En juin 2020, quelques-uns des plus importants ministres français et allemands se réunissaient pour lancer officiellement Gaia-X, “l’infrastructure de données sécurisée de nouvelle génération” de l’Union européenne. Gaia-X affiche l’objectif de stimuler l’écosystème numérique de l’Europe sous l’égide de la législation européenne la plus récente, notamment en ce qui concerne la protection des données ; un objectif ambitieux, qui n’a pas manqué d’entraîner nombre de controverses socio-politiques sur les modèles de gouvernance à adopter, les acteurs politiques et économiques à inclure dans le projet et la faisabilité technique d’un véritable “cloud européen”. Un an et demi après, où en est Gaia-X ?
Quid de la “souveraineté numérique” de l’Europe ?
Un pas en arrière. Gaia-X est censée renforcer la “souveraineté numérique” de l’Europe. Cette étiquette, très souvent mobilisée en temps récents, indique le principe selon lequel les États, ou des entités supranationales telles que l’Europe, doivent “réaffirmer” leur autorité sur Internet et protéger leurs citoyens, institutions et entreprises des multiples défis à leur autodétermination dans la sphère numérique. Selon ce principe, la souveraineté ne dépend pas seulement d’alliances supranationales, d’instruments juridiques internationaux ou de la puissance militaire ou commerciale des nations : elle dépend de la mise en place d’écosystèmes d’innovation détenus, contrôlés et exploités localement, capables d’accroître l’indépendance et l’autonomie techniques et économiques des États.
Aujourd’hui, les stratégies de “souveraineté numérique” figurent en bonne place dans l’agenda politique de nombreux États et institutions supranationales. Cette priorité se manifeste par un certain nombre d’initiatives de grande envergure – et de nature assez variée – à travers le monde, qui incluent la loi sur les services numériques en Europe, le “grand pare-feu” de la Chine, les lois “Internet souverain” et “anti-Apple” de la Russie, et bien d’autres. Ces initiatives contribuent à étoffer des “profils” particuliers dans le paysage actuel de la régulation numérique : la Chine en tant que souverain numérique de long terme, la Russie en tant que plus récent – mais résolu – promoteur de l’autoritarisme en ligne et hors ligne, les États-Unis en tant que souverain de facto qui n’utilise pas cette étiquette, l’Inde en tant qu’opposant farouche à la surveillance américaine, le Brésil en tant que champion des droits civiques sur Internet, l’Europe en tant que promoteur d’un cadre juridique solide des droits de l’Homme à l’appui de son souhait d’indépendance numérique.
Le concept de souveraineté est redéfini au quotidien par les différents projets politiques et économiques qui visent à mettre en place des infrastructures numériques autonomes dans un monde hyperconnecté.
Derrière ce scénario, se cachent un certain nombre de questions controversées et cruciales liées à la pratique de la gouvernance de l’Internet, aux niveaux national et mondial. Un programme d’autodétermination numérique peut-il être promu par les États-nations tout en préservant la dimension mondiale d’Internet et de ses institutions multipartites et consensuelles, ainsi que les libertés civiles ? La fragmentation d’Internet est-elle une menace ou une réponse aux lacunes du statu quo de la gouvernance d’Internet ? Quels sont les acteurs clés concernés par la poussée pour la souveraineté numérique ? Comment les décideurs, en Europe et dans le monde, peuvent-ils donner un sens à l’étiquette de “souveraineté numérique” et l’opérationnaliser, alors que différents acteurs étatiques l’utilisent pour décrire des paradigmes et des processus sensiblement différents (ce qui est souvent le cas même pour différents acteurs opérant au sein de chaque État, des gouvernements aux parlements, des organisations de la société civile aux opérateurs techniques) ?
