Quentin Adam : Bonjour à tous. Juste avant d’aller manger au Clever Cloud Fest, j’ai le plaisir de recevoir maître Jean-Baptiste Soufron, du cabinet FWPA.

Jean-Baptiste Soufron : Bonjour. C’est ça, c’est chez moi.

Quentin Adam : Jean-Baptiste, est-ce que tu peux te présenter ? D’où est-ce que tu viens d’un point de vue juridique, assez rapidement, et ensuite on va parler du nouveau cadre d’échange de données et de comment la GDPR [1] est remise en cause, ou non, par les actions de Donald Trump, récemment entré à la Maison-Blanche.

Jean-Baptiste Soufron : Je suis avocat depuis 2006 et, notamment, je me suis longtemps occupé de la Fondation Wikimédia [2], qui édite Wikipédia, de beaucoup de logiciels libres et de contenus libres en général. Après, j’ai été le conseiller du ministre de l’Industrie sur l’économie numérique et puis le secrétaire général du Conseil national du numérique [3]. Ça fait déjà quelques années, plusieurs années, de nombreuses années, que je m’occupe d’activisme judiciaire sur ces questions de libertés et de numérique. Je crois me souvenir qu’une des premières fois où on avait monté quelque chose, c’était pour forcer à essayer d’obtenir des remboursements sur le prix des ordinateurs qui étaient vendus avec des Windows préinstallés. Ça n’a pas forcément marché comme prévu, mais ça a marché d’une certaine façon puisque, aujourd’hui, c’est plus facile d’installer autre chose sur un ordinateur que ce que c’était autrefois.

Quentin Adam : Tu veux dire la vente liée chez Microsoft.

Jean-Baptiste Soufron : La vente liée.

Quentin Adam : C’est bizarre ! Ils font toujours ça ?

Jean-Baptiste Soufron : Il faut croire que ce n’est pas terminé.

Quentin Adam : Aujourd’hui, tu es notamment avocat d’un certain nombre de groupements dont Clever Cloud fait partie, mais également moi en personne physique. On vient de perdre une affaire au Conseil d’État. Est-ce que tu peux expliquer brièvement l’affaire qu’on a perdue et comment on va faire revivre cette affaire-là ?

Jean-Baptiste Soufron : Déjà, il faut comprendre que quand on est sur ce genre de sujet, et c’est pour ça que je mentionnais la vente liée, ce sont des sujets qui sont nécessairement au long cours. Max Schrems [4], qui est intervenu, qui a eu deux décisions très importantes en matière de transfert de données au niveau transatlantique, explique très bien qu’avant d’obtenir une décision on perd de nombreuses fois, on revient, on se remet au travail, on attaque à nouveau par un autre angle, on complète, on continue, etc.
Le problème de fond, c’est que, aujourd’hui, la plupart des acteurs américains, mais pas qu’eux, il y a d’autres pays où on a le même souci, tous les États du monde veulent, dans certaines conditions, pouvoir accéder aux données des entreprises, des usagers, pour faire des enquêtes, pour faire travailler leurs services secrets, pour tout un tas de raisons. En règle générale, on demande que ce soit fait dans un cadre et que les gens qui sont visés de cette façon puissent se défendre et expliquer qu’on n’aurait pas dû regarder, que ça a été fait de façon illégitime, bref, faire respecter l’État de droit et pouvoir se défendre contre des administrations qui, même si elles sont plus importantes qu’eux, plus fortes, vont devoir quand même s’expliquer face à un tiers autonome et indépendant, en général un juge ou plusieurs, pour dire « oui, on a mis untel sous surveillance, on a accédé à ses e-mails, on a accédé aux données, on a accédé à ceci, pour telle raison, dans tel cadre, vous voyez que c’était légitime. » La difficulté, que ce soit aux États-Unis ou dans d’autres pays, c’est que ce contrôle de l’action de l’État n’est pas assuré de façon indépendante. En fait, notamment pour ce qui concerne les États-Unis, les personnes qui sont en charge de ce contrôle sont nommées directement par le Department of Commerce et ne sont pas indépendantes. Ce qui fait qu’un citoyen européen qui se retrouverait surveillé par les États-Unis, même de façon légitime, en fait il n’a pas le droit de faire contrôler que cette façon est légitime, il ne pourra pas y arriver. Or, une des règles principales du RGPD, et même au-delà du RGPD en fait, on demande qu’il y ait une espèce d’égalité des armes ou, au moins, de miroir dans le traitement des choses, qu’on essaie de faire en sorte que chacun soit traité de façon égale. C’est vrai pour tous les traités internationaux : si on fait un traité de commerce, on va essayer de s’arranger pour que ça soit équilibré ; si on fait un traité politique, on va s’arranger pour qu’il soit équilibré. D’une certaine manière, quand on décide d’autoriser le transfert de données entre les deux rives de l’Atlantique, là aussi on demande à ce que ça soit équilibré. Or, à ce jour, ça n’est pas équilibré et c’est pour cela que Schrems a réussi par deux fois à faire sauter les traités qui avaient été passés entre l’Union européenne et les États-Unis précisément sur ce point-là, en disant « il y a un problème de déséquilibre : un citoyen européen, qui serait victime d’une surveillance illicite ou manipulatoire, n’aura pas la possibilité de se défendre aux États-Unis, comme un citoyen américain pourrait potentiellement le faire aux États-Unis, encore que, mais surtout pas comme il en aurait le droit en Europe. » Dans ces conditions, les traités ne peuvent pas fonctionner, ils ne sont pas équilibrés. C’est cela le principe de base.
À chaque fois, parce que c’est quand même quelque chose d’extrêmement important, l’Union européenne revient avec de nouveaux dispositifs et, à chaque fois, ces dispositifs mettent en place des contrôles qui sont de plus en plus complexes mais qui ne sont toujours pas autonomes et indépendants. Il n’y a pas d’équivalent de la CNIL qui surveillerait ça, il n’y a pas d’équivalent des différentes instances. Actuellement, ils sont en train de désigner le nouveau responsable des données personnelles pour l’Union européenne, je crois même qu’il a été désigné.

Quentin Adam : Non, c’est encore en cours. C’est le fameux EDPS Data Protection Supervisor, c’est le gros sujet.

Jean-Baptiste Soufron : Quand je dis qu’il a déjà été désigné, c’est qu’il y a quand même un candidat qui se détache.

Quentin Adam : Oui, mais qui n’est pas le bon !

Jean-Baptiste Soufron : Je me garderai d’exprimer un avis tout de suite. Voilà, il y a un sujet là-dessus.
Au fond, Max Schrems avait lancé ces projets en Autriche, ça a fonctionné, mais on peut les lancer dans n’importe quel pays européen. Il y a donc tout un groupe d’entreprises, d’associations et de particuliers français qui se sont dit qu’on allait faire respecter ces règles devant le Conseil d’État, notamment en ce qui concerne le choix qui a été fait par une administration, le Health Data Hub [5], qui est supposée monter une grande plateforme d’échanges de données de santé, monter un partenariat avec la société Microsoft. C’est toujours intéressant parce que, dès qu’on commence, dès qu’on met le pied dans la fourmilière, immédiatement les informations commencent à arriver. Vous avez des choses qui ne sont pas publiques qui vous arrivent tout d’un coup, vous avez des détails des contrats, vous allez mieux comprendre la manière dont ils ont été négociés, au fur et à mesure vous allez regarder la façon dont les choses se passent, etc. Et puis, de toute façon, vous allez devant des gens du Conseil d’État qui là, pour ce coup, ont décidé que dans la mesure où c’était limité dans le temps, parce que c’est censé ne durer que trois ans, et dans la mesure où, malgré tout, Microsoft était justement certifié HDS de données de santé, comme Clever Cloud aujourd’hui, même si ce ne sont pas exactement les protections qui sont prévues dans le RGPD, ça offrait des protections suffisantes, qu’il n’était pas nécessaire de remettre en cause et d’annuler le contrat sur ces bases [6].
Bien évidemment, on a un peu l’impression qu’on est en train de construire une exception au principe à coups de burin pour essayer de dire « on va faire quelque chose qui va quand même. Ce n’est pas exactement conforme, mais, après tout, ça ressemble. Donc, si ça ressemble, allez, ça ira et puis, de toute façon, ce n’est pas grave, ce n’est que pour trois ans. » Sauf qu’on parle des données de santé de beaucoup de gens, que les données de santé sont des données sensibles et que, bien évidemment, ce n’est pas admissible et on ne peut pas en rester là sur ce point. C’est d’ailleurs pour cela qu’il a été décidé de faire monter le recours à la Cour européenne des droits de l’Homme. D’autres recours sont en cours sur ces sujets aussi, notamment un recours du député Philippe Latombe, il y a tout un tas de choses, il y a des recours de Max Schrems également en cours de son côté. En fait, c’est un sujet qui est très général, qui ne vise pas tellement à vérifier si tel détail est conforme ou pas conforme, on n’est pas sur des sujets de conformité, on est sur des sujets d’équilibre des traités et d’égalité des armes d’un côté et de l’autre de l’Atlantique.

Quentin Adam : Mais là, hormis ton point un peu exégète où on dit « le traité n’est pas équilibré, ils pourraient accéder à nos données », en fait, on n’a aucune preuve qu’ils accèdent à nos données et qu’ils s’en servent.

Jean-Baptiste Soufron : Si, on a quand même des situations où c’est arrivé. L’exemple le plus classique, c’est celui de Frédéric Pierucci [7], qui était un cadre important chez Alstom, qui s’est retrouvé arrêté, soumis à des questions et qui est resté en prison pendant quelques années aux États-Unis uniquement pour faire pression, avec, visiblement dans son cas, l’accès par les enquêteurs et les services américains à des données personnelles qui le concernaient.
La question est de savoir si c’est possible ou pas possible, ça c’est sûr, mais la question n’est pas de savoir s’il y a des exemples ou pas des exemples.

Quentin Adam : Mais est-ce que ce serait massifié, cet accès à la donnée, par exemple ?

Jean-Baptiste Soufron : Peu importe !

Quentin Adam : A-t-on des éléments sur les activités du FISA [8], par exemple ?

Jean-Baptiste Soufron : Il ne faut pas l’aborder comme ça. En pratique, c’est vraiment une question de principe. L’un des problèmes, typiquement pour ce qui concerne le FISA, si l’accès a eu lieu, peut-être que vous ne le saurez jamais parce que l’entreprise, tout d’un coup, va perdre un marché et on ne saura pas pourquoi elle perd le marché. En fait, elle aura perdu le marché parce que son information aurait été accédée d’une manière ou d’une. On aura un particulier qui, tout d’un coup, va se retrouver avec des difficultés pénales ou fiscales aux États-Unis et il ne saura pas exactement pourquoi non plus. Quand ça sera dans un cadre judiciaire, bien évidemment, dans ce cas-là, au moins ça se verra, mais dans un cadre judiciaire, de toute façon, les États-Unis n’ont pas une justice indépendante, donc ce n’est pas vraiment ce problème-là qui se pose. En revanche, tout ce qui est utilisation du FISA, tout ce qui va être sous le cadre du secret, c’est très compliqué de détecter le moment où ça va être utilisé et, j’ai envie de dire pourquoi s’en priver si c’est possible.
Il faut aussi comprendre que concrètement, quand une demande de ce type est faite – c’est aussi quelque chose qu’on peut comprendre au fur à mesure où on fait ces recours, où on fait cet activisme judiciaire et où on commence à mieux comprendre concrètement ce qui se passe – ça ne va pas passer nécessairement par les patrons des boîtes : une demande va être faite « on a besoin de telles données » et personne ne sera jamais au courant dans la boîte elle-même. Imaginez si les services secrets français font une demande à Clever, Clever mettra bien évidemment ses moyens à disposition des services secrets français pour répondre, dans la mesure des possibilités. C’est légal.

