Retour aux articles

Vers une loi de souveraineté économique en riposte aux mesures extraterritoriales ?

Affaires - Droit économique
26/06/2019
Le député Raphaël Gauvain vient de remettre, le 26 juin 2019, au premier ministre son rapport intitulé "Rétablir la souveraineté de la France et de l'Europe et protéger nos entreprises des lois et mesures à portée extraterritoriale". Un rapport qui doit préparer la rédaction d’un texte de loi sur la souveraineté économique, même si, à ce jour, la décision de recourir ou non à une loi n’aurait pas encore été tranchée par le gouvernement. Le point avec Olivier de Maison Rouge, avocat (Lex-Squared), docteur en droit, coprésident de la commission « Renseignement et sécurité économiques » de l’ACE.
 
Depuis juillet 2018, à la demande d’Edouard Philippe, après divers travaux d’auditions et de recueils d’information, le député Raphaël Gauvain a remis au Premier ministre, en mars 2019, un rapport destiné à « Rétablir la souveraineté de la France et de l’Europe et protéger nos entreprises des lois et mesures à portée extraterritoriale ».
 
Il vient d’être rendu public et doit conduire à l’adoption d’une loi de « sécurité économique » robuste, en complément du décret n° 2019-206 du 20 mars 2019 (JO 21 mars) relatif à la gouvernance de la politique de sécurité économique laquelle comme étant celle assurant « la défense et la promotion des intérêts économiques, industriels et scientifiques de la Nation, constitués notamment des actifs matériels et immatériels stratégiques pour l'économie française. Elle inclut la défense de la souveraineté numérique ».
 
Une réponse à l’imperium juridique extraterritorial
En effet, les affaires BNP Paribas (amende de 8 974 millions de dollars, en 2014), Technip (pénalités de 338 millions de dollars, en 2010) ou Total (amende de 398 millions de dollars, en 2013 ; v. Assemblée nationale, rapport d’information parlementaire sur l’extraterritorialité de la législation américaine, Berger K. et Lellouche P., Assemblée Nationale, 5 oct. 2016), pour ne citer que les plus symboliques, ont mis en évidence une instrumentalisation des normes juridiques américaines dans un contexte de guerre économique, visant en particulier les entreprises européennes. Un rapport parlementaire s’en était précédemment fait l’écho (Assemblée nationale, rapport d’information parlementaire sur l’extraterritorialité de la législation américaine, Berger K. et Lellouche P., Assemblée Nationale, 5 oct. 2016) montrant les amendes records ayant affaibli d’autant nos fleurons, quand il ne se sont pas trouvé démantelés, comme pour Alstom.
 
En outre, depuis l’adoption du Cloud act, le 23 mars 2018, les entreprises européennes filiales de sociétés américaines, ou qui ont une activité outre-Atlantique, se trouvent soumises aux règles de procédure américaines, notamment en matière de communication et sollicitation de preuves électroniques, y compris celles stockées sur le territoire européen.
 
Ce faisant, l’administration américaine détourne ostensiblement, en violation du principe de courtoisie qui devrait prévaloir, les règles internationales régissant la collecte de données au-delà de ses frontières.
 
Le rapport Gauvain énonce à cet égard que « Les États-Unis d’Amérique ont entraîné le monde dans l’ère du protectionnisme judiciaire : alors que la règle de droit a, de tout temps, servi d’instrument de régulation, elle est devenue aujourd’hui une arme de destruction dans la guerre économique que mènent les États-Unis contre le reste du monde, y compris contre leurs alliés traditionnels et fidèles en Europe ».
 
Au titre des recommandations du député Gauvain, dans un objectif de réciprocité et afin de lutter à armes égales, figurent :
  • la modernisation de la loi de 1968, dite « loi de blocage » (L. n° 68-678, 26 juill. 1968), qui permettra d’en augmenter l’effectivité et l’efficacité, par une série de mesures autour du triptyque : déclaration (création d’un mécanisme obligatoire d’alerte en amont), accompagnement (mise en place d’un accompagnement des entreprises par une administration dédiée, le SISSE) et sanction (augmentation de la sanction prévue en cas de violation de la loi) ;
  • l’adoption d’une loi protégeant les entreprises françaises contre la transmission par les hébergeurs de leurs données numériques non personnelles aux autorités judiciaires étrangères : une sorte d’extension du RGPD aux données des personnes morales, qui permettra de sanctionner les hébergeurs de données numériques qui transmettraient aux autorités étrangères des données non personnelles relatives à des personnes morales françaises en dehors des canaux de l’entraide administrative ou judiciaire.
Ceci pourrait se traduire prochainement par l’adoption d’un texte unique, destiné à garantir la souveraineté juridique de la France en matière de coopération judiciaire (outre la création en parallèle d’un statut d’avocat en entreprise pour étendre le secret professionnel aux avis juridiques).
 
