Le « SecNumCloud européen » durcit ses critères de souveraineté

Le « SecNumCloud européen » durcit ses critères de souveraineté

L’Union européenne travaille actuellement à une certification de cybersécurité pour les services cloud qui pourrait, à terme, remplacer les qualifications nationales comme SecNumCloud en France, C5 en Allemagne ou ENS en Espagne. La rédaction de ce futur EUCS (schéma européