souveraineté droit définitions

La souveraineté légale existe sans territoire

Une ambassade applique le droit d'un État sur un sol qui n'est pas le sien. Le modèle est vieux de plusieurs siècles, il fonctionne, et il éclaire ce que veut dire « espace juridique souverain » dans le numérique.

· 6 min de lecture

On parle de souveraineté comme d’une question de sol. Mes machines, mon territoire, mon drapeau. C’est une lecture incomplète. Le droit international pratique depuis longtemps une autre forme de souveraineté, qui ne tient ni au sol ni à la propriété des murs, mais à un périmètre légal défini et étanche. Elle a un nom dans la pratique diplomatique, elle a des textes, et elle fonctionne. Elle est utile à comprendre avant de parler de cloud, parce qu’elle montre qu’un espace peut relever d’un droit sans être posé sur le territoire de ce droit.

Ce que le droit fait déjà hors du sol national

Une ambassade n’est pas un morceau du territoire de l’État qui l’occupe. La croyance est répandue, elle est fausse. La Convention de Vienne sur les relations diplomatiques de 1961 ne dit pas que les locaux d’une mission sont le sol de l’État accréditant. Elle dit, à son article 22, qu’ils sont inviolables : les agents de l’État hôte ne peuvent y pénétrer sans le consentement du chef de mission. Le sol reste celui du pays d’accueil. Ce qui change, c’est qui peut y exercer la contrainte. L’État hôte se prive volontairement de son pouvoir de police sur un périmètre qu’il continue de posséder.

La valise diplomatique relève de la même logique. L’article 27 prévoit qu’elle ne peut être ni ouverte ni retenue. Elle peut traverser plusieurs pays, transiter par des aéroports soumis à des droits différents, sans qu’aucun de ces droits ne puisse l’inspecter. Le contenant se déplace, le régime juridique le suit. Ce n’est pas un lieu protégé, c’est un statut qui voyage avec l’objet.

Les véhicules à immatriculation diplomatique fonctionnent ainsi. La plaque ne déplace pas le véhicule sur un autre territoire. Elle signale qu’il relève d’un régime particulier d’immunité, reconnu par l’État hôte. Les accords sur le statut des forces, les SOFA, vont plus loin encore : ils fixent par traité quel droit s’applique aux militaires d’un État stationnés sur le sol d’un autre. Une base américaine en Allemagne reste sur le sol allemand. Le SOFA détermine, cas par cas, quelle juridiction s’exerce sur les personnels, les infractions, les biens.

Aucun de ces dispositifs ne romantise quoi que ce soit. Ce sont des arrangements négociés, limités, parfois contestés, et toujours révocables. Mais ils établissent un fait simple : un État peut exercer son droit dans un espace qui n’est pas son territoire, dès lors qu’un cadre légal le définit et que l’autre partie le respecte. La souveraineté légale ne suppose pas la propriété du sol. Elle suppose un périmètre nommé, un droit applicable, et l’engagement de ne pas le franchir.

Transposer le périmètre, pas la métaphore

Le numérique pose exactement la même question, débarrassée de la géographie. Quand une organisation cherche un cloud souverain, elle ne cherche pas d’abord un lieu. Elle cherche un espace dont le droit applicable est connu, et qu’aucune loi étrangère ne peut atteindre. C’est la définition de l’inviolabilité diplomatique, appliquée à des données plutôt qu’à des locaux.

Le parallèle est précis sur un point. Comme l’ambassade ne dépend pas du sol mais du statut, un service souverain ne dépend pas de l’emplacement des serveurs mais du rattachement juridique de l’opérateur et de l’étanchéité du périmètre. Des données hébergées en France restent atteignables par une loi extraterritoriale si l’opérateur relève d’une juridiction étrangère. Le CLOUD Act américain, voté en 2018, permet aux autorités des États-Unis d’exiger les données détenues par une entreprise relevant de leur juridiction, où qu’elles soient stockées. La localisation ne protège pas. Le périmètre légal, oui, à condition qu’il soit construit pour résister.

C’est précisément ce que cherche à établir la qualification SecNumCloud de l’ANSSI : un périmètre imperméable aux lois extraterritoriales. L’équivalent fonctionnel de l’article 22. Un espace que le droit étranger ne peut pas pénétrer, non parce qu’il est ailleurs, mais parce que son statut l’interdit.

Ce que le modèle explique, et ce qu’il laisse de côté

Le modèle diplomatique éclaire bien une catégorie d’offres. S3NS, coentreprise de Thales et Google, et Bleu, portée par Capgemini, Orange et Microsoft, encapsulent la technologie d’un hyperscaler américain dans un périmètre isolé et qualifié SecNumCloud. L’enveloppe est française, le droit applicable est français, la loi étrangère n’atteint pas le périmètre. C’est de la souveraineté légale au sens strict. Comme l’ambassade applique le droit de l’État accréditant avec des murs construits par le pays d’accueil, ces offres appliquent le droit français sur une stack conçue ailleurs. La souveraineté légale n’exige pas la souveraineté industrielle.

L’analogie s’arrête là, et il faut l’arrêter. Une ambassade ne sert pas des millions d’usagers ni ne dépend d’une chaîne d’approvisionnement technologique mondiale. Le modèle diplomatique n’explique pas la continuité opérationnelle. Si Microsoft ou Google interrompt la technologie sous-jacente, ferme le partenariat ou modifie ses conditions, le périmètre légal reste intact mais le service peut s’arrêter. Il n’explique pas non plus la réversibilité : la capacité à sortir, à reprendre ses données et sa configuration ailleurs sans tout réécrire. Une ambassade peut fermer du jour au lendemain. Un système d’information ne se déménage pas ainsi.

Deux souverainetés, deux risques distincts

Il faut donc tenir les deux notions séparées, parce qu’elles répondent à deux risques qui n’ont rien à voir. La souveraineté légale traite l’exposition juridique : qui peut contraindre l’opérateur, sous quel droit, et avec quelle portée hors des frontières. La souveraineté industrielle traite la dépendance technologique : qui maîtrise la stack, et ce qu’il advient le jour où le fournisseur disparaît, coupe l’accès ou change les règles.

Les deux sont réelles. Les deux ont des limites différentes. On peut tenir la première sans la seconde, c’est le cas des offres encapsulées. On peut tenir la seconde sans la première, c’est le cas d’un acteur technologiquement autonome mais rattaché à une juridiction exposée. Un contrat qualifié réduit l’exposition légale et ne dit rien de la réversibilité. Une stack maîtrisée garantit la continuité et ne dit rien du droit applicable.

La décision n’est pas de choisir le bon drapeau. Elle est de savoir laquelle des deux souverainetés on achète, laquelle il reste à construire, et lequel des deux risques on a décidé de couvrir. Le droit diplomatique le rappelle depuis 1961 : un périmètre peut être souverain sans être un territoire. Mais un périmètre souverain en droit n’est pas pour autant un système qu’on maîtrise.

Sources