Souveraineté numérique et achats publics Episode I : la menace extraterritoriale

La proposition de loi portant sur les marchés de cloud[1] et le récent rapport de la Cour des comptes portant sur les systèmes d’information civils de l’État[2] mettent en lumière avec acuité les enjeux de la souveraineté numérique. 

Dans son acception classique, la souveraineté désigne l’exclusivité de la compétence de l’État sur son territoire ainsi que son indépendance dans l’ordre international, où il n’est limité que par ses propres engagements. Elle renvoie à la capacité d’un État à maîtriser les technologies numériques et le cadre juridique qui leur est applicable, afin de conserver une autonomie d’appréciation, de décision et d’action dans le cyberespace.

Cette souveraineté peut ainsi être appréhendée à travers deux composantes indissociables : 

• d’une part, la maîtrise des technologies et des infrastructures, condition sine qua non de la continuité opérationnelle, de la résilience aux cyberattaques et de la prévention d’une dépendance technique à l’égard de fournisseurs étrangers ; 

• d’autre part, la maîtrise des données, entendue comme la garantie de leur intégrité, de leur disponibilité et, pour les données sensibles, de leur confidentialité. Enjeu rendu encore plus critique par le développement rapide de l’intelligence artificielle, fortement consommatrice de données.

L’ambition affichée par l’Union européenne et la France en matière de souveraineté numérique se heurte à des obstacles structurels, au premier rang desquels figurent la position dominante des entreprises extra-européennes (I) et les effets extraterritoriaux de la législation qui leur est applicable (II).

I. Des opérateurs économiques extra-européens dominants dans les technologies et les matériels 

La maîtrise de l’infrastructure numérique suppose d’abord un contrôle effectif de ses fondations technologiques. Or, la dépendance de l’Europe à l’égard d’acteurs extra-européens demeure particulièrement marquée en particulier dans le domaine des micro-processeurs (A) et tend à empirer en raison de l’utilisation du Cloud Computing (B).

A. Une dépendance structurelle aux composants électroniques

1. Une dépendance établie en matière de semi-conducteurs

Les semi-conducteurs constituent le socle de l’ensemble des technologies numériques. En 2025, les composants essentiels qui en découlent (processeurs, mémoires et dispositifs de stockage) sont, pour l’essentiel, conçus et fabriqués en dehors de l’Union européenne.

Les architectures de processeurs sont majoritairement développées par des entreprises américaines ou britanniques, telles qu’Intel, AMD et Nvidia (États-Unis) ou ARM (Royaume-Uni). Leur fabrication est assurée, directement ou par sous-traitance, par un nombre très limité d’acteurs industriels concentrés en Asie de l’Est, région qui regroupe près de 80 % des capacités mondiales de production, au premier rang desquels figurent Samsung (Corée du Sud) et TSMC (Taïwan). L’Europe dispose certes d’acteurs industriels reconnus dans le domaine des semi-conducteurs ou des équipements de production, tels que STMicroelectronics, ASML, NXP Semi conductors ou Infineon Technologies. Toutefois, si ces entreprises excellent sur des segments technologiques spécifiques, elles ne rivalisent pas, à ce stade, avec les grands groupes américains et asiatiques sur l’ensemble de la chaîne de valeur mondiale.

2. Une dépendance constatée dans les équipements de réseaux de communication

Cette dépendance s’étend au-delà des seuls composants électroniques. Les équipements réseau, les terminaux informatiques et les smartphones sont eux aussi majoritairement produits par des entreprises extra-européennes. Le marché des équipements réseau est dominé par Cisco et Juniper (États-Unis) ainsi que par Huawei (Chine). Plus de 80 % du marché mondial des ordinateurs portables et de bureau est capté par six fabricants (Lenovo, HP, Dell, Apple, ASUS et Acer) tandis que près de 70 % des smartphones expédiés dans le monde sont conçus et produits par cinq groupes, principalement américains, sud-coréens et chinois.

3. Le règlement Chip Act, une réponse européenne insuffisante

Face à ce constat, l’Union européenne a adopté en 2023 le règlement sur les semi-conducteurs[3], doté d’un budget de 43 milliards d’euros mobilisant des financements européens, nationaux et privés, en complément d’instruments existants tels que les projets importants d’intérêt européen commun (PIIEC) « Microélectronique » et « Microélectronique et connectivité » ou le programme « Horizon Europe ». La Commission européenne s’était par ailleurs fixée pour objectif de porter, d’ici 2030, la part de l’Union dans la production mondiale de semi-conducteurs de 10 % à 20 %. Fixé dès 2021, cet objectif apparaît aujourd’hui difficilement atteignable.

B. Une dépendance renforcée par le développement du cloud et de l’intelligence artificielle

1. Le Cloud Computing une technologie en plein essor

Le cloud computing, ou informatique en nuage, repose sur l’utilisation de serveurs distants, hébergés dans des centres de données connectés à Internet, pour stocker, traiter et gérer des données, en substitution des infrastructures informatiques locales.

Le développement rapide de l’intelligence artificielle renforce le recours à ces services. L’entraînement de modèles complexes sur de vastes ensembles de données requiert en effet une puissance de calcul considérable, que le cloud permet de mobiliser de manière flexible et évolutive. Il offre, en outre, un ensemble d’outils et de plateformes (bibliothèques d’algorithmes, services de machine learning, modèles pré-entraînés) qui facilitent et accélèrent le développement d’applications fondées sur l’IA.

Le cloud est également présenté comme offrant de meilleures garanties en matière de disponibilité, d’intégrité et de confidentialité des données, grâce à des dispositifs de cybersécurité renforcés et à des mécanismes de continuité et de reprise d’activité plus avancés que ceux des solutions d’hébergement internes traditionnelles (« on premise »).

2. Une technologie dominée par des entreprises américaines

Toutefois, ce marché en forte croissance est largement dominé par les hyperscalers américains. Amazon Web Services (AWS), Microsoft Azure et Google Cloud concentrent à eux seuls environ 70 % des parts de marché en Europe. Cette situation rend particulièrement aiguë la question, pour les États, de la maîtrise effective de la confidentialité, de l’intégrité et de la disponibilité de leurs données, dès lors que ces services sont fournis par des opérateurs soumis à l’extraterritorialité du droit américain.

II. Des opérateurs économiques extra-européens soumis à des législations aux effets extraterritoriaux 

Le cadre classique de l’extraterritorialité du droit international public est remis en cause par la multiplication de lois aux effets extraterritoriaux (A) à l’égard desquelles l’Union européenne et la France ont mis en place des dispositions législatives protectrices (B).

A. La multiplication de lois aux effets extraterritoriaux

1. Notion d’extraterritorialité dans le droit international public

L’extraterritorialité peut être définie comme « la situation dans laquelle les compétences d’un État (législatives, exécutives ou juridictionnelles) régissent des rapports de droit situés en dehors du territoire dudit État »[4] ou « le fait pour l’État d’appréhender à travers son ordre juridique des situations extérieures à son territoire »[5]. En droit international public, un État peut, en principe, appliquer sa législation au-delà de son territoire, dès lors qu’aucun traité international ne l’interdit expressément.

Cette compétence dite « extraterritoriale » repose traditionnellement sur plusieurs critères de rattachement : 

• un critère territorial, lorsque les faits présentent un lien avec le territoire de l’État ; 

• un critère personnel, fondé sur la nationalité des personnes ou des entreprises concernées ; 

• un critère matériel, lorsque sont en jeu les intérêts fondamentaux de l’État, tels que la sécurité nationale ou la protection de l’ordre public.

2. Un équilibre remis en cause par de nouvelles législations

Ces équilibres juridiques sont aujourd’hui mis à l’épreuve par le développement du numérique. Deux difficultés majeures se posent : 

• d’une part, il devient de plus en plus complexe d’identifier un lien territorial clair lorsque les données sont stockées ou traitées dans des infrastructures réparties à l’échelle mondiale ; 

• d’autre part, les États cherchent de plus en plus à accéder directement à des données ou à des éléments de preuve situés à l’étranger, en contournant les procédures classiques de coopération judiciaire, jugées trop lentes ou inadaptées.

À cet égard, le Clarifying Lawful Overseas Use of Data Act (« Cloud Act »)[6], adopté en 2018, constitue un tournant majeur. Il autorise les autorités fédérales américaines, sur la base d’un mandat judiciaire ou d’une citation à comparaître, à exiger de ces entreprises la transmission de données, y compris lorsque celles-ci sont stockées sur des serveurs situés hors des États-Unis. Cette possibilité alimente de fortes inquiétudes quant à la protection des données étrangères hébergées par des prestataires soumis au droit américain.

Si le débat se concentre souvent sur les États-Unis, d’autres puissances ont adopté ou envisagent des dispositifs comparables. Plusieurs grandes entreprises numériques chinoises actives en Europe sont soupçonnées d’entretenir des liens étroits avec les autorités publiques de leur pays d’origine. La loi chinoise sur le renseignement national impose dans son article 7, aux citoyens et aux entreprises un devoir de coopération avec les services de renseignement et de sécurité, y compris dans un cadre extraterritorial.

B. La mise en place de législations européenne et française protectrices

1. Au niveau européen : le Data Privacy Framework

Au sein de l’Union européenne, la protection des données personnelles repose principalement sur le règlement général sur la protection des données (RGPD). Celui-ci interdit, par principe, le transfert de données personnelles vers un État tiers qui ne garantirait pas un niveau de protection équivalent à celui de l’Union.

Les relations entre l’Union européenne et les États-Unis en matière de transferts de données ont été marquées par une instabilité juridique persistante. En effet, la Cour de justice de l’Union européenne, en juillet 2020, a invalidé la décision d’adéquation de la Commission européenne dite « Privacy Shield » censée encadrer ces échanges. La Cour a estimé que la primauté accordée aux exigences de sécurité nationale américaines permettait des ingérences disproportionnées dans les droits fondamentaux des personnes concernées.

De nouvelles négociations ont abouti à l’adoption par les États-Unis de l’Executive Order n° 14086 en octobre 2022. Ce texte affirme les principes de nécessité et de proportionnalité dans l’accès des services de renseignement aux données et crée un nouveau mécanisme de recours indépendant. Sur cette base, la Commission européenne a adopté, le 10 juillet 2023, une troisième décision d’adéquation, dite « Data Privacy Framework ». Les entreprises américaines qui adhèrent à ce cadre et sont référencées par le ministère du Commerce peuvent désormais recevoir des données personnelles européennes sans garanties supplémentaires.

2. Au niveau français : l’encadrement du recours au cloud par l’État

En droit interne, la loi relative à la sécurisation et à la régulation de l’espace numérique (SREN)[1] apporte un cadre spécifique pour le recours par l’État à des services cloud privés. L’article 31 impose la mise en œuvre de critères de sécurité renforcés lorsque les systèmes concernés traitent des données dites « d’une sensibilité particulière » et que leur compromission est susceptible de porter atteinte à l’ordre public, à la sécurité publique, à la santé ou à la vie des personnes, ou à la protection de la propriété intellectuelle.

Sont notamment visées les données couvertes par des secrets protégés par la loi, ainsi que celles indispensables à l’accomplissement des missions essentielles de l’État, telles que la sécurité nationale ou le maintien de l’ordre public.

Un second épisode permettra d’appréhender les marges de manœuvre des acheteurs publics dans ce contexte.