Depuis mai 2018, le RGPD (règlement général sur la protection des données) a établi des règles strictes concernant la protection des données. Face aux politiques de collectes massives de ses données par les Gafams et la Chine, l’Europe cherche absolument à renforcer sa souveraineté numérique.
Dans cet objectif et ainsi que le prévoit le règlement sur la cybersécurité (cybersecurity Act), il a été décidé de réviser les critères de certification EUCS (European Union Cybersecurity Certification Scheme for Cloud Services), afin d’évaluer et d’harmoniser la sécurité des fournisseurs de services cloud à l’échelle européenne. A l’issue des négociations ce Label devrait se substituer aux certifications nationales (SecNumCloud) pour la France.
Or il semble que la proposition des experts en cybersécurité des 27 Etats membres qui sera examinée le 15 avril prochain, censée garantir la cybersécurité des services de cloud et de permettre aux Etats membres et aux entreprises européennes de choisir un fournisseur fiable pour leurs activités est sur le point d’être rejetée par manque de consensus au sein des Etats membres. Ce qui pourrait vouloir dire que nos données les plus sensibles vont pouvoir continuer à être captées en toute impunité notamment par les fournisseurs de cloud américain et chinois.
Le point de blocage est celui des critères de souveraineté. Il s’agit en fait d’inclure ou pas pour le niveau le plus élevé de sensibilité des données, comme celles de la santé ou de sécurité défense, une clause « d’immunité aux lois extraterritoriales ».
La France, l’Italie et l’Espagne sont en faveur de cette interprétation et s’affichent contre le principe d’extraterritorialité des données.
La dernière version connue du texte définissant l’EUCS ne reprendrait plus la condition d’immunité aux lois extraterritoriales. Les pays-Bas et 12 autres pays européens dont l’Allemagne, trouvent à contrario que dans cette version le texte contient « de trop fortes exigences de souveraineté ».
Avec la suppression d’un critère géographique strict, les fournisseurs de cloud ne seraient donc plus tenus d’être implantés en Europe. L’institut s’est déjà expliqué sur les graves atteintes à la confidentialité que fait courir par exemple le Heath Data Hub en confiant à Microsoft le stockage des données de santé des Français
Cette position est d’autant plus dangereuse que les Etats Unis viennent de prolonger pour plusieurs mois Le Foreign Intelligence Surveillance Act (FISA) qui est une loi qui autorise l’administration américaine à espionner ouvertement les communications étrangères et d’avoir accès aux messages et conversations téléphoniques des européens.
Même si l’usage de ce texte est théoriquement restreint aux personnes pouvant porter atteinte aux Etats Unis dans le cadre de la lutte anti-terroriste, de nombreux abus ont été récemment révélés en 2023.
En acceptant de supprimer ces exigences liées à la localisation des données dans les niveaux les plus élevés de la certification, l’Europe risque de se couper de la possibilité de rester autonome et de développer une industrie européenne du cloud.
Nous sommes à un carrefour crucial, à la recherche d’un équilibre entre la sécurité, la souveraineté et la compétitivité dans le domaine du Cloud.
Les discussions autour de l’EUCS continuent et leur issue aura un impact significatif sur le paysage numérique européen.
Colette Bouckaert
Secrétaire générale iDFrights
