À l’ère du numérique, les rapports de puissance entre États se déploient dans des espaces immatériels et interdépendants qui déplacent les cadres territoriaux classiques de la confrontation internationale. Le cyberespace permet d’affecter un État sans mobilisation directe de la force armée et contribue à brouiller les distinctions établies entre temps de paix et situation de conflit. Les atteintes portées aux infrastructures civiles par des moyens numériques mettent ainsi à l’épreuve des catégories juridiques historiquement élaborées pour encadrer des affrontements matériels. Le droit international humanitaire, fondé sur la matérialité des hostilités et la territorialité des opérations se trouve confronté à des situations qu’il appréhende imparfaitement révélant les tensions provoquées par cette mutation des formes de conflictualité.
Parce qu’il est dématérialisé et transnational, le numérique appelle simultanément une production normative destinée à en organiser le fonctionnement et à en maîtriser les effets. Cette exigence de régulation confère au droit une fonction structurante dans les dynamiques contemporaines de puissance. En déterminant les règles applicables au cyberespace et en leur donnant une portée extraterritoriale, les États peuvent projeter leur souveraineté au-delà de leurs frontières et influencer l’environnement juridique international. La norme devient alors un lieu de rivalité où s’exprime une compétition pour la définition des standards et des cadres de référence. Le droit ne constitue plus seulement un instrument de limitation de la puissance étatique, mais l’un de ses vecteurs stratégiques, ce que la doctrine qualifie de lawfare.
Le Cloud Act adopté par les États-Unis en 2018 constitue un exemple emblématique de ces démarches, qui tendent vers l'extraterritorialité des solutions normatives. Il autorise les autorités américaines à accéder à des données détenues par des entreprises soumises à leur juridiction, même lorsque ces données sont stockées hors du territoire national. Cette logique entre en tension avec le cadre européen de protection des données, notamment le RGPD, donnant lieu à une confrontation juridique pouvant être interprétée comme une rivalité de souveraineté numérique, voire une forme de guerre économique par le droit. En ce sens, le droit devient un instrument d’affirmation stratégique : par la contrainte juridique exercée sur des acteurs privés globalisés, un État est en mesure d’imposer ses priorités sécuritaires au-delà de ses frontières. Cette instrumentalisation du cadre normatif au service d’un objectif de puissance correspond pleinement à une logique de lawfare, entendue comme l’usage du droit non seulement pour réguler, mais pour structurer un rapport de force.
Dans ce contexte, les grandes entreprises technologiques américaines ne peuvent être envisagées comme de simples opérateurs économiques. Parce qu’elles contrôlent des infrastructures essentielles et concentrent des volumes considérables de données, elles constituent les supports matériels de l’effectivité extraterritoriale du droit américain. Soumises à la juridiction des États-Unis, elles peuvent être juridiquement contraintes de transmettre des informations ou d’adapter leurs pratiques, y compris lorsque leurs activités concernent des utilisateurs situés hors du territoire américain. Elles deviennent ainsi des relais d’application d’une norme nationale projetée à l’échelle globale. Cette situation crée une dépendance structurelle des États et des acteurs étrangers à l’égard d’infrastructures régies par un ordre juridique extérieur, ce qui renforce l’asymétrie de puissance.
Si le lawfare a été initialement conçu dans la doctrine militaire américaine au début des années 2000 pour décrire l’usage stratégique du droit dans des contextes de conflit armé, son champ d’application semble aujourd’hui s’étendre à la gouvernance globale de l’information. Parallèlement aux initiatives américaines, d’autres puissances cherchent à affirmer leur souveraineté numérique par des politiques de cybersécurité, la régulation des flux de données ou la localisation des infrastructures. La stratégie française de cybersécurité pour la période 2026-2030 illustre cette volonté de renforcer la résilience nationale et de faire du cyberespace un domaine stratégique à part entière. La multiplication des exigences étatiques d’accès aux informations personnelles témoigne d’une extension du lawfare au champ de la gouvernance globale de l’information.
Un zoom sur l’Europe et la France : une sécurité à travers le numérique
Face à cette confrontation normative, l’Europe ne se contente pas de défendre ces normes, elle cherche à consolider son autonomie stratégique dans le domaine numérique. Sous la présidence d’Ursula von der Leyen, la Commission a fait de la sécurité et de la compétitivité des priorités centrales de son mandat, en ancrant plus encore la souveraineté numérique dans l’agenda politique de l’Union. Dans ses premiers mois, la Commission a mis en avant la nécessité de renforcer la sécurité collective, d’accélérer les investissements dans les technologies clés, de l’intelligence artificielle à l’informatique quantique mais aussi de construire une Europe plus résiliente face aux perturbations externes. Cette volonté politique se traduit par des initiatives législatives et industrielles visant à réduire la dépendance aux acteurs technologiques non européens, à commencer par les géants américains du numérique. Le débat au Parlement européen sur la souveraineté numérique reflète cette ambition. En effet, les députés appellent à un renforcement des normes existantes tel que le Digital Markets Act, Digital Services Act, législation sur les données et sur la cyber-résilience, tout en intensifiant les investissements dans des infrastructures numériques européennes.
Toutefois, il est important de noter qu’aucune solution n’a été trouvée afin de neutraliser les effets extraterritoriaux du Cloud Act dans l’Union européenne. Il existe des accords bilatéraux conclus par les États-Unis avec certains partenaires en dehors de l’Union, comme le Royaume-Uni, qui encadrent l’accès aux données à des fins pénales, mais ils ne suppriment pas la logique de prééminence du droit américain. C’est alors à l’Union de réagir afin de mettre en place leur propre infrastructure permettant de faire concurrence.
Du côté de la France, le gouvernement travaille à développer un “cloud de confiance” certifié par SecNumCloud, un label qui va identifier les fournisseurs de cloud de confiance délivré par l’ANSSI. Il garantira des niveaux élevés de sécurité et de transparence de conformité aux lois françaises et européennes tel que le RGPD, tout en évitant que les données sensibles ne puissent être soumises à des lois étrangères extraterritoriales, comme le Cloud Act. À cette fin, la France soutient activement des projets de cloud souverain français et européen, notamment via le programme France 2030 qui finance des initiatives technologiques pour structurer l’écosystème cloud national et contribuer à des projets européens en coopération avec l’Allemagne. Des acteurs comme SFR Business avec Cloud Temple développent des infrastructures de cloud hébergées en France répondant aux exigences de sécurité les plus strictes. Des sociétés comme Clever Cloud proposent des offres de cloud “souverain” conçues spécifiquement pour garantir l’autonomie des données sous droit français.
Ainsi, le lawfare numérique s’impose comme une dimension structurante des relations internationales contemporaines. En mobilisant le droit, la technologie et les acteurs privés comme instruments de puissance, il redéfinit les équilibres géopolitiques et transforme la notion même de souveraineté. La maîtrise des données et des normes juridiques apparaît désormais comme un facteur déterminant de l’hégémonie au XXIᵉ siècle.
