7 min

Quand le droit devient une cyber-arme politique

La guerre économique par le droit et les normes s’étend à l’économie numérique et au cyberespace. Les États-Unis, qui veulent préserver le monopole des Gafam afin de mieux contrôler les données, ont pris un temps d’avance, mais l’Europe et la France se sont réveillées.

Connaissez-vous Vade ? Cette pépite lilloise fondée en 2019 qui sécurise plus d’un milliard de e-messageries. Ce record fait d’elle le leader européen et le numéro deux mondial dans son domaine, et lui confère au passage le statut de cible à abattre pour la concurrence américaine. Du moins est-ce l’avis de ses dirigeants, au regard de l’orage judiciaire qui s’est abattu sur elle trois ans après son débarquement couronné de succès outre-Atlantique. En 2017, son principal concurrent californien, Proofpoint, porte plainte contre elle pour atteinte au secret des affaires et contrefaction. Sa procédure s’appuie sur le fait que le directeur technique français d’une de ses filiales a été débauché par la startup tricolore. La société lilloise, qui nie tout en bloc, est condamnée en 2021 à verser 13,5 millions de dollars au plaignant. L’addition est salée pour la jeune pousse, et le duel judiciaire n’est pas terminé. Ses dirigeants assurent que l’entreprise n’est pas en danger, et qu’elle continue à croître à un rythme inchangé. Avis partagé par l’État français, via le réseau French Tech, et deux fonds d’investissement parisiens réputés, Tikehau Ace Capital et Auriga Partners. Au printemps, ensemble, ils ont injecté 28 millions d’euros de fonds propres dans la société, envoyant un signal clair au marché : la France soutient sa pépite.

Aux yeux des experts européens, l’aventure judiciaire de Vade présente tous les marqueurs d’une justice américaine très patriote. Aussitôt saisie, elle a instruit avec célérité cette affaire pourtant assez banale sur le fond et a prononcé une sentence sans nuance, associée à des pénalités démesurées. De quoi décourager, si ce n’est éliminer le perdant du marché. Après l’instrumentalisation du droit par les États-Unis, illustrée par l’affaire Alstom ou les condamnations des grandes banques françaises à des amendes de plusieurs milliards de dollars pour complicité de corruption, voici que la guerre économique par le droit – ou « lawfare », selon l’expression consacrée – refait parler d’elle en ciblant le secteur de l’économie numérique et le cyberespace. Dans quel but ? Permettre aux États-Unis, en l’occurrence, de contrôler les données, l’or noir du XXIe siècle, et préserver l’avantage que lui a conféré sa politique de soutien à l’émergence des Gafam, en position de monopole dans une bonne partie du monde.

De l’aveu du Synergy Research Group, un cabinet américain d’analyse marketing spécialisé, les principaux fournisseurs de cloud américains – Amazon Web Services, Microsoft, Google Cloud – accapareraient 69 % du marché européen. Or, depuis l’adoption du Cloud Act en 2018, on sait que la justice américaine peut obliger une « US Person » à lui transmettre toutes ses données numériques – y compris lorsqu’il s’agit de filiales dotées d’une entité juridique propre à l’étranger, comme par exemple Microsoft France, confirme Aude Géry, docteur en droit public et chercheuse à l’Institut français de géopolitique de l’Université Paris VIII. En soi, nuance l’experte, le Cloud Act est irréprochable sur le plan du droit : c’est la réponse politique légitime de l’État fédéral au refus d’une société américaine, Microsoft, de communiquer à la Justice des données stockées sur un serveur en Irlande concernant un trafiquant de drogue américain, dans le cadre d’une enquête diligentée sur le sol américain. En revanche, concède-t-elle, le doute s’instaure lorsque les autorités interprètent de manière abusive ou contestable une notion juridique – ici, celle de filiale américaine – pour instrumentaliser le droit à des fins politiques. « Ce qui est condamnable, ce n’est pas l’utilisation stratégique du droit pour un objet déterminé, mais celle qui conduit à dénaturer voir à dévaluer la règle. Avec son projet de règlement sur l’intelligence artificielle publié en 2021, l’Union européenne introduit elle aussi une extraterritorialité de fait : tout produit voulant accéder à son marché devra s’y conformer. On pourrait lui en faire le procès, mais c’est son droit le plus légitime ».

