Agissant depuis une vingtaine d’années sur le terrain des technologies de l’information et de la communication, l’UE a été hyperactive durant la décennie écoulée. Du droit de la concurrence à la protection des données personnelles, en passant par le marché unique, les règlements, décisions et directives pleuvent. Et avec le plan « Une Europe adaptée à l’ère numérique », ce n’est pas près de s’arrêter. Jusqu’à l’indigestion peut-être… Article paru dans L'Informaticien n°198 (juillet-août 2021).
L’Union Européenne affiche de grandes ambitions sur le numérique, on ne peut le nier. Les institutions se font souvent prescriptrices, que ce soit à travers leurs stratégies ou leurs réglementations. À tel point que l’UE semble parfois faire la pluie et le beau temps dans la politique numérique des États membres. D’ailleurs, lorsque l’on parle du concept Ô combien régalien de souveraineté, ne lui accole-t-on pas, bien souvent, l’adjectif européenne ? Force est de constater que depuis 1998, la stratégie pour l’établissement d’un marché numérique unique a façonné des pans entiers du numérique européen, avec pour acte fondateur l’ouverture du marché des télécommunications à la pleine concurrence. Sans remonter aussi loin, en 2010 la Commission publie sa stratégie numérique pour l’Europe, avec une série d’objectifs à atteindre pour 2020 et trois piliers qui viendront soutenir ce marché unique : l’accès aux biens et services numériques pour les consommateurs – accompagné d’un volet sur les droits de ces derniers – et les entreprises, le développement des réseaux et services numériques et la croissance de l’économie numérique.
Dès lors, l’action de l’UE se décline en règlements et directives, consultations et communications… Certaines décisions sont particulièrement symboliques et médiatisées, à l’instar de l’adoption de la neutralité du Net en 2015, pourtant partie d’un «paquet» bien plus large consacré aux télécommunications. L’harmonisation de la bande de fréquences 470-790 MHz, puis les textes autour des fréquences de la 5G, tout comme les bornes WiFi gratuites dans les bâtiments publics (Wifi4EU, règlement 2017/1953) sont d’autres exemples d’actions prises sur le volet des réseaux. Plus techniques, on trouve également les mesures de réduction du coût du déploiement de réseaux de communications électroniques à haut débit de la directive 2014/61/UE ou encore la libre circulation des données à caractère non-personnel. Sur le commerce électronique, le règlement 910/2014 traitait de l’identification électronique et des services de confiance pour les transactions électroniques au sein du marché intérieur. Quant aux blocages géographiques des services en ligne, l’UE y a mis fin en 2016, tout en réglementant l’année précédente la portabilité transfrontalière des services de contenu en ligne. En 2015, l’Union a aussi révisé les textes relatifs à la protection des consommateurs, aux contrats de vente à distance de biens et aux contrats de fourniture de services numériques.
Prescriptrice
Mais l’UE, ce n’est pas que des textes législatifs rébarbatifs. Annoncé pour juillet 2014 et opérationnel en septembre 2015, le plan Juncker, du nom du président de la Commission européenne, prévoyait un investissement de 315 milliards d’euros entre 2015 et 2018, montant porté à 500 milliards pour 2020, afin de financer des projets industriels et stratégiques, parmi lesquels les infrastructures numériques. Et n’oublions surtout pas la directive NIS (Network and Information System Security), adoptée en 2016 qui est venu renforcer la coopération des États-membres en matière de cybersécurité et a édicté un ensemble de règles quant à la protection des activités économiques et sociétales critiques des États. D’ailleurs, toujours sur le sujet de la cybersécurité, l’Enisa, l’Agence européenne chargée de la sécurité des réseaux et de l’information, a reçu depuis 2013 plusieurs petits coups de pouce réglementaires qui ont élargi ses compétences et amélioré les moyens mis à sa disposition.