Quentin Adam : Non. On a déjà des relations avec eux, on nous a déjà posé des questions, ma réponse a toujours été : « Avez-vous un papier du juge ? Si vous n’avez pas de papier du juge, passez une bonne journée. »

Jean-Baptiste Soufron : S’ils ont un papier du juge, bien évidemment n’importe quelle société fera les choses. La différence c’est qu’aux États-Unis, ce papier du juge indépendant, autonome et soumis à une forme de contrôle, n’est pas nécessaire dans le cadre du FISA. C’est tout ce qui fait la différence et, à partir de là, c’est très difficile de savoir.

Quentin Adam : J’avais des chiffres sur FISA, en plus, c’était relativement compliqué, non ! Les chiffres que j’avais sur FISA c’est qu’ils avaient eu 30 000 requêtes l’an dernier, qu’ils en avaient accepté 30 000, qu’ils en avaient rejeté 11, pas 11 000, 11. C’est une chambre d’enregistrement.

Jean-Baptiste Soufron : Oui, mais ce n’est c’est pas gênant, ça ne me choque pas. En France, on a la Commission nationale de contrôle des interceptions de sécurité, qui a d’ailleurs changé de nom, qui s’appelle maintenant CNCTR nationale de contrôle des techniques de renseignement je sais pas pourquoi CTR ! Bref. Ce sont des volumes similaires. Ce qui se passe, quand on a une chambre de contrôle, c’est qu’on fait des demandes qui sont légales, c’est-à-dire qu’on ne va pas demander n’importe quoi à la chambre de contrôle.
Je ne mets pas en cause le caractère démocratique, ou pas, des États-Unis, ce n’est pas le sujet. Ce que je mets en cause, c’est le fait que, en tant qu’Européen, on ne puisse pas se défendre dans une situation de ce type. J’ai peu de doutes que dans une démocratie normale, et c’est vrai en France, c’est vrai ailleurs, si on met une chambre de contrôle en place, si on fait 100 demandes, si on sait qu’elle a le pouvoir de dire non et si on sait qu’ensuite ça risque d’être scruté, on va être attentif à faire des demandes qui vont être acceptées. On va se retenir, on va s’autocensurer et je ne vais pas commencer à mettre sur écoute, je sais pas, le concurrent de mon beau-frère ou le voisin de mon adversaire politique, quoique, parfois, ça peut arriver, on a des exemples.
Du coup, c’est vraiment un problème, je dirais, entre l’Europe et les États-Unis.

Quentin Adam : Et la Chine.

Jean-Baptiste Soufron : Ça va commencer à être un problème avec la Chine.

Quentin Adam : L’arrivée de DeepSeek [9], change un peu la donne.

Jean-Baptiste Soufron : En fait, ce qui s’est passé aussi c’est que les États-Unis sont extrêmement protecteurs sur leur marché, c’est un marché qu’il est très difficile de pénétrer pour des entreprises européennes, alors que le marché européen est assez facile pour les entreprises américaines. Ce que les Américains n’avaient peut-être pas perçu, c’est qu’autant il est facile pour eux de mettre des barrières sur le marché américain aux États-Unis, autant, sur ce qui est en train de devenir une espèce de marché américain en Europe, en réalité tout ou tard les Chinois commencent à se dire « nous aussi nous pouvons vendre du service en Europe » et ils vont commencer à le faire. À partir du moment où ils vont commencer à le faire, pourquoi ça ne marcherait pas ? Ils sont capables de faire des choses qui fonctionnent, il n’y a pas de problème. Et on aura, du coup, le même problème avec les Chinois, avec, cette fois-ci, les Américains qui vont nous expliquer « vous ne pouvez pas travailler avec les Chinois parce qu’eux ne vous offrent pas les mêmes garanties que celles que vous auriez aux États-Unis. » Sauf que, précisément le problème c’est qu’aux États-Unis on n’a pas les garanties dont on devrait pouvoir disposer.

