Par Anumpam Chander, directeur du California International Law Center et professeur de droit à l'université de Californie, à Davis (USA)

Les gouvernements du monde entier tentent de contenir les informations relatives à leurs citoyens au sein de leurs frontières. Invoquant des préoccupations en matière de surveillance extérieure, de vie privée et de sécurité, ainsi que la nécessité d'appliquer la législation nationale et de favoriser le développement économique intérieur, les pouvoirs publics interdisent l'exportation de ces données.

Mais de quelles "données" est-il réellement question ? En Australie, les données relatives à la santé des Australiens ne peuvent pas être exportées. Le Brésil envisage, pour sa part, de voter une loi autorisant le pouvoir exécutif à définir les informations qui ne peuvent pas sortir du pays. Le Viêtnam veut que toutes les données concernant ses citoyens, qu'il s'agisse des informations publiées sur Facebook ou de leurs listes d'amis, soient hébergées sur des serveurs informatiques basés dans le pays.

Selon les pouvoirs publics, le fait de maintenir les données sur le territoire national permet de renforcer le respect de la vie privée et la sécurité des citoyens. Dans la réalité cependant, il est peu probable que les efforts déployés en matière d'hébergement local des données remplissent de tels objectifs. Ils pourraient même y porter atteinte.

Selon l'hypothèse sous-jacente des pouvoirs publics, le stockage des données à l'étranger n'est pas sécurisé. Mais, à l'image du pécule dans son bas de laine, les données conservées sur le territoire national peuvent se révéler moins sécurisées que celles qui sont stockées sur des services soumis à la concurrence mondiale. Il y a, en effet, peu de raisons de croire que les données stockées sur un ordinateur gouvernemental à Vancouver soient plus sécurisées que celles qui sont stockées sur des ordinateurs IBM à Seattle, quelques kilomètres plus au sud.

Après tout, les pirates informatiques se moquent bien des frontières. Par exemple, le code utilisé pour s'introduire dans les systèmes informatiques de la chaîne américaine Target semble avoir été partiellement rédigé en russe. Maintenir les informations sur le sol national ne protège pas non plus ces dernières des regards indiscrets des gouvernements étrangers.

Dans la pratique, l'agence américaine de la NSA (National Security Agency) est soumise à un nombre de contraintes bien moins important lorsqu'elle opère à l'étranger plutôt que sur son propre territoire. Par exemple, elle n'a besoin d'aucune autorisation préalable de la Foreign Intelligence Surveillance Court pour mener une opération à l'étranger.

Les pouvoirs publics pensent également que, face à des obligations d'hébergement local des données, les entreprises internationales vont créer des infrastructures nationales qui vont permettre de stimuler l'investissement local. Mais de nombreuses entreprises pourraient estimer que cette solution est trop onéreuse ou trop risquée, et renonceront alors à toute opération dans le pays en question. D'autres entreprises pourraient tout simplement ignorer ces obligations et continuer à proposer leurs services à la population du pays.

Le plus inquiétant pour ces pays est que les entreprises pourraient volontairement éviter de baser leurs opérations dans les pays qui imposent un hébergement local des données. Aussi, plutôt que de stimuler l'investissement, de telles mesures risquent au contraire de le faire fuir.

Ces mesures risquent non seulement de faillir à leurs objectifs, mais elles menacent également certaines des innovations les plus importantes rendues possibles par Internet. À l'ère de l'information, les données sont l'essence même du commerce. Les efforts qui visent à contenir ces données à l'intérieur des frontières modifient le fonctionnement d'Internet de manière drastique.

Ces mesures posent un problème fondamental : elles limitent considérablement les possibilités offertes par les innovations issues d'Internet en matière de commerce. Grâce à Internet, qu'elles soient situées dans la Silicon Valley ou à Bangalore, les entreprises peuvent fournir leurs services au monde entier sans avoir besoin des ressources ni des visas habituellement nécessaires pour étendre leurs activités à l'étranger.

Les obligations en matière d'hébergement local des données mettent fin à cette possibilité. En outre, de telles obligations risquent de freiner l'utilisation des services de cloud computing tels que Dropbox ou iCloud d'Apple, voire des nouveaux appareils de suivi des activités physiques, tels que le Gear Fit de Samsung.

En renforçant le contrôle des gouvernements sur les activités en ligne des citoyens, l'hébergement local des données pose un autre problème potentiel, celui d'un abus des pouvoirs publics. Internet a donné à chacun la possibilité de partager des informations en utilisant des services basés à l'étranger.

Ces services étaient moins directement soumis aux lois intérieures régissant la censure ou à la surveillance nationale. Mais l'hébergement local des données, s'il est appliqué, aurait pour effet de redonner aux pouvoirs publics le contrôle des données. Au lieu de protéger les citoyens, cette obligation risque d'être détournée pour mieux les contrôler.