Autre mesure emblématique, la fin des frais d’itinérance : EU 531/2012 a été adopté en juin 2017, mettant un terme aux surcoûts subis par les consommateurs lorsqu’ils utilisaient leur mobile dans un autre pays de l’UE. La mesure a eu un impact considérable sur les usages, à en croire l’Eurobaromètre. Notons que ces règles arrivent à leur terme le 30 juin 2022 et la Commission a proposé un nouveau projet de règlement les prolongeant de dix ans, tout en leur apportant diverses améliorations, sur les débits proposés, les services d’urgence ou encore la 5G. « La suppression des frais d’itinérance est un excellent exemple des moyens que l’UE met en œuvre pour que des millions de citoyens restent connectés et pour améliorer leur quotidien », expliquait à ce propos la Danoise Margrethe Vestager, vice-présidente exécutive pour une Europe adaptée à l’ère du numérique. « Grâce aux nouvelles règles, l’itinérance sans frais supplémentaires sera maintenue et sera encore améliorée.»
Une Europe forte
À propos de Margrethe Vestager, attardons-nous un peu sur les questions de marché, de concurrence et d’abus de position dominante. Avant 2014, la posture de la Commission européenne à l’égard des grandes plates-formes en ligne et autres géants du numérique manquait quelque peu de mordant. Jusque-là, les procédures à l’encontre d’un Google, entre autres, cherchaient avant tout une issue par la négociation. D’où des plates-formes qui n’en faisaient qu’à leur tête sans qu’on leur mette de bâton dans les roues. La nomination de la Danoise à la fonction de Commissaire chargée de la concurrence, en 2014, a marqué un tournant. Les enquêtes visant les Gafam – pratiques anticoncurrentielles pour Amazon, Broadcom ou encore Google, optimisation fiscale du côté d’Apple – se sont soldées par des sanctions parfois lourdes. Il n’était plus question que l’Europe se laisse marcher sur les pieds.
Sur le terrain des données personnelles l’UE a aussi serré la vis. Une position grandement inspirée des postures françaises et allemandes en la matière. Avec des législations sur la protection des données remontant à 1995 et sur la vie privée en date de 2009, le RGPD fut un coup de tonnerre qui a, du moins sur le plan psychologique, confirmé le rôle de l’Union européenne en matière de régulation du numérique. Les règlement (UE) 2016/679 et directive (UE) 2016/680 furent, dans les années qui précédèrent leur entrée en vigueur, largement ignorées… passant pour une énième lubie de Bruxelles. Pourtant, l’invalidation du Safe Harbor sur les transferts transatlantiques de données personnelles avait été un sacré tir de sommation. Puis, dans les mois précédant le 25 mai 2018, c’était la panique à bord, de nombreuses organisations entreprenant alors de se mettre aussi vite que possible en conformité. La perspective d’une addition de plusieurs millions d’euros s’avérait déplaisante pour ceux dont l’activité reposait justement sur ces précieuses données à caractère personnel. Malgré des critiques et des lacunes, le texte semble aujourd’hui la référence en matière de droit européen… et nous y reviendrons.
Frénésie textuelle
Une question semble incontournable : sur quel socle juridique les institutions européennes s’appuient-elles pour réguler le numérique ? La réponse est rapidement tombée, sèche et explicite : aucun! Car les traités européens ne comportent aucune disposition spécifique relative aux technologies de l’information et de la communication. Néanmoins, chers amis eurosceptiques, retenez vos coups! Le numérique est un sujet transverse. De facto, à travers les politiques sectorielles qui sont, elles, prévues par le TFUE, l’UE peut bel et bien parler TIC, et ce, pour ce qui touche au commerce ou au marché intérieur, à l’industrie ou à la recherche, à l’éducation ou à la culture, aux réseaux ou encore à la concurrence.
Mais cette question de la compétence est-elle vraiment pertinente ? Non, à en croire le président du GFII, Denis Berthault. À ses yeux, le problème est ailleurs : « Je pense que la frénésie textuelle à laquelle on assiste en ce moment fait qu’on a des textes en silo qui se répondent assez mal et qui sur les mêmes sujets ne font pas appel les uns aux autres, avec des définitions qui vont varier d’un texte à l’autre », déplore-t-il. Ce qui risque de s’avérer assez problématique lorsqu’il s’agira d’appliquer le droit européen : tout ceci finira devant la CJUE qui devra trancher dans l’interprétation à faire des textes, avant que le Parlement ou la Commission ne remette la question sur la table, trois ou quatre ans après leur entrée en vigueur, afin d’ajuster le droit aux nouveaux usages…
Et c’est sur ce point qu’il devient nécessaire d’entrer dans les détails de « La stratégie numérique pour l’Europe », et du plan « Une Europe adaptée à l’ère numérique », ainsi que de la « boussole numérique » de la Commission européenne, et pourquoi pas du programme présenté par Ursula Von Der Leyen, lorsqu’elle était encore candidate à la présidence de l’Union Européenne. Vous l’aurez compris, rien qu’en termes de plans et d’objectifs, le, reproche adressé par Denis Berthault aux institutions se justifie. D’autant que la situation empire dès lors que l’on se penche sur les projets de directives et de règlements…
Attention au dogmatisme
Toujours est-il que l’Union Européenne s’est forgé une solide réputation, de sorte à exister entre ces deux blocs que sont les États-Unis et la Chine, chacun avec leur propre doctrine quant à la régulation du numérique. « L’UE est celle qui veut cadrer, encadrer, bétonner », souligne Denis Berthault. « À ce propos, il y a un avant et un après RGPD. Au-delà de la première vision que l’on a eu de ce texte sur les sujets de marketing, de collecte des données, je pense qu’il est devenu la colonne vertébrale d’une pensée numérique européenne.» Cette question des données occupait d’ailleurs la première partie du volet numérique du plan dressé par Ursula Von Der Leyen au moment de sa candidature à la présidence de l’Union Européenne : « Nous devons trouver notre propre voie européenne, en équilibrant le flux et la large utilisation des données, tout en préservant un haut degré de protection de la vie privée, de sécurité, de sûreté et d’éthique. Le règlement général sur la protection des données y a déjà contribué, et de nombreux pays ont suivi notre exemple », écrivait-elle. La donnée et tout ce qui s’en rapproche, l’IA par exemple, incarnent en effet un enjeu de souveraineté et sont devenus un élément de «soft power».
Or ce RGPD, ossature de la pensée numérique européenne, ne faut-il pas le craindre?, s’interroge le président du GFII. « Il faut une vision pragmatique et non dogmatique… J’ai peur que le RGPD ne serve d’ombrelle », s’inquiète Denis Berthault. Surtout à l’heure où l’UE prépare un important «paquet» législatif sur la donnée et sur l’IA, à travers le Data Act, le Data Governance Act et un futur règlement sur l’IA, qui sont sujets d’âpres débats autour d’une lecture de ces textes à l’aune du RGPD et à l’interprétation qui doit en être faite.
Après une Europe du marché numérique unique, dont le Digital Market Act et le Digital Services Act devraient marquer l’aboutissement, et une Europe de la protection du consommateur européen, se dirige-t-on vers une Europe de la donnée? Pour Denis Berthault, « Nous n’y sommes pas du tout, mais on commence à l’entrevoir. On a une vision assez macro, qu’on va devoir affiner : ça ne se bâtira pas sur le court terme, les politiques de la donnée ne peuvent pas être neutres, il faudra un important travail de gouvernance et il commence à peine. Le chemin promet d’être aride.» Surtout si des textes réglementaires en silo viennent compliquer l’application du droit. Trois textes sur l’IA et la data en l’espace d’une seule législature, voilà qui promet de longues prises de tête, sinon de bec.