Quentin Adam : Et dans ce cadre-là, avec l’arrivée de Donald Trump à la Maison-Blanche et sa série d’executive orders, est-ce qu’il y a quelque chose qui change la donne ? J’ai cru comprendre qu’il avait été un peu bourrin sur certains points. Est-ce que ça nous offre un axe ?

Jean-Baptiste Soufron : À quoi penses-tu précisément ?

Quentin Adam : J’ai vu plein d’articles dans lesquels Max Schrems disait « c’est bon, le DPF [10] est… »

Jean-Baptiste Soufron : C’est assez caractéristique de cette décision du Conseil d’État, celle sur le HDH Data Hub. Les juges, sur ces questions, ont quand même du mal à raisonner de façon vraiment principielle, ils vont analyser les choses de façon contextuelle. C’est vrai que le raisonnement qu’ils tiennent souvent, l’argument qu’on entend souvent, c’est « ce n’est pas si grave, enfin, ce sont les États-Unis, c’est Joe Biden, ce sont des alliés. Arrêtez de chercher la petite bête, etc. », jusqu’au jour où ce ne sont plus tant des alliés que ça, qu’ils veulent envahir le Groenland, qu’ils rétablissent des règles strictes sur le FISA qui leur permettent d’agir de façon encore plus directe, et on commence à se poser des questions. Ils font aussi des saluts nazis et ça rappelle des souvenirs à beaucoup de gens en Europe. On commence peut-être aussi à réaliser que, vraiment, sauf que, le problème, c’est qu’il aurait fallu prendre cette décision il y a 6 mois, il y a un an. Donc, maintenant, on est un peu contraint par les décisions précédentes, on est lancé dans de nouvelles procédures, dans de nouveaux dossiers. On peut espérer que, précisément, les juges seront plus réactifs et peut-être verront-ils que quand on met en place des garanties, ce n’est pas pour les écarter au principe que les responsables contre lesquels on devrait exercer ces garanties sont sympas ou qu’ils partagent nos valeurs et nos idées. Ce n’est pas parce qu’on est face à une démocratie sociale que cette démocratie sociale va le rester pendant 20 ans et c’est précisément ce qu’on est en train de voir maintenant.

Quentin Adam : Tu veux dire, par exemple, que ce serait choquant si je disais « elle a été violée, mais elle portait une jupe vraiment très courte et puis le mec était beau », c’est un peu ça, en fait, si tu y réfléchis bien.

Jean-Baptiste Soufron : Je pense justement que là-dessus ce n’est même pas la peine de chercher. On a des règles qui sont simples et il y a un constat qui est partagé par tout le monde. Mais ce n’est pas que sa jupe était trop courte.

Quentin Adam : On ne peut pas dire, du coup, qu’on ne va pas respecter la loi sous prétexte que le mec d’en face est plutôt sympa. C’est le parallèle que je faisais.

