Les velléités d’autarcie numérique étaient pourtant, au début de ce siècle, l’apanage de pays connus pour rejeter le modèle libéral occidental. L’Europe s’y dirige-t-elle ?
En Chine, la « Grande Muraille » numérique érigée par Pékin a progressivement limité l’accès des habitants aux services européens et nord-américains. Cette fermeture par vagues successives de l’Internet chinois a permis au parti de contrôler l’accès à l’information et a favorisé l’émergence d’entreprises du web locales. Les recherches s’y font par Baidu et non par Google, les courses en taxi par Didi et non par Uber, et les achats en ligne sur Taobao plutôt que sur Amazon.
La Russie, bien que n’ayant jamais réussi à mettre en place un système d’une telle ampleur, affiche depuis plusieurs années sa volonté d’être capable de se couper de l’Internet en cas de besoin. Bien avant l’attaque de l’Ukraine, Moscou a fait de la résilience numérique une priorité. En 2019, le Ministère des communications a mené un test de découplage grandeur nature durant lequel les utilisateurs n’ont pu accéder qu’aux services présents en Russie.
Centraliser de cette manière l’accès à Internet, qui est par nature un réseau « maillé » conçu pour ne pas dépendre d’infrastructures gouvernementales, n’est pas une mince affaire technique. Si couper brutalement le réseau à l’échelle d’un pays est chose aisée, filtrer de manière précise quels sites sont accessibles et quels sites ne le sont pas relève de la prouesse.
Les gouvernements qui y parviennent sont donc ceux qui ont mis en place une politique d’autarcie volontariste – et des moyens adaptés. Jusqu’à récemment, l’Europe semblait loin de cette philosophie, laissant à ses citoyens l’accès à presque tous les services de la planète.
Seule la lutte contre la criminalité justifiait le blocage de l’accès à certains sites. Pour le reste, le libéralisme numérique prévalait et nous pouvions profiter des effets positifs de cette cyber-mondialisation en lisant CNN ou Al-Jazeera, en achetant sur Amazon comme sur Alibaba, en hébergeant nos données chez Google tout en sécurisant nos ordinateurs avec les logiciels Kaspersky.
Cette mondialisation heureuse pourrait toucher à sa fin.
L’Europe ne veut plus d’un Internet ouvert
De plus en plus, les régulateurs européens voient d’un mauvais œil le recours aux services étrangers. Sanctions financières et menaces de blocages sont désormais monnaie courante.
Déjà, la mise en place du RGPD avait conduit certains sites étrangers à bloquer, par peur de sanctions, l’accès aux visiteurs européens. Ces dernières semaines, la censure soudaine des sites d’information pro-Russes sans débat public a fait voler en éclat le narratif d’un continent où les citoyens auraient accès à l’information mondiale sans filtre étatique.
Après les sites Web, ce sont désormais les services « invisibles » qui sont dans le collimateur des autorités. Sous couvert de protection des données, les pouvoirs publics sanctionnent des entreprises européennes ayant recours à des services fournis par les GAFAM.
En pratique, pierre après pierre, les régulateurs sont en train d’établir un véritable rideau de fer numérique à l’image de ceux en place en Russie et en Chine.
Entre les sites étrangers qui préfèrent bloquer par prudence l’accès aux visiteurs européens, ceux qui sont interdits par les autorités, et l’application de sanctions contre des sites européens tout à fait légaux qui ont eu le malheur d’utiliser des services étrangers, l’Internet libre dont nous prévalions dans les années 2000 n’est plus.
La paradoxale position de l’Europe sur la souveraineté
Outre la « lutte contre les fake-news », très à la mode depuis la fin du mois de février, le principal fer de lance de la politique de censure européenne sur Internet est la protection des données.
En pratique, il est obligatoire pour les sociétés étrangères qui souhaitent accueillir des visiteurs européens sur leur site de se conformer au RGPD, un règlement qui indique entre autres que les données collectées sur des ordinateurs européens ne doivent pas être transférées à l’étranger, y compris lorsque les sites et services sont hébergés hors de l’Europe.