Un portefeuille numérique européen
Le 2 juin, la Commission européenne a proposé un cadre européen relatif une identité numérique pour tous les citoyens, résidents et entreprises de l’UE. Baptisé portefeuille européen d’identité numérique, il fera le lien entre la carte d’identité et « la preuve d’autres attributs personnels – tels que permis de conduire, diplômes, compte bancaire », et pourra être utiliser aussi bien comme un moyen d’identification n’importe où sur le territoire de l’Union que comme méthodes d’accès à des services numériques variés. Ce portefeuille numérique pourra être fourni par les pouvoirs publics ou par des entités privées reconnues par les États-membres. Surtout, la Commission entend que ce dispositif permette aux citoyens de « déterminer quels éléments de leur identité, de leurs données et de leurs certificats ils partagent avec des tiers, et de garder la trace de ce partage ». Pour Thierry Breton, commissaire au marché intérieur, « Les portefeuilles européens d’identité numérique leur offrent une nouvelle possibilité de stocker et d’utiliser des données pour des services très variés, depuis l’enregistrement à l’aéroport jusqu’à la location d’une voiture. » Il promet qu’il s’agit d’offrir aux consommateurs un choix européen : « Nos entreprises européennes, grandes ou petites, bénéficieront aussi de cette identité numérique. Elles seront en mesure d’offrir un large éventail de nouveaux services. » Sur le calendrier, le Parlement et le Conseil doivent encore approuver ce projet de règlement, après quoi les États auront un an pour mettre en place ces portefeuilles, sachant que la Commission souhaite travailler avec les États à la mise en place d’une boîte à outils commune, comprenant l’architecture technique, les normes et les bonnes pratiques, et ce, d’ici à septembre 2022.
Les projets de l’UE
Digital Markets Act
Le Digital Market Act, ou DMA, entend adapter aux nouveaux usages la directive sur le commerce électronique de 2000. Le texte proposé par la Commission vise à réglementer les pratiques des plates-formes numériques agissant en tant que gardiens – gatekeepers – entre les professionnels et leurs clients dans l’UE. La nouvelle approche implique un passage d’une action antitrust a posteriori à une régulation a priori, avec la désignation au préalable d’autorités de contrôle et l’édiction d’obligations et d’interdictions qui modifient la façon dont les grandes platesformes numériques sont autorisées à opérer. Le rapporteur du Parlement européen a apporté plusieurs modifications, notamment sur un contrôle limité aux plus grandes plates-formes, sur le processus d’enquêtes et sur les obligations de mesures correctives. Du côté du Conseil, les négociations en vue d’une position commune sont encore en cours et portent sur certains points clivants, tels que le rôle des États-membres, la désignation des contrôleurs ou encore les obligations.
Data Act
En février 2020, la Commission a adopté une communication sur la stratégie européenne des données dans laquelle il est suggéré que l’UE adopte une loi sur la data afin, notamment, d’améliorer leur accès et l’utilisation des données, ainsi que leur partage entre les entreprises et entre entreprises et administrations. Après une étude d’impact publiée en mai 2021, la Commission a lancé le 25 juin une consultation publique, jusqu’au 3 septembre, afin de recueillir les avis des acteurs concernés, avis qui seront également utilisés dans l’examen de la directive sur les bases de données en date de 1996. La consultation interroge entre autres sur les smart contracts comme outil de partage des données, le droit à la portabilité, la clarification du cadre réglementaire sur les données issues de l’IoT ou encore les garanties pour les données non personnelles.
Digital Services Act
Là encore, il s’agit pour l’Union d’adapter la directive de 2000 sur le commerce électronique, ici sur le versant des services numérique. La proposition législative déposée par la Commission en décembre dernier veut faire de ce Digital Services Act un instrument horizontal mettant en place un ensemble de responsabilités qui s’appliquent de manière différenciée selon le type de services – services intermédiaires, services d’hébergement, services de plateforme en ligne et services de très grande plate-forme en ligne – et propose un ensemble d’obligations harmonisées à l’échelle de l’UE pour garantir les transparence et surveillance réglementaires de l’espace en ligne. Le Parlement a, par l’adoption de résolutions, apporté plusieurs modifications en termes d’obligations a priori, la publicité en ligne, la curation de contenu, etc. Le rapporteur a suggéré ainsi d’introduire une interdiction de la publicité ciblée, afin d’accroître la transparence dans ce domaine et de donner plus de contrôle à l’utilisateur en ce qui concerne les systèmes de recommandation. Du côté du Conseil, un 1er texte de compromis circule depuis la mi-juin.