Jean-Baptiste Soufron : Malheureusement, c’est un peu le fond du raisonnement qui nous est proposé aujourd’hui. De la même façon que, sur certains marchés publics, on vous explique « oui, c’est vrai que le marché désigne un peu un acteur américain, de façon pas si indirecte que ça, mais, au fond, est-ce que c’est si grave que ça parce que, de toute façon, eux, au moins, ils peuvent faire le taf. » Ce sont des raisonnements qu’on n’accepterait pas dans des secteurs comme l’agriculture, l’hôtellerie, le tourisme, la défense, etc., mais dans le numérique en Europe, pas qu’en France, on a tendance à ne pas voir les choses, à ne pas vouloir faire respecter suffisamment cette égalité entre les deux rives de l’Atlantique. Il y a plein de raisons à ça et ça se traduit sur les échanges de données qui sont un sujet super important, parce que, à la fin, ça touche tout le monde, mais ça va se traduire sur beaucoup d’autres choses.
Actuellement, au Danemark, un de leurs problèmes c’est qu’ils viennent, aujourd’hui, de réaliser que si demain les annonces de Donald Trump – et après tout, Donald Trump c’est quelqu’un qui, en général, fait ce qu’il dit –, sur le Groenland se concrétisent, tout d’un coup plus aucune entreprise américaine ne pourra travailler avec le Danemark. Or, une bonne partie de leurs services fonctionne sur des services américains. À ce moment-là comment feront-ils ? Ils vont trouver une solution, ils vont mitiger, mais c’est ça la situation.
En réalité, on crée une dépendance. On le sait tous, tout le monde en est convaincu ici, comme le numérique est au cœur de tout, cette dépendance est générale, c’est une erreur stratégique de considérer le numérique comme si c’était le secteur des fleurs – il n’y a rien de mal à bosser dans le secteur des fleurs, mais on ne peut pas dire aujourd’hui que le secteur de l’herboristerie c’est le secteur central de l’économie européenne – or le numérique, ça l’est ! C’est le secteur central de l’économie européenne, c’est le secteur central de l’économie américaine au même niveau que l’énergie ou peut-être même plus que l’énergie sous certains aspects. En ne voulant pas faire respecter cette égalité dans ce secteur, eh bien on se met en danger de tout un tas d’autres façons et on met en danger les citoyens. Aujourd’hui, les magistrats français, mais aussi les décideurs politiques américains, semblent considérer que, finalement, il est normal qu’ils ne bénéficient pas de garanties si leurs données étaient utilisées de façon détournée par les Américains. Or, avec Donald Trump, la question c’est de savoir de 30 000 accès FISA à combien on va passer d’ici un an ou deux : 60 000, 90 000, plus ? Je ne sais pas.

Quentin Adam : Aujourd’hui, quelle serait la recommandation que tu ferais aux gens dans la salle qui sont, je pense, plutôt sensibilisés à cette question-là pour amener le sujet dans un débat positif ? Quel serait ton conseil ?

Jean-Baptiste Soufron : J’ai envie de dire que ce n’est pas trop mon rôle, c’est ce que vous faites tous les jours : développer du logiciel, le vendre, trouver des partenaires avec qui bosser, en fait, c’est de continuer et puis, surtout, d’exercer ses droits. Le problème c’est que les droits disparaissent, en quelque sorte, si on ne les exerce pas et tout le monde passe son temps à encourager à ne pas…

Quentin Adam : En clair, on trouve le moyen de coller une affaire au Conseil d’État tous les mois jusqu’à ce que les mecs apprennent leur leçon.

Jean-Baptiste Soufron : Oui, mais pas qu’au Conseil d’État, c’est général. Là, par exemple, il y avait un marché public qui était passé dans le Sud de la France, qui mentionnait expressément la société Google, cela n’est pas normal. Ça a fait l’objet d’un peu de publicité, les gens en ont parlé. À partir du moment où les gens en ont parlé, le marché a été retiré. Parfois, le simple fait de mettre les choses sur la table peut suffire, parfois ça ne suffit pas. Le gros souci, et c’est un souci général dans l’activisme judiciaire, c’est qu’il y a toujours des diables dans le détail et il faut accepter d’y aller pour clarifier les points, pas forcément pour gagner à tout prix, évidemment il faut tout le temps essayer de gagner, ce n’est pas le sujet. Mais, comme on essaie d’expliquer la situation à des tiers qui ne sont pas forcément sachants, qui ne sont pas forcément complètement au fait du sujet et qui apprennent aussi au fur et à mesure des procédures, c’est important d’accepter qu’ils ont le droit de prendre des décisions qui ne sont pas les bonnes.

Quentin Adam : La multiplication des procédures permet de générer de l’expertise chez les gens, donc de créer des sachants. C’est donc une bonne chose, c’est une bonne stratégie.

Jean-Baptiste Soufron : C’est très bien résumé.

Quentin Adam : D’accord. On va déjeuner ? Et on te retrouve tout à l’heure pour parler droit de la concurrence avec Francisco [Mingorance].

Jean-Baptiste Soufron : Avec plaisir. À plus tard.

Quentin Adam : Bon appétit.