Près de quatre ans après l’entrée en vigueur du décret n° 2014-479 relatif aux investissements étrangers soumis à autorisation préalable, dit «Montebourg» – qui, dans le contexte passionné des rapprochements entre Alstom et General Electric, a étendu considérablement le champ d’application de la réglementation relative au contrôle des investissements étrangers en France – le gouvernement envisagerait d’aller plus loin encore.
Par Quirec de Kersauson, avocat, Orrick
Il s’agirait, en substance, d’intégrer de nouveaux secteurs ou activités dans le champ de cette réglementation. Pour être plus précis, et selon les informations rendues publiques à ce jour, parmi ces activités figureraient notamment celles relatives à l’intelligence artificielle, au domaine spatial, aux nanotechnologies, aux infrastructures financières et aux données personnelles. Les investissements étrangers remplissant certaines conditions dans les entreprises françaises opérant dans ces domaines seraient ainsi soumis à cette réglementation et ne pourraient être réalisés qu’après obtention d’une autorisation du ministre de l’Economie.
La soumission de certains de ces domaines d’activité d’avenir à la réglementation ne semble pas a priori de nature à soulever des difficultés de principe, notamment en ce qui concerne le domaine spatial ou même celui des infrastructures financières. Plusieurs de ces domaines étaient, d’ailleurs, mentionnés dans la proposition de règlement de la Commission européenne du 13 septembre 2017 visant à la mise en place d’un cadre européen pour le filtrage des investissements directs étrangers dans l’Union européenne.
L’intégration du domaine des données personnelles soulève, quant à lui, davantage de questions.
Il est vrai que le caractère sensible des données personnelles ne fait guère de doute, a fortiori dans le contexte actuel de renforcement des exigences en matière de protection de ces données qui résulte du RGPD (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016). Les économies modernes reposent, en tout état de cause, pour une part considérable sur l’exploitation de ces données.
La législation américaine dite «CFIUS» – qui constitue un référentiel utile de réglementation nationale particulièrement contraignante en matière de contrôle des investissements – est d’ailleurs aujourd’hui d’ores et déjà applicable à de très nombreux secteurs et, notamment, à celui des données personnelles. Par exemple, le CFIUS s’est, en ce début d’année, opposé à l’acquisition de Moneygram – entreprise américaine de transfert de fonds – par Ant Financial, société financière appartenant au groupe chinois «Alibaba». Selon les informations publiquement disponibles, ce refus a été motivé par le fait que cette opération aurait donné accès à Ant Financial aux données personnelles de ressortissants américains.
Les modifications désormais envisagées par le gouvernement français – inspirées peut-être de la législation CFIUS – viendraient ainsi pallier les lacunes de notre propre réglementation nationale dans le secteur du numérique. A ce stade, il faut rappeler qu’en France la prise de participation envisagée d’investisseurs étrangers dans Dailymotion en 2015 avait fait naître un débat sur la souveraineté numérique européenne. Selon certains, cette opération avait également mis en évidence, en creux, les angles morts de la réglementation sur le contrôle des investissements étrangers dans le secteur du numérique.
Une telle extension de la réglementation ne constituerait donc pas une incongruité à l’échelle internationale.
Cela étant précisé, l’intégration du domaine des données personnelles dans le champ d’application de la réglementation pourrait soulever plusieurs difficultés, dont deux au moins peuvent être identifiées à ce stade.
Préciser les activités concernées
La première difficulté est d’ordre conceptuel : les données personnelles ne constituant pas un secteur d’activité ou un actif dont une entreprise pourrait être propriétaire, il conviendrait que le pouvoir réglementaire parvienne à délimiter précisément les activités concernées.
Les données personnelles sont aujourd’hui utilisées – selon des modalités et des niveaux d’intensité différents – par de très nombreuses entreprises de tous secteurs. Par suite, sauf à considérer que toute entreprise collectant, traitant ou stockant des données serait stratégique, il semble difficile de considérer que le simple fait pour une entreprise d’utiliser des données de cette nature suffirait à soumettre celle-ci à la réglementation en cause.
Il conviendrait donc que la réglementation précise dans le détail les activités concernées, par exemple en se référant aux notions employées dans le RGPD :
- de données particulièrement sensibles du point de vue des libertés et des droits fondamentaux (art. 9) ;
- d’entreprises effectuant des traitements susceptibles «de comporter un risque pour les droits et des libertés des personnes concernées» (art. 30), ou
- de traitements non occasionnels (art. 30).
Autrement dit, seules certaines entreprises utilisant ou stockant massivement des données personnelles ou utilisant dans leurs activités des données particulièrement sensibles pourraient, par exemple, être concernées par la réglementation en cause, même si l’interprétation de ces notions pourrait être délicate.
A défaut, la modification des dispositions réglementaires pourrait être regardée comme miroitant fortement avec les dispositions de l’article L. 151 du Code monétaire et financier, ce qui serait de nature à fragiliser la robustesse juridique du dispositif sauf si le texte de la loi était lui-même modifié pour étendre l’habilitation du pouvoir réglementaire. En tout état de cause, au-delà des considérations juridiques, une telle mesure serait également de nature à réduire l’attractivité de la France pour les investisseurs étrangers, et ce alors surtout que le secteur du numérique et des nouvelles technologies constitue l’un des principaux atouts de l’économie nationale. Ceci au moment où, précisément, ce secteur a un besoin récurrent d’investissement, fut-il étranger.
Une modification compatible avec les exigences européennes ?
En second lieu, pourrait également se trouver posée la question de la compatibilité, avec le droit de l’Union européenne, de l’intégration du secteur des données personnelles dans le dispositif de contrôle des investissements étrangers.
Les exigences européennes en la matière sont claires : les dispositifs nationaux de contrôle des investissements étrangers ne sont pas prohibés en tant que tels mais, dès lors qu’ils constituent une entrave à la libre circulation des capitaux (1), ils doivent être nécessaires à l’objectif d’intérêt général poursuivi et proportionnés à cet objectif (2). Les dispositifs nationaux accordant aux administrations un pouvoir discrétionnaire excessivement large sont, par ailleurs, jugés incompatibles avec le droit de l’Union européenne (ibid.).
Au regard de ces exigences, il n’est sans doute pas acquis que la modification envisagée serait regardée favorablement par la Commission européenne.
Certes dans un document du 15 mai 2014, la Commission européenne avait considéré que le décret Montebourg ne méconnaissait pas, en tant que tel, le droit de l’Union européenne, et ce texte soumettait à autorisation préalable certains investissements dans le secteur des transports, des communications électroniques, de l’énergie ou de la santé publique, notamment.
Mais, pour sensible qu’il soit, le secteur des données personnelles – avec les réserves précédemment mentionnées sur le bien-fondé de cette notion – ne peut sans doute être mis exactement sur le même plan que les secteurs qui viennent d’être rappelés s’agissant de la préservation des intérêts nationaux. En effet, les textes européens et nationaux relatifs à la protection des données personnelles visent en premier chef à garantir les droits des individus, et non à protéger des intérêts nationaux.
Par ailleurs, le cadre juridique institué par le RGPD est d’ores et déjà sécurisant pour les données personnelles, de sorte que l’utilité d’un dispositif additionnel de contrôle d’une autre nature pourrait faire débat. A cet égard, il est intéressant de relever que la proposition de règlement de la Commission européenne du 13 septembre 2017 ne fait pas référence aux données personnelles.
Enfin, un investissement étranger dans une start-up dont l’activité implique le maniement de données personnelles semble a priori exposer les intérêts nationaux à des risques moindres que dans le cas d’un investissement dans un opérateur de transport, dans un gestionnaire d’un réseau d’énergie ou dans une entreprise du secteur de l’armement. La question du respect du principe européen de proportionnalité par le pouvoir réglementaire pourrait donc se trouver posée.
Il serait certes prématuré de formuler un pronostic sur ce point, alors surtout que le texte précis qui sera retenu n’est pas encore connu et qu’une concertation avec les acteurs du secteur serait désormais et fort utilement envisagée. Retenons seulement, à ce stade, que la complexité de la question n’est pas négligeable et que les attentes en la matière sont grandes. C’est donc sans doute «la main tremblante» que, comme tout pouvoir normatif avisé, il modifiera les dispositions actuellement en vigueur du Code monétaire et financier.
(1). Art. 63 du Traité sur le fonctionnement de l’Union européenne.
(2). CJUE, 13 mai 2003, Commission c/ Royaume d’Espagne, aff. C-463/00.
