Extraterritorialité du droit américain & kill switch
Ce domaine regroupe ce que la commission décrit comme le cœur « dur » de la dépendance numérique française : non pas une infériorité industrielle, mais un levier de contrainte juridique que Washington peut activer sur des services et des données pourtant utilisés en France. Quatre sujets en composent l'architecture, du texte de loi au geste politique qu'il rend possible : le socle d'accès (Cloud Act, FISA), l'arme de coupure (kill switch), l'exécution privatisée des sanctions (OFAC) et l'outil de riposte européen resté au fourreau (règlement de blocage).
La ligne de force la plus partagée traverse les 23 auditions du domaine : la localisation des serveurs ne protège de rien. « La localisation ne change en rien l'extraterritorialité du droit », tranche le président Latombe (M. Arnaud Caudoux) ; pour Max Schrems (M. Max Schrems), c'est la nationalité du fournisseur, pas le lieu du serveur, qui déclenche l'accès. Vincent Strubel (Anssi, M. Vincent Strubel) verrouille le raisonnement : « aucune réponse purement technologique » ne suffit, « le chiffrement ne protège pas du Cloud Act et encore moins d'un kill switch », d'où une logique « nécessairement binaire ». C'est le fil qui relie les quatre sujets — la souveraineté ne se règle pas au niveau de la machine mais du droit et du fournisseur.
Ce qu'apporte chaque sujet
- Cloud Act, FISA et accès des autorités américaines — le socle juridique le mieux documenté (69 citations). Le Cloud Act (2018) permet à un juge américain d'exiger le transfert de données détenues par un fournisseur américain, où qu'elles soient hébergées, sans entraide judiciaire (Marcovitch, M. Emmanuel Marcovitch) ; la section 702 du FISA autorise depuis 2008 la surveillance de tout non-Américain (Breton, M. Thierry Breton ; d'Agrain, M. Henri d’Agrain). Le Health Data Hub et les cas concrets (juge Guillou privé jusqu'à Gmail) y ancrent le risque.
- Kill switch : couper la lumière numérique — l'arme que le socle rend possible : coupure sélective ou, plus insidieux, arrêt des mises à jour de sécurité qui « rend le système rapidement obsolète » (Blanc/Boget, M. Tomasz Blanc). Chatelain (des directeurs des systèmes d’information d’organismes de recherche) le définit ; Vilbœuf (M. Laurent Vilboeuf) en fait « le risque de souveraineté résiduel le plus concret ». Le point de friction est le cloud « de confiance » (Bleu, S3NS) qui, adossé à une pile technologique américaine, « ne prémunit pas contre le kill switch ».
- Sanctions OFAC et privatisation de leur application — le mécanisme d'exécution. Nicolas Guillou (M. Nicolas Guillou), magistrat CPI sanctionné, en donne la thèse : « le système de sanctions repose sur une forme de privatisation », les entreprises surappliquant par peur. Verdier (M. Henri Verdier) documente la perte « en une nuit » d'Uber, Amazon, Netflix via PayPal ; Guillou généralise au monopole des cartes de paiement, Narinda You (Table ronde, ouverte à la presse, sur les services de paiement) chiffrant à 8 % les fausses alertes du filtrage OFAC sur Wero.
- Règlement de blocage et effet dissuasif sur les décideurs — la riposte manquante. Guillou (M. Nicolas Guillou) déplace le danger : le vrai risque n'est pas la coupure mais l'autocensure des décideurs publics par crainte de sanctions, qui rapproche d'un « régime autoritaire ». L'outil existe — le règlement de blocage européen — mais reste inutilisé par « manque de courage » de la Commission et des États membres.
Clivages majeurs
Le diagnostic juridique fait consensus ; l'affrontement porte sur la gravité et les parades.
Réel vs. surestimé. Aiman Ezzat (Capgemini, M. Aiman Ezzat) juge le risque de kill switch « très faible » (les services « fonctionneraient pendant des mois ») ; Cédric O (M. Cédric O) affirme au contraire que Washington « pourrait demain éteindre la lumière ». Damien Lucas (Scaleway, des fournisseurs de cloud .) démolit l'optimisme par l'ironie de ses 72 mises à jour quotidiennes.
Souveraineté par la technique vs. par le fournisseur. Charles-Antoine Beyney (DataOne, M. Charles-Antoine Beyney) et Arnaud Caudoux (BPIFrance, M. Arnaud Caudoux) défendent des parades techniques — hébergeur-« enveloppe », chiffrement à clés propres — contestées par le président et, in fine, par Caudoux lui-même (« la localisation n'empêche pas l'extraterritorialité »). Face à eux, Strubel pose l'irréductibilité : c'est binaire.
Cloud souverain vs. souveraineté de façade. Chatelain dénonce les clouds « de confiance » adossés à la technologie américaine ; Jossa (Ugap, des acheteurs publics) confirme que « la question du kill switch n'est pas entièrement traitée ».
Loi vs. industrie. Guillou incarne la souveraineté par le droit (activer le règlement de blocage), là où d'autres misent sur l'offre industrielle (SecNumCloud, Nubo). Reste enfin la ligne défensive des hyperscalers (des représentants en France des Gafam) : un kill switch serait « suicidaire » (de Bilbao, Microsoft), argument économique que Chatelain retourne — l'esquive « est une réponse ».
Sujets couverts
- Cloud Act, FISA et accès des autorités américaines — le socle juridique qui autorise l'accès aux données quel que soit le lieu d'hébergement.
- Kill switch : couper la lumière numérique — la capacité de coupure ou d'arrêt des mises à jour, et la faille des clouds « de confiance ».
- Sanctions OFAC et privatisation de leur application — des sanctions exécutées par des entreprises privées jusqu'aux moyens de paiement des citoyens.
- Règlement de blocage et effet dissuasif sur les décideurs — l'autocensure des décideurs et l'outil de riposte européen resté inutilisé.