Un contournement manifeste de la Convention de la Haye
La Convention de La Haye de 1970 avait notamment pour objet d’asseoir « la communication entre États, de preuves situées à l’étranger dans le cadre d’une procédure judiciaire nationale ». En principe, l’autorité judiciaire d’un État peut demander, par commission rogatoire, à l’autorité compétente d’un autre État de faire, notamment, tout acte d’instruction (Convention sur l’obtention de preuves à l’étranger en matière civile ou commerciale, n° 0.274.132, La Haye, 18 mars 1970, art. 2). L’État requis examine l’existence avérée d’un « lien précis et direct avec l’objet du litige » (v. Féral-Schuhl Ch., Les filiales de sociétés américaines sous l’œil de la CNIL, 01Informatique, 27 mai 2010, p. 34), et les documents sollicités doivent être limitativement énumérés dans la commission rogatoire.
 
Il faut déplorer que le juge américain applique rarement les dispositions de la Convention de La Haye, au bénéfice exclusif de la procédure de Discovery (Martinet L. et Akyurek O., Loi de blocage et procédure de Discovery ne font pas bon ménage, LJA n° 873, 25 mars 2008, p. 1). La convention de la Haye envisage en effet, par exception, que « tout État (dans lequel la procédure de Discovery est en vigueur) contractant peut (…) déclarer qu’il n’exécute pas les commissions rogatoires » (Convention sur l’obtention de preuves à l’étranger en matière civile ou commerciale, n° 0.274.132, La Haye, 18 mars 1970, art. 2, 23 et 33).
 
Les États-Unis ont volontairement appliqué cette dérogation, comme en témoigne l’affaire Aerospatiale (Cour suprême américaine, aff. Société Nationale Industrielle Aérospatiale c. United States District Court for the Southern District of Iowa, 15 juin 1987, n° 85-1695, p. 482, U.S. 522 : dans cette affaire, la responsabilité d’Aérospatiale, fabricant d’avions français, était engagée à l’occasion d’un accident impliquant l’un de ses appareils dans l’État de l’Iowa).
 
La Cour suprême s’est ainsi prononcée en 1987 en matière d’obtention de preuves à l’étranger dans l’affaire Aérospatiale. Elle a confirmé que le recours à la Convention de La Haye n’est qu’ « optionnel ». Dès lors, l’application de la Convention de La Haye est écartée dans le cadre de la procédure judiciaire américaine d’obtention de preuves à l’étranger. La Grande-Bretagne a également eu la même lecture (Queen’s Bench Division, Partenreederi M/S « Heidberg » v. Grosvenor Grain and Feed Company Ltd, 31 mars 1993).
 
Un précédent français : la loi de blocage, « un tigre de papier »
Afin de faire échec aux procédures d’exception de type discovery, la France avait alors adopté la loi n° 68-678 du 26 juillet 1968 relative à la communication de documents et renseignements d’ordre économique, commercial, industriel, financier ou technique à des personnes physiques ou morales étrangères, dite « loi de blocage ». Cet objectif n’a toutefois pas été atteint en dépit des modifications apportées par la loi n° 80-538 du 16 juillet 1980 (JO 17 juillet).
 
En effet, les qualifications des renseignements économiques étant très larges, une approche aussi étendue vidait par conséquent le texte de sa substance et de sa portée effective. Précisément, dans l’affaire Aerospatiale, les juridictions américaines avaient estimé que la loi française n’était pas opposable et que les sanctions étaient trop faibles.
 
En outre, ce texte, dont le ministère en charge de son application était le Quai d’Orsay (ce que l’administration française a elle-même longtemps ignoré), est demeuré peu connu des entreprises (mais aussi des juristes). Tandis que, de leur côté, les entreprises françaises visées par des procédures judiciaires américaines l’éludaient, afin de ne pas se voir entraver par la diplomatie française, en considération des sanctions plus graves encourues outre Atlantique.
 
Vers une nouvelle loi de blocage refondue ?
C’est la raison pour laquelle, dans le contexte actuel, afin de redonner du sens à ce texte, tout en conservant son principe initial, mais en riposte notamment aux effets juridiques du Cloud act américain, le gouvernement a entamé une réflexion visant à refondre la loi de blocage, notamment en matière de communication de données par les opérateurs numériques.
 
L’auteur de ces lignes participe à ces travaux auprès du ministère de l’Économie et des Finances, espérant que cette nouvelle loi ne soit pas un sabre de bois.
 
L’objectif est de rendre réellement opposable les dispositions françaises en matière de demande, de transmission et de collecte de preuves, notamment à l’égard des opérateurs numériques (fournisseurs de services numériques soumis au Cloud act) et de renforcer l’efficacité de la règlementation. En outre, il répond à une demande croissante des entreprises françaises, auprès des autorités, afin de clarifier le régime juridique applicable et trouver des réponses légitimes face aux ingérences juridiques dont elles sont victimes.
 
