L'extraterritorialité : de quoi parle-t-on ?
La souveraineté numérique européenne est souvent présentée comme un défi technique : développer des alternatives locales aux GAFAM, construire des clouds souverains, promouvoir des standards ouverts. C'est nécessaire, mais insuffisant.
Ce que l'on oublie trop souvent : le droit américain n'attend pas que les entreprises européennes utilisent des services américains pour s'appliquer. Il suffit qu'une transaction implique un dollar américain, qu'un produit contienne un composant américain, ou que des données transitent par une infrastructure partiellement américaine pour que plusieurs textes de loi américains s'appliquent de plein droit.
Les neuf textes américains à surveiller
Le CLOUD Act (2018) autorise les autorités américaines à contraindre les entreprises technologiques américaines à fournir des données stockées à l'étranger, y compris sur des serveurs européens. S'applique dès lors que vous utilisez un service cloud opéré par une entité américaine (AWS, Azure, Google Cloud), quelle que soit la localisation physique des données.
Le FISA 702 (Foreign Intelligence Surveillance Act, Section 702) permet aux agences de renseignement américaines d'accéder aux communications de personnes non-américaines via les opérateurs de services numériques basés aux États-Unis. S'applique lorsque vos communications (emails, messagerie, visioconférence) transitent par des plateformes américaines, même sans lien avec une enquête pénale.
Le USA Patriot Act (2001) a étendu les pouvoirs de surveillance et de monitoring financier des autorités américaines post-11 septembre. S'applique lorsque des transactions ou des flux financiers impliquent des établissements bancaires américains ou une infrastructure financière partiellement américaine.
L'IEEPA / OFAC (International Emergency Economic Powers Act / Office of Foreign Assets Control) permet au président américain de bloquer des transactions et de geler des avoirs en cas d'urgence nationale. S'applique lorsque vous traitez avec des entités, des individus ou des pays sous sanctions américaines, ou lorsque vos transactions touchent au système financier américain.
Le CAATSA (Countering America's Adversaries Through Sanctions Act) impose des sanctions secondaires aux parties ayant des relations commerciales significatives avec la Russie, l'Iran ou la Corée du Nord. S'applique même indirectement : un partenaire ou fournisseur européen ayant lui-même des liens avec ces pays peut vous exposer à la juridiction américaine.
Le FCPA (Foreign Corrupt Practices Act) s'applique à toute transaction impliquant le dollar américain ou un établissement financier américain. Pour une PME deeptech dont les clients ou partenaires sont américains, ou dont les levées de fonds sont libellées en dollars, la juridiction américaine s'applique quasi automatiquement.
L'EAR / ITAR (Export Administration Regulations / International Traffic in Arms Regulations) contrôlent l'exportation des technologies à double usage (EAR) et des articles de défense (ITAR). S'appliquent dès qu'un composant, un logiciel ou un savoir-faire d'origine américaine entre dans votre chaîne de valeur, même au-delà des seuils de minimis. Un transfert vers un ressortissant étranger, même en Europe, peut requérir une autorisation préalable du Département d'État ou du Département du Commerce.
Le Sherman Antitrust Act donne aux autorités américaines une compétence extraterritoriale sur les comportements anticoncurrentiels qui affectent le commerce américain. S'applique lorsque votre entreprise participe à des accords de prix, de partage de marché ou à des opérations de fusion-acquisition ayant un effet sur le marché américain, même depuis l'Europe.
Le Bank Secrecy Act impose des obligations de lutte contre le blanchiment d'argent aux institutions financières opérant aux États-Unis. S'applique lorsque vos transactions passent par des banques ayant une présence américaine, exposant potentiellement vos flux financiers à des obligations de reporting et de surveillance imposées par la loi américaine.
Une approche en deux temps
« Construire une autonomie souveraine réelle en pratique, et pas seulement sur le papier, implique de combiner ambition et analyse rigoureuse des risques juridiques réels. »
La réponse ne peut pas être uniquement défensive. Elle doit s'articuler en deux temps complémentaires.
- Poursuivre les efforts d'indépendance : développer des technologies, des infrastructures et des standards ancrés dans le droit européen. Cela implique de choisir des fournisseurs cloud souverains (OVH, Outscale, Scaleway), de travailler avec des instituts de recherche européens, et de construire des chaînes d'approvisionnement qui minimisent les composants soumis à l'ITAR ou aux contrôles d'exportation américains.
- Cartographier les risques juridiques réels : identifier précisément où le droit américain s'applique déjà dans votre activité. Quelles transactions impliquent des dollars ? Quels partenaires ou clients sont soumis à la juridiction américaine ? Quels composants de votre chaîne d'approvisionnement sont ITAR-controlled ? Cette cartographie prend quelques jours et évite des surprises coûteuses.
Les stratégies de souveraineté les plus solides sont celles qui combinent ambition technologique et lucidité juridique. Ce n'est pas l'un ou l'autre : les deux sont indispensables.