Souveraineté numérique et infrastructures
Si la souveraineté numérique est principalement comprise comme un concept juridique et un ensemble de discours politiques, sa réalisation en pratique est profondément liée à la compréhension du “numérique” en tant qu’ensemble d’infrastructures et de pratiques sociales et matérielles : le concept de souveraineté est redéfini au quotidien par les différents projets politiques et économiques qui visent à mettre en place des infrastructures numériques autonomes dans un monde hyperconnecté. Dans la tradition académique au sein de laquelle s’inscrit la plupart de mes travaux de recherche – la sociologie des techniques –, les infrastructures ont été reconnues comme des lieux privilégiés où se matérialisent les relations de pouvoir. En ce qui concerne l’Internet, et plus largement le numérique, ces infrastructures comprennent à la fois des entités physiques (câbles sous-marins, centres de données, points d’échange Internet ou IXP) et “logiques” (des protocoles tels que IP ou des algorithmes tels que le PageRank de Google). Ces infrastructures sont doublement importantes en termes politiques, car d’un côté, les acteurs privés qui les gèrent suivent leurs propres agendas, et d’un autre côté, elles agissent comme vecteurs du soft power politique et culturel des États où elles se situent ; à travers ces deux dimensions, des controverses souvent virulentes peuvent surgir.
Notamment à la suite des révélations d’Edward Snowden sur la surveillance de masse effectuée par la NSA américaine, la nécessité d’une souveraineté numérique plus forte dans l’espace de l’Union européenne a été discutée avec une intensité accrue en termes d’infrastructure. Des propositions antérieures d’initiatives de localisation de données, telles que le soi-disant “routage Schengen”, soutenaient que les flux de données intra-européens ne devraient pas être acheminés via des IXP et des routes en dehors de l’Europe ; le modèle (proposé par Deutsche Telekom, le plus grand fournisseur d’accès Internet d’Allemagne) a été fortement débattu et testé théoriquement avant d’échouer à obtenir un large soutien politique. Des initiatives plus récentes basées sur les infrastructures, telles que Gaia-X, interviennent dans un contexte où la souveraineté numérique est reconnue comme une priorité de l’Union européenne : la présidente de la Commission européenne, Ursula von der Leyen, a déclaré dans la foulée de son élection, en février 2020, que “l’Europe doit avoir (la capacité technologique) de faire ses propres choix, en fonction de ses propres valeurs, en respectant ses propres règles”, tandis que des initiatives fortes comme le Règlement général sur la protection des données (RGPD) et la loi sur les services numériques (Digital Services Act) sont destinées à fournir un cadre législatif complet pour l’indépendance technologique accrue de l’UE.
Gaia-X, victime de sa lenteur et de ses ambitions ?
Une initiative comme Gaia-X n’a donc manqué ni d’enthousiasme de principe ni de soutien politique et économique à ses débuts, il y a un an et demi. Elle est passée, en moins d’un an, à plus de 300 organisations membres, a initié plusieurs groupes de travail, et commencé un travail de clarification et de production de règles pour les fournisseurs cloud européens. À la toute fin de 2021, Gaia-X semble pourtant en train de se transformer en une critique cinglante aux ambitions technologiques de l’UE, et révèle ses divisions internes.
Plusieurs représentants du secteur privé et des États membres impliqués dans les travaux de Gaia-X ont récemment déclaré que le projet avait du mal à démarrer au milieu des luttes intestines entre les entreprises membres, des désaccords sur ses objectifs généraux et d’une structure bureaucratique pléthorique qui retarde les décisions (par exemple, les membres du projet ne sont pas parvenus à trouver un accord sur les règles de base du stockage de données et la faisabilité de sa relocalisation intégrale). Cette lenteur a alarmé plusieurs gouvernements européens à leurs plus hauts niveaux. En France, le Président Emmanuel Macron déclarait en octobre que l’Europe était “très en retard” avec ses plans de cloud souverain, emboîtant le pas à son ministre Cédric O [le secrétaire d’État à la Transition numérique, ndlr], qui avait incité en septembre les membres du consortium à considérer qu’ils tenaient entre leurs mains “ni plus ni moins qu’une partie de la souveraineté numérique de la France”.
Une infrastructure souveraine pour le cloud européen est considérée par plusieurs parties prenantes comme un élément crucial pour reprendre le contrôle des données industrielles et personnelles de l’Europe. La lenteur du projet est cependant en train de laisser l’Europe tributaire d’entreprises étrangères et exposée à des lois comme le Cloud Act américain, alors que les services d’Amazon, de Microsoft et de Google, qui répondent à ce cadre juridique, continuent de prospérer largement en termes de parts de marché.
Les acteurs publics et privés du monde entier font valoir que la souveraineté (numérique) est nécessaire pour protéger les “biens” fondamentaux de la société, notamment la prospérité économique, la sécurité et la culture.
En termes de gouvernance, le consortium est critiqué pour son manque de focus : il reporterait régulièrement les dates limites pour les mises à jour importantes, créerait de nouveaux groupes de travail que beaucoup trouvent superflus et ne tiendrait pas ses membres informés des derniers développements (le P.-D.G., Francesco Bonfiglio, déclarant récemment que l’organisation interne de Gaia-X n’était peut-être pas conçue pour gérer sa grande croissance initiale). En avril dernier, le consortium a inclus des entreprises non européennes, notamment Microsoft, Google, Amazon, Huawei, Alibaba et même la très controversée Palantir en tant que membres à part entière, suscitant des inquiétudes quant au fait qu’elles pourraient travailler à mitiger l’impact de nouvelles règles, ou influencer l’initiative à leur avantage plutôt que de servir les intérêts propres de l’Europe.
Pour préserver sa “qualité européenne”, le consortium a établi que les membres de son conseil d’administration devraient avoir leur siège en Europe. Mais les géants américains du cloud, et d’autres entreprises étrangères, notamment chinoises, restent toujours profondément impliqués dans les travaux du consortium sur des questions cruciales (par exemple, établir les manières dont les fournisseurs cloud devraient permettre aux utilisateurs de transférer leurs données à un service concurrent). Et certains membres du conseil d’administration, comme Bitkom, représentent de facto les intérêts des géants américains.
Comprendre la souveraineté numérique “par les infrastructures”
Le projet Gaia-X semble avoir du plomb dans l’aile – seul le futur proche nous dira s’il parviendra à (re)trouver l’enthousiasme et l’agilité de ses débuts (la récente apparition de projets de cloud souverain européen alternatifs, tels qu’Euclidia, promu entre autres par le français Scaleway, ne semblent pas plaider en faveur de ce développement). Mais une chose semble claire : le fonctionnement quotidien, les microprises de décision politique et les choix techniques que sous-tendent Gaia-X et d’autres projets d’infrastructure devront être placés sous la loupe des chercheurs de façon de plus en plus minutieuse si les différentes facettes de la “souveraineté numérique” doivent être éclairées.
Selon de nombreux commentateurs, la quête de l’autodétermination numérique sera un enjeu géopolitique central dans la décennie à venir. La “souveraineté numérique” est une composante de plus en plus cruciale non seulement des stratégies de gouvernance de l’Internet des États, mais de l’essence même de leurs principes fondateurs tels que la territorialité et l’autorité. Les acteurs publics et privés du monde entier font valoir que la souveraineté (numérique) est nécessaire pour protéger les “biens” fondamentaux de la société, notamment la prospérité économique, la sécurité et la culture. Le concept de souveraineté numérique devrait acquérir une importance encore plus grande dans les années à venir, avec le déploiement généralisé de puissantes technologies telles que l’Internet des objets et l’intelligence artificielle. Cela nécessite de développer non seulement de nouvelles solutions de gouvernance, mais aussi des paradigmes de connaissances innovants. Dans ce scénario, les transformations systémiques induites par la “vague de souveraineté numérique” mondiale doivent aussi être abordées comme des ensembles de pratiques d’ordre social, intimement liées à la façon dont les humains et les organisations construisent, développent, utilisent, cooptent et résistent aux technologies numériques.