Au motif de la souveraineté numérique, l’Europe s’est ainsi dotée d’un arsenal de mesures permettant de réprimer les transferts de données. Or, cette position vertueuse fait mine d’oublier un point de détail important : les entreprises étrangères concernées doivent aussi être en conformité avec les lois locales.
Les Etats-Unis et la Chine, par exemple, sont tout aussi stricts en ce qui concerne le transfert et le stockage des données – mais eux souhaitent, bien entendu, qu’elles soient sur leur propre territoire.
Pour éviter tout blocage, l’Europe et les USA avaient mis en place un accord-cadre censé lever les ambiguïtés et concilier les exigences de chaque bloc, par construction inconciliables. Le « Safe Harbor » de 2015, devenu « Privacy Shield » en 2016, s’est pourtant effondré en 2020 lorsqu’il a été retoqué par la Cour de justice européenne, et ce contre la volonté de la Commission européenne.
Face à l’incertitude grandissante, le groupe Meta a évoqué publiquement en février la possibilité d’arrêter l’activité de Facebook et d’Instagram sur le vieux continent. Il faut dire que le risque législatif est tout sauf hypothétique, l’Europe ayant depuis prouvé qu’elle était prête à sanctionner jusqu’aux entreprises locales ayant recours aux services des GAFAM.
Quand le souverainisme confère au masochisme
Le 10 février, la CNIL a mis en demeure un gestionnaire de site français pour son usage de Google Analytics mettant en avant le « risque que les services de renseignement américains accèdent aux données personnelles ». Elle fait suite à l’autorité autrichienne de protection des données personnelles qui avait sanctionné, au mois de décembre 2021, un site Web européen au motif qu’il permettait le transfert de données aux Etats-Unis.
Ces attaques des autorités contre leur propre tissu économique ont laissé pantois de nombreux spécialistes du droit et acteurs du numérique. Outre la faiblesse de l’argumentaire technique et juridique de la CNIL, dont je vous épargne les détails, ces procédures ouvrent une boîte de Pandore.
Par construction, le service de Google Analytics est utilisé pour suivre l’usage des sites web. Il contient donc des données plus ou moins anonymes, pouvant être plus ou moins croisées avec d’autres bases de données pour suivre les comportements des visiteurs. C’est sa raison d’être, et c’est une brique technique nécessaire au bon fonctionnement de la plupart des services sur Internet.
Pénaliser l’usage en l’état de Google Analytics en Europe serait un coup de tonnerre pour tous les acteurs du numérique, des places de marché aux fournisseurs de contenus gratuits… et la mesure est d’autant plus incompréhensible que les autorités américaines ont bien plus facilement accès aux données personnelles des réseaux sociaux comme Facebook et Instagram qu’à celles des outils de suivi.
Face à cette situation potentiellement catastrophique pour les entreprises du numérique, peut-être ne faut-il voir dans cette procédure qu’un ballon d’essai des autorités qui verront, dans les prochaines semaines, si les entreprises visées choisissent de mener le combat pour pouvoir continuer d’utiliser les outils numériques comme bon leur semble, ou si elles abdiquent face aux coûts d’une telle bataille (frais de représentation, risque de sanctions, publicité négative).
Peut-être était-ce aussi l’occasion pour l’Europe de montrer au monde entier qu’elle ne laisserait pas le pragmatisme économique primer sur sa volonté d’exporter ses règles aux acteurs étrangers. Ursula von der Leyen, la présidente de la Commission européenne, a révélé le 25 mars au côté du président américain Joe Biden qu’un « accord de principe » avait été trouvé pour « un nouveau cadre pour les flux de données transatlantiques ».
Comme la Russie et la Chine en leur temps, l’Europe de 2022 n’hésite plus à mettre en péril le libre recours à des services numériques étrangers, et a montré la rapidité avec laquelle elle peut bloquer les sources d’informations jugées persona non grata. A défaut d’une équivalence des situations, encore bien différentes dans ces trois zones, la convergence des méthodes ne peut qu’interpeler. Le mythe libertaire d’un Internet permettant à toutes les entreprises et tous les citoyens d’échanger sans contrôle étatique est plus éloigné que jamais.