Les praticiens du droit et des affaires réfutent en partie cette analyse juridique. C’est « l’histoire de l’arbre qui cache la forêt », soutient Maxime Molkhou, fondateur du cabinet d’avocat Nemrod Associés, spécialisé dans les dossiers de souveraineté et le droit du cyberespace ; « La doctrine et le corpus juridique américain n’ont cessé de se renforcer au service d’une guerre d’influence globale ». Historiquement, rappelle-t-il, le lawfare fut d’abord « judiciaire ». Dès 1977, le  Foreign Corrupt Pratices Act (FCPA) permet à la justice américaine de saisir des données dans le cadre d’affaires de corruption. En 1986, le Store Communication Act (SCA) oblige les fournisseurs d’accès à internet (FAI) américains à communiquer à la Justice les données stockées dans leurs serveurs ; le Cloud Act est venu combler ces lacunes. Entre temps, le lawfare s’était étendu aux administrations. Le Foreign Intelligence Surveillance Act (FISA) de 1978 est le premier « chèque en blanc signé aux agences de renseignement », résume l’avocat formé aux États-Unis, qui a travaillé dix ans au service de grands cabinets anglo-saxons. Ce texte légalise des procédures physiques et numériques de surveillance des réseaux pour en capter toutes les données. Puis, ce fut l’adoption du Patriot Act en 2001. Remanié à plusieurs reprises, ce texte demeure d’une ampleur sans équivalent dans les démocraties.

Après le temps de la naïveté, l’Europe aurait enfin pris conscience de son retard, et ne serait plus en reste. Son revirement s’illustre par l’adoption du RGPD en 2016. Les sociétés contrevenantes s’exposent à des amendes pouvant aller jusqu’à 10 % de leur chiffre d’affaires mondial. « Le rapport de force est en train de changer », confirment les experts. En témoignerait la plainte déposée en mars à Bruxelles par l’hébergeur français OVH Cloud et quelques autres contre Microsoft pour abus de position dominante : avec sa suite logicielle Office, argumentent leurs avocats, les services des concurrents seraient plus coûteux et fonctionneraient en mode dégradé. Cette procédure fait directement écho aux deux nouvelles directives européennes qui encadreront l’économie numérique du Vieux Continent à partir de 2023 : le Digital Market Act (DMA), qui vise à abolir les modèles neutralisant l’émergence de toute concurrence, et le Digital Services Act (DSA), qui obligera les géants du numérique à conformer les contenus en ligne à la législation applicable hors ligne. De l’avis unanime des experts, cet arsenal juridique rendra le marché intérieur plus difficile à pénétrer pour les géants anglo-saxons, qui s’en plaignent déjà ouvertement.

Les autorités françaises auraient aussi décidé de rompre avec une forme d’angélisme. Récemment, elles ont réformé les lois applicables aux biens à double usage ou encore durci les règles sur les investissements étrangers dans les secteurs stratégiques. Cette année, elles ont réouvert le dossier Itar, ce règlement extraterritorial américain destiné officiellement à lutter contre le trafic des armes, que Washington utilise en réalité comme une arme de contrôle des exportations des équipements militaires concurrents de sa propre industrie. En réaction, Paris avait voté la loi de blocage de 1968 qui interdit l’accès des autorités étrangères aux informations sensibles des entreprises concernées. Mais ce dispositif anti-ingérence était resté lettre morte en raison du déséquilibre des rapports de force. Grâce aux dernières modifications apportées, une société subissant la pression de l’administration américaine peut se mettre sous la protection du Service d’information stratégique et de la sécurité économique (le SISSE), du ministère de l’Économie et des Finances, qui se chargera alors de lui répondre. C’est à l’usage qu’on jugera de la pertinence de cet ajout.

Force est de constater que la bataille du droit au service d’objectifs politiques se déplace sur le terrain des standards et des normes. Le dernier exemple en date concerne la nouvelle certification que le ministère américain de la Défense va progressivement exiger de tous ses fournisseurs : le Cybersecurity Maturity Model Certification (le « CMMC »). Ce nouveau standard a émergé à la suite de l’affaire Solar Wind, du nom de cette société de services logiciels référencée auprès des grandes administrations sensibles aux États-Unis, qui avait été contaminée par un virus espion d’origine russe. Légitime pour garantir la défense américaine d’un risque cyber lié à sa supply chain, le CMMC lui donne aussi l’opportunité d’accéder aux systèmes d’information de ses fournisseurs… Pour écarter ce risque, les experts français de la Direction générale de l’Armement (DGA) suggèrent que l’État français négocie, dans le cadre d’un accord inter étatique, une procédure équivalente applicable sous sa gouverne à ses ressortissants. Les prochains débats autour des normes pourraient bientôt concerner le chiffrement post-quantique, le futur graal en matière de protection des données numériques sensibles.

Partager cet article avec un ami