Data Governance Act
La loi sur la gouvernance des données, ou DGA, est la première d’une série de mesures annoncées dans la stratégie européenne 2020 pour les données. Le projet de règlement vise à renforcer les mécanismes qui améliorent la disponibilité des données et la confiance dans les intermédiaires, à travers des conditions d’autorisation de la réutilisation de données du secteur public, notamment lorsqu’elles sont protégées par le secret commercial, ainsi que les garanties de la protection des droits et des intérêts des tiers avec divers moyens techniques tels que l’anonymisation. Le texte prévoit également de nouvelles obligations pour les fournisseurs, notamment de neutralité avec une séparation entre services de partages de données et tout autre service, l’ensemble sous contrôle d’une nouvelle autorité. Le projet de règlement institue également un « register of recognised data altruism organisations », qui référence les entités partageant ou facilitant le partage de données dans l’intérêt général, ainsi que le «European Data Innovation Board» chargé de la normalisation, du conseil sur la gouvernance des données et de l’application du cadre.
Digital Europe Programme
Dans le cadre du prochain budget à long terme de l’UE (2021-2027), la Commission européenne a proposé un nouveau «Digital Europe Programme», publié au Journal Officiel de l’UE le 11 mai dernier, portant sur cinq domaines :
- • HPC : 2,226 milliards d’euros sont alloués pour des projets de développement et de renforcement du HPC et du traitement des données en Europe, pour le déploiement d’un supercalculateur et d’une infrastructure de données avec des capacités exascale d’ici à 2022/2023, et des installations post-exascale d’ici à 2026/ 2027.
- •Intelligence artificielle : 2,06 milliards d’euros sont retenus pour offrir un meilleur accès aux autorités publiques et aux entreprises aux installations de test et d’expérimentation de l’IA dans les États-membres, complété par les investissements dans la R&D.
- • Cybersécurité : 1,65 milliard d’euros est destiné à la cyberdéfense et à la cybersécurité de l’UE, en finançant équipements et infrastructures et en soutenant le développement des compétences et des connaissances.
- • Compétences numériques avancées : 577 millions d’euros investis dans les formations.
- • Déploiement : pour une meilleure utilisation des capacités numériques et d’interopérabilité, 1,07 milliard d’euros viendra soutenir la transformation numérique des services publics et leur interopérabilité à l’échelle de l’UE, avec notamment des pôles d’innovation numérique.
Artificial Intelligence Act
L’IA «éthique» était l’un des points essentiels du volet numérique de la candidature d’Ursula Von Der Leyen, qui promettait l’élaboration d’une «proposition législative en vue d’une approche européenne coordonnée relative aux implications humaines et éthiques de l’Intelligence artificielle», dans les cent premiers jours de son mandat. Dont acte en avril 2021. Le texte propose d’inscrire en droit européen une définition technologiquement neutre de l’Intelligence artificielle et de prendre différentes séries de mesures en fonction du niveau de risque posé par l’IA, à savoir un risque inacceptable, par exemple la notation sociale des citoyens, qui contreviennent aux valeur de l’UE et sont donc interdites : un haut risque, soit des systèmes IA qui ont un impact négatif sur la sécurité des personnes ou leurs droits fondamentaux et qui se verraient imposer une – longue – liste d’obligations; un risque limité, qui implique un nombre réduit d’exigence et enfin un risque minimal, qui peut être développé et utilisé dans l’UE sans obligation légale supplémentaire par rapport à la législation existante. À noter que le Parlement a adopté en octobre 2020 trois résolutions législatives sur l’IA couvrant l’éthique, la responsabilité civile et la propriété intellectuelle qui comprennent l’IA, la robotique et les technologies associées.