolution des technologies (le cloud devenant incontournable et la production de données explosant avec la multiplication des appareils), la position de l’Union européenne évolue.

Parmi les différents projets de souveraineté annoncés en Europe, l’un des plus ambitieux est la création d’un espace européen unique des données. « Les données personnelles et non personnelles, y compris les données commerciales sensibles, sont sécurisées et les entreprises peuvent avoir facilement accès à une quantité presque infinie de données industrielles de haute qualité, ce qui stimule la croissance et crée de la valeur », explique la Commission européenne dans sa « stratégie pour les données ».

En un mot, il s’agirait de datacenters créés et gérés par les Européens et dans lesquels les acteurs publics et privés pourraient piocher et intégrer de telles données. Objectif : profiter directement de ces richesses à la place des GAFAM notamment.

« Ce n’est pas la première tentative au sein de l’UE que nous voyons, avec notamment l’axe franco-allemand, pour créer des infrastructures d’hébergement souverain. Dans un premier temps, ces projets concernaient des activités de défense ou en lien avec des opérateurs d’infrastructures vitales. Aujourd’hui, le sujet revient sous une autre forme avec une dimension plus stratégique et sociétale destinée à agréger des acteurs et des intérêts publics et privés », explique maître Étienne Drouard.

La Commission européenne a en effet l’intention de financer la création de neuf espaces de données communs et interopérables à l’échelle de l’UE :

• données manufacturières ;
• données relatives au pacte vert ;
• données relatives à la mobilité ;
• données relatives à la santé ;
• données financières ;
• données relatives à l’énergie ;
• données relatives à l’agriculture ;
• données pour l’administration publique ;
• données relatives aux compétences.

« Le commissaire européen Thierry Breton a indiqué cet été qu’il souhaitait que les données des Européens soient stockées et traitées sur le territoire de l’Union européenne. C’est la seconde fois que l’UE invalide ses propres décisions permettant de transférer des données librement vers des pays tiers. Cela renforce l’idée que nous n’avons pas confiance dans les autres pays du monde. La conséquence politique que Thierry Breton propose d’en tirer reste à débattre, mais elle pourrait devenir une réalité », précise maître Étienne Drouard.

Dilemme

Mais la réussite de ce projet ambitieux implique nécessairement de dépasser quelques tabous, en particulier celui sur la protection des données personnelles. Or le projet européen repose sur la dissociation entre données personnelles et données industrielles.

« Je ne vois pas comment, d’un point de vue technique et juridique, il est possible de les dissocier. Dans la directive « ePrivacy », on définit ce qu’est une donnée de trafic (redéfinie par « métadonnée »), c’est à dire une donnée générée par une communication électronique entre deux ordinateurs et on y intègre l’exigence du consentement d’une personne physique, lorsqu’un autre usage de ces données que l’acheminement d’une communication, est envisagé. Si on ne clarifie pas les cas dans lesquels une donnée de trafic n’a pas de lien avec l’individualisation d’une personne physique, nous ne serons pas près de mettre en commun les données industrielles, car aucune d’entre elles n’échappera à la définition de la donnée personnelle », insiste maître Étienne Drouard.

Le projet européen pourrait peut-être capoter sur ce dilemme : « Comment être exemplaire sur la protection des droits individuels sans qu’un aménagement soit perçu comme une atteinte aux droits des personnes ? Or, un aménagement n’est pas une atteinte inacceptable. En droit, on a toujours fait la différence entre les principes et les exceptions. C’est la différence entre une règle et un dogme », rappelle maître Étienne Drouard.

Enfin, la volonté politique ne suffit pas à financer des projets souverains. Ils doivent reposer sur des modèles économiques fiables et proposer une offre attractive en termes de logiciels et de services.

Jusqu’à présent, les projets de souveraineté numérique européens ou français n’ont pas vraiment convaincu le grand public et les professionnels…