Un filtrage par un guichet unique, suivant une procédure d’autorisation préalable
Dans les grandes lignes, directement inspirée du régime d’autorisation en matière d’investissement étranger en France (régime dit « IEF » ; C. mon. et fin., art R. 153-1 et s.) le projet de loi viserait à protéger davantage les intérêts fondamentaux de la nation (déjà protégés par l’article 410-1 du Code pénal, mais aussi par l’article L. 811-3 du Code de la sécurité intérieure et, plus récemment, par le décret n° 2019-206 du 20 mars 2019), mais dans une approche plus économique, par le contrôle de la transmission des informations « sensibles ».
 
La procédure de « filtrage » en réalité (improprement nommé « blocage ») serait administrativement régie par le Service à l’information stratégique et à la sécurité économiques (SISSE), placé sous l’autorité de la Direction générale des entreprises (DGE) au sein du Ministère de l’Economique et des Finances. Le SISSE ferait office de « guichet unique », chargé d’étudier, dans un délai imparti, la nature et le fondement des demandes de communication dont il se trouverait saisi.
 
Cela institue en conséquence un nouveau régime d’autorisation préalable, comme en matière d’investissement étranger en France, récemment réformé par la loi relative à la croissance et à la transformation des entreprises, dite loi PACTE (L. n° 2019-486, 22 mai 2019, JO 23 mai).
 
La mesure ainsi instaurée vise les entreprises elles-mêmes, destinataires des demandes de communication, mais encore les cabinets d’avocats, d’audit, et plus largement d’investigation, étant entendu que la procédure embrasse également les « solliciteurs » d’informations. Elle vise aussi les opérateurs numériques soumis en Cloud act, destinée à faire échec, notamment, aux requêtes américaines adressées auxdits fournisseurs de services numériques, sans que la personne visée n’en soit avertie, ni même l’administration française. Ce serait une forme de parallélisme de l’article 48 du  Règlement général sur la protection des données, dit RGPD (Règl. (UE) n° 2714/2016, 20 avr. 2016) qui limite les communications hors Union européenne en matière de données personnelles.
 
La même approche inspirée du RGPD serait d’ailleurs susceptible d’être retenue en créant un double régime de sanctions, à savoir des sanctions pénales pour les personnes qui auraient communiqué sans autorisation ou sans avoir préalablement saisi le SISSE, mais également des sanctions administratives (pécuniaires), pour les opérateurs numériques, à l’instar du régime des violations et sanctions prévues par le RGPD (amende forfaitaire ou calculée le pourcentage du chiffre d’affaires mondial).
 
On pourra regretter que la loi en gestation ne retienne pas le principe de localisation des données qui serait cependant pertinent en regard des objectifs affirmés par le gouvernement ; ce qui, pourtant, serait pleinement en adéquation avec le projet de règlement européen sur les données non personnelles (Proposition de règlement du Parlement européen et du Conseil concernant un cadre applicable à la libre circulation des données à caractère non personnel dans l’Union européenne, 13 sept. 2017, COM/2017/0495 final ; 2017/0228 COD) actuellement en discussion à Bruxelles, lequel prévoit une libre-circulation des données à caractère non personnel au sein de l’Union européenne, sauf restriction ou interdiction pour motif de sécurité (Proposition de règlement du Parlement européen et du Conseil, considérant 10 ; Proposition de règlement du Parlement européen et du Conseil, art. 4.1).
 
Enfin, sans être une nouvelle contrainte pour les entreprises, mais afin de créer un premier filtre en son sein, à l’instar du data protection officer (DPO) en matière de données personnelles, de l’officier de sécurité (OS) en matière de secret de la défense nationale, ou encore de référent en matière d’alerte professionnelle (L. n° 2016-1691, 9 déc. 2016, relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite loi Sapin 2, art. 8) il eut été possible de créer une fonction de délégué à la sécurité des données sensibles, ou équivalent. Sans créer un nouveau poste, s’agissant de la gouvernance de l’information et de conformité des données, une telle mission pourrait précisément s’additionner avec celles dénoncées ci-dessus.
 
À ce stade, le ministre de l’Économie et des Finances, Bruno Le Maire, a clairement fait connaître, à plusieurs reprises, son intention d’aller au bout des intentions affichées, qui devraient donc se traduire par l’adoption d’une loi robuste en matière. Plusieurs arbitrages vont cependant s’élever, ce d’autant que la directive e-evidence est en cours d’élaboration à Bruxelles, d’une part, et que certains opposants à la loi de blocage se satisfont de sa faiblesse actuelle, se refusant à tout ʺprotectionnisme judiciaireʺ, d’autre part.
 
Le contexte de « guerre froide technologique » devrait toutefois favoriser l’initiative législative.
Source : Actualités du droit