Souveraineté numérique et indépendance technologique de l'europe : analyse juridique des enjeux et solutions

Didier Supplisson, Revue juridique des politiques publiques, Avril 2025

La tribune d'Andy Yen, PDG de Proton, publiée dans Le Monde, le 2 avril 2025, soulève des questions fondamentales concernant la souveraineté numérique européenne. Au-delà des considérations économiques et stratégiques qu'elle développe, cette tribune met en lumière des problématiques juridiques essentielles liées à l'autonomie stratégique de l'Union européenne dans le domaine numérique. Le présent article propose une analyse juridique approfondie des enjeux soulevés par cette tribune, en examinant le cadre juridique actuel, les problématiques qu'il pose, les enjeux sous-jacents et les pistes de solutions juridiques envisageables.

La formule frappante utilisée par Andy Yen - "il n'y a pratiquement aucune différence entre souveraineté numérique et souveraineté véritable" - invite à une réflexion approfondie sur les implications juridiques de la dépendance technologique européenne, particulièrement dans un contexte de tensions géopolitiques accrues et d'instrumentalisation potentielle des technologies par les puissances étrangères.

I. CONTEXTE JURIDIQUE DE LA SOUVERAINETÉ NUMÉRIQUE EUROPÉENNE

A. Évolution de la notion juridique de souveraineté à l'ère numérique

La notion de souveraineté, fondement du droit international public depuis les traités de Westphalie (1648), connaît une mutation profonde à l'ère numérique. Traditionnellement, la souveraineté étatique s'exerce sur un territoire défini et implique la capacité d'un État à exercer son autorité de manière indépendante. Cette conception territoriale se trouve aujourd'hui confrontée à la nature transnationale des flux numériques et à l'émergence d'acteurs privés dont la puissance excède celle de nombreux États.

Le droit international classique peine à appréhender cette nouvelle réalité. L'affaire Microsoft Corp. v. United States (2018) illustre parfaitement cette difficulté : la question de savoir si les autorités américaines pouvaient contraindre Microsoft à divulguer des données stockées sur des serveurs situés en Irlande a révélé les limites d'une conception purement territoriale de la souveraineté.

Dans le contexte européen, la notion de "souveraineté numérique" a progressivement émergé dans le discours juridique et politique, sans toutefois bénéficier d'une définition juridique précise. Le Règlement général sur la protection des données (RGPD), adopté par le règlement (UE) 2016/679 du 27 avril 2016, constitue une première tentative d'affirmation de cette souveraineté numérique en établissant un contrôle sur les flux de données personnelles des citoyens européens.

B. Cadre juridique actuel de l'autonomie stratégique européenne

Le cadre juridique actuel de l'Union européenne en matière de souveraineté numérique s'articule autour de plusieurs textes fondamentaux :

• Règlement (UE) 2016/679 du Parlement européen et du Conseil (RGPD) du 27 avril 2016 ;

• Règlement (UE) 2022/1925 du 14 septembre 2022 (Digital Markets Act, DMA) ;

• Règlement (UE) 2022/2065 du 19 octobre 2022 (Digital Services Act, DSA) ;

• Proposition COM(2022)454 final du 15 septembre 2022 (Cyber Resilience Act) ;

• Règlement (UE) 2023/2854 du 13 décembre 2023 (Data Act) ;

• Règlement (UE) 2024/1689 du 13 juin 2024 (AI Act).

Ces règlements s’inscrivent dans une stratégie plus large, formalisée par la Communication COM/2020/67 final du 19 février 2020 (« Shaping Europe’s digital future ») et la Communication COM/2021/118 final du 9 mars 2021 (« 2030 Digital Compass »).

C. Limites du cadre juridique actuel

Malgré leur ambition, ces textes présentent des limites :

• Orientation réglementaire : délais de mise en œuvre trop longs face à une urgence stratégique ;

• Absence de préférence communautaire : impossibilité de favoriser explicitement les acteurs européens dans les marchés publics ;

• Fragmentation du marché : persistance de barrières juridiques nationales ;

• Cadre d'investissements stratégiques : manque de mécanismes similaires au CHIPS Act ou au plan Made in China 2025.

  
  

II. PROBLÉMATIQUES JURIDIQUES SOULEVÉES PAR LA DÉPENDANCE TECHNOLOGIQUE

A. Sécurité juridique des infrastructures critiques

La dépendance à des fournisseurs étrangers soulève la question du contrôle juridictionnel sur les infrastructures numériques essentielles. L’article 106 TFUE régit les services d’intérêt économique général, mais ne couvre pas pleinement les services numériques fournis par des entités extra-européennes. La directive (UE) 2022/2555 (NIS 2) impose des obligations de cybersécurité, sans résoudre la question de l'extraterritorialité des juridictions étrangères.

B. Données et souveraineté informationnelle

Plusieurs défis se posent :

• Qualification juridique des données non personnelles ;

• Conflits normatifs entre RGPD et Cloud Act (US) ;

• Transferts de données et décisions de la CJUE (Schrems I, C‑362/14 ; Schrems II, C‑311/18) ;

• EU-US Data Privacy Framework du 10 juillet 2023.

  
  

C. Concurrence et champions européens

La stricte application des articles 101 et 102 TFUE limite parfois la constitution d’acteurs de taille mondiale. Le rejet de la fusion Alstom-Siemens (février 2019) illustre cette tension entre ouverture du marché et consolidation des acteurs.

III. ENJEUX JURIDIQUES DE LA SOUVERAINETÉ NUMÉRIQUE

A. Préservation de l’ordre juridique européen

L’arrêt Schrems II (CJUE, 16 juillet 2020) affirme la primauté des normes européennes sur les transferts de données, mais souligne les difficultés pratiques de son application.

B. Autonomie stratégique et sécurité

La directive NIS 2 et le Cyber Resilience Act visent à renforcer la résilience, mais la répartition des compétences en matière de sécurité nationale (art. 4 TUE) demeure un obstacle.

C. Régulation vs. innovation

Les articles 173 et 179 TFUE autorisent des politiques industrielles, tandis que les articles 107-109 TFUE réglementent les aides d’État ; leur articulation appelle une révision pour soutenir l’innovation numérique.

IV. PISTES DE SOLUTIONS JURIDIQUES

A. Préférence communautaire dans les marchés publics

Réviser la directive 2014/24/UE (articles 18, 67, 20) sur les marchés publics et étendre l’article 346 TFUE sur les dérogations aux traités en matière militaire pour inclure les critères de souveraineté numérique.

B. Statut des infrastructures critiques

Créer un statut inspiré des services d'intérêt économique généraux (SIEG)(art. 14 TFEU, protocole n°26), qui inclut la liberté pour les Etats de les créer et de les organiser, pour définir et réguler les infrastructures numériques essentielles.

C. Politique industrielle numérique

Mettre en place des Projets Importants d’Intérêt Européen Commun (PIIEC) sur le modèle du Mécanisme pour l'interconnexion en Europe (MIE), renforcer le règlement général d'exemption par catégorie (RGEC) pour les aides d’État et créer un fonds stratégique numérique (art. 175 TFEU).

D. Gouvernance des flux de données

Négocier une convention internationale (ONU/OCDE), renforcer le Data Act, développer une doctrine de « souveraineté des données » et instaurer un mécanisme de certification des flux sortants.

CONCLUSION

La souveraineté numérique européenne est un défi juridique majeur, nécessitant une évolution des concepts et des instruments pour répondre à un monde où le pouvoir technologique conditionne la souveraineté politique et économique. Les pistes proposées combinent révision des traités, renforcement réglementaire et nouveaux mécanismes de gouvernance, sous l’égide de la coopération renforcée (art. 20 TUE, 326-334 TFUE).