Il y a eu un énorme changement dans les perceptions politiques entre 2013 et aujourd’hui. En 2013, la préoccupation était « la sécurité nationale d’abord ». En 2020, cependant, les préoccupations relatives à la souveraineté et à l’autonomie stratégique sont devenues des moteurs politiques centraux. Il est important de noter qu’il n’est plus tabou de parler de souveraineté de l’UE. En 2018, en revanche, la moitié de l’Europe a critiqué le président de la Commission européenne, M. Juncker, lorsqu’il a déclaré dans son discours sur l’état de l’Union que « l’heure de la souveraineté européenne est venue ». Pour reprendre les mots de Bob Dylan, the times they are a-changin’ : l’heure est, finalement, venue.

L’autonomie stratégique va bien au-delà de la cybersécurité. Les questions d’autonomie stratégique comprennent, entre autres, l’autonomie en matière de matières premières pour échapper à la mainmise chinoise, l’autonomie en matière de santé en réponse à COVID-19, l’autonomie en matière d’énergie, compte tenu des tensions avec la Russie, et la création d’un « euro numérique » pour assurer la souveraineté monétaire. Les conclusions du Conseil européen du 2 septembre 2020 avaient l’autonomie stratégique comme leitmotiv.

La souveraineté est un concept familier en science politique, bien qu’il ne puisse être réduit à une définition unique et sans ambiguïté. Les notions associées au concept de souveraineté comprennent le territoire, les personnes, les ressources naturelles, l’autorité et la légitimité interne et externe (voir Thomas Biersteker).

Jusqu’à récemment, l’autonomie stratégique était pratiquement indéfinie. D’origine militaire, le terme a aujourd’hui une portée beaucoup plus large. Il peut être compris, au sens large, comme un moyen de réaliser et de défendre la souveraineté. Une définition plus actuelle est la suivante : « l’autonomie stratégique est la capacité, en termes de moyens et de capacités, de décider et d’agir sur des aspects essentiels de l’avenir à long terme de l’économie, de la société et de la démocratie » .

Et si l’autonomie ou la souveraineté stratégique était à l’origine de la révision de la directive NIS ? Elle concerne la résilience cybernétique, c’est-à-dire la protection contre les incidents cybernétiques et la capacité à s’en remettre. Dans le langage de l’autonomie stratégique, quelles sont donc les « capacités de cyber-résilience » nécessaires pour garder notre avenir entre nos mains, en termes d’économie, de société et de démocratie ?

Cela inclut certainement, comme dans la directive actuelle, la cyberprotection de certains services et infrastructures physiques critiques (tels que l’électricité, l’eau et les transports) et d’infrastructures ou services numériques critiques (actuellement au nombre de trois seulement : services en nuage, marchés électroniques et moteurs de recherche). Cela laisse de nombreux services et infrastructures numériques et physiques non couverts. Nombre de ceux qui sont devenus essentiels pour notre économie, notre société et notre démocratie sont déjà gravement menacés. En voici quelques exemples :

  • Sur les médias sociaux et dans les médias en général, la réalité quotidienne consiste désormais en des tentatives actives de saper la légitimité par des attaques, des intrusions, du piratage et du vol et des abus, comme la production et la diffusion de fausses nouvelles. De nombreuses personnalités politiques de premier plan sont très inquiètes de l’affaiblissement continu de notre démocratie et de nos valeurs.  
  • Les infrastructures industrielles et autres infrastructures physiques (par exemple les aciéries, qui ont déjà été la cible d’attaques) sont de plus en plus basées sur l’internet des objets (IdO), alors que la sécurité de l’IdO est presque entièrement entre les mains de consortiums industriels – dans lesquels la participation chinoise est importante – malgré une dépendance critique croissante à son égard. Les parallèles avec la sécurité 5G ne peuvent être ignorés.

Ce ne sont là que deux exemples. La cyber-résistance fait également défaut :

  • La propriété intellectuelle (PI) est essentielle pour notre avenir économique. Le vol de la propriété intellectuelle est l’une des plus grandes menaces pour l’avenir des pays. Pourtant, il n’existe pas de protection systématique et obligatoire de la PI, pas même comme condition d’utilisation des fonds de recherche et de développement de l’UE.
  • Le système européen de noms de domaine .eu. Les attaques persistantes contre le DNS, le système de noms de domaine de l’internet, sont une préoccupation majeure pour l’ICANN, l’organisation internationale de gestion des noms de domaine. Une cyberattaque de 2016 visant le fournisseur de DNS Dyn a rendu les principaux services Internet indisponibles pendant des heures.
  • Les espaces de données européens émergents, tels que ceux des données industrielles, des administrations publiques, de la santé et de l’environnement. Ces infrastructures de données à l’échelle européenne sont essentielles à la compétitivité industrielle de l’UE ainsi qu’à la lutte contre les maladies communicatives telles que COVID-19.
  • Infrastructure d’éducation et de formation. À l’époque de COVID, les plates-formes numériques sont devenues indispensables pour l’éducation et la formation, mais de nombreux problèmes de sécurité ont été signalés, et ces plates-formes sont en grande partie entre les mains de fournisseurs non européens, comme Zoom.

La perspective de la souveraineté offre un point de vue tout à fait différent sur la résilience cybernétique. Elle montre pourquoi tous les atouts essentiels pour notre économie, notre société et notre démocratie doivent être pris en compte et bénéficier d’une cyberprotection solide. La révision de la directive NEI est l’occasion idéale de le faire.

Le rattachement des compétences

Bien sûr, c’est plus facile à dire qu’à faire. Il suffit de voir comment la révision de la directive NIS se présente du point de vue juridique. Un ancrage juridique (« base juridique ») dans les traités est nécessaire pour proposer un droit européen supplémentaire. Actuellement, l’article 114 du traité sur le fonctionnement de l’Union européenne (TFUE) relatif au marché intérieur constitue la base juridique de la directive. Pour traiter tous les domaines mentionnés ci-dessus, une directive NIS révisée devrait faire appel à un plus large éventail d’articles des traités. Pour certains domaines, il serait difficile de trouver un quelconque ancrage juridique. En outre, tous les articles ne prévoient pas un mandat aussi fort pour une action au niveau de l’UE que l’article sur le marché intérieur. Et, comme toujours, l’intervention législative de l’UE ne doit pas trop se rapprocher de la sécurité nationale, car « la sécurité nationale demeure de la seule responsabilité de chaque État membre » (article 4 du traité sur l’Union européenne, ou TUE). 

La souveraineté de l’UE, une triple victoire

Il est clair que, même si cela était possible, l’inclusion de tous ces éléments dans une directive NIS révisée serait désordonnée. Pourquoi est-il si difficile de couvrir pleinement tous les domaines où la souveraineté est menacée sans se retrouver avec une cyberlégislation européenne désordonnée ? Le problème est que la « souveraineté » ne peut pas être utilisée simplement et directement comme une justification juridique : le terme « souveraineté » n’est mentionné que deux fois dans les traités et ces références ne sont pas applicables ici (elles concernent la souveraineté du Royaume-Uni sur deux bases militaires à Chypre).

La voie à suivre est-elle donc de mordre la poussière et de réviser les traités ? Certains diront : n’ouvrez pas la boîte de Pandore ! D’autres diront : c’est beaucoup trop compliqué. D’autres encore insistent : La souveraineté européenne n’existe pas et ne devrait pas exister. Mais éviter le sujet pourrait être préjudiciable à l’avenir de l’Europe. Un débat mature sur la souveraineté en Europe est indispensable. D’ailleurs, la boîte de Pandore est déjà ouverte. Le président von der Leyen s’est dit ouverte à l’idée d’une modification du traité à la suite de la conférence sur l’avenir de l’Europe.

Le plus important est de changer de perspective sur ce que signifie la souveraineté à l’ère numérique et pour l’Europe dans la prochaine décennie. Bien comprise, la souveraineté de l’UE n’est pas un gagnant-perdant mais un triple gain. Pourquoi ?

Premièrement, la plupart des pays de l’UE sont trop petits, à eux seuls, pour protéger leurs atouts essentiels contre les cyberattaques mondiales. Dans le monde numérique, la souveraineté nationale est beaucoup plus crédible si les pays recherchent une autonomie stratégique en partenariat avec d’autres. En effet, les pays de l’UE collaborent déjà et de manière constructive dans cet esprit dans le cadre de la directive NIS actuelle. C’est de facto (voire de jure) une forme de souveraineté mise en commun et partagée. En 2017, la France a déclaré : « Nous devons construire une autonomie stratégique franco-européenne ». Cela exprime une perception de victoire de la souveraineté nationale au sein de l’UE.

Deuxièmement, il existe des éléments d’une véritable et pleine souveraineté européenne. Nous en aurons davantage dans le domaine numérique. Qui est propriétaire de .eu ? Qui est propriétaire des espaces de données européens ? Personne, mais tous les Européens de l’UE. C’est le « gain numéro deux » : de nouveaux actifs souverains qui sont véritablement européens. Le domaine numérique est le nouveau territoire où nous pouvons découvrir de tels actifs souverains. D’ailleurs, cette découverte n’est pas si récente : la loi « .eu » date de 2003 !

Troisièmement, la souveraineté comprend des dimensions de légitimité interne et externe. La légitimité interne signifie que l’État est accepté comme une autorité et qu’il est efficace sur son propre territoire et vis-à-vis de sa propre population. La légitimité externe signifie être accepté et respecté par les États étrangers. Si l’UE dispose de capacités, de moyens et d’atouts solides, elle sera une partie respectée et crédible pour les autres États et obtiendra une légitimité externe. C’est un enrichissement, une croissance de la souveraineté. Dans le domaine numérique, l’autonomie stratégique numérique apporte une légitimité externe dans le cyberespace.

Il est donc temps de l’admettre : la souveraineté européenne est réelle, même si elle n’est pas toujours très forte.

Des traités européens adaptés au XXIe siècle

Tout cela n’est pas nouveau. La plupart des idées de cette pièce ont 75 ans. Pourtant, elles suggèrent de considérer que les traités doivent être révisés afin d’être adaptés au XXIe siècle. Il y a deux possibilités pour y parvenir.

Le premier est d’appeler un chat un chat. L’article 3 du TUE pourrait reconnaître clairement que « l’Union renforce la souveraineté de l’Union dans la mesure où cela respecte ou renforce la souveraineté des États membres et contribue aux biens et intérêts communs de l’Union, ou renforce la position de l’Union dans le monde ».

Une deuxième approche (que je dois à Thomas van Rijn, ancien directeur du service juridique de la Commission européenne) consisterait en une combinaison de changements de moindre envergure, bien qu’elle ne couvre peut-être pas tous les domaines qui doivent être abordés. Une des modifications consisterait à renforcer l’article 26 du TFUE avec une clause telle que « l’Union adopte des mesures visant à établir ou à assurer le fonctionnement du marché intérieur […], notamment pour sauvegarder l’indépendance de l’Union à l’égard des pays tiers ». L’article 26 est un article général qui est visé par plusieurs autres articles tels que le 114 sur le marché intérieur et le 170 sur les réseaux transeuropéens. L’article 179, paragraphe 1, sur la recherche pourrait être amélioré en ajoutant un objectif de protection des connaissances résultant de la recherche de l’UE. Cela ne créerait pas de nouvelles compétences pour l’Union.

En conclusion, l’UE a besoin d’une nouvelle perspective sur la souveraineté : une perspective qui la considère comme une situation de triple victoire plutôt que comme un jeu à somme nulle. Une nouvelle orientation stratégique cohérente pour la législation européenne en matière de cybersécurité constituera un énorme avantage.

Crédits
Cet article a été publié originellement sur Directionsblog en anglais : https://directionsblog.eu/when-sovereignty-leads-and-cyber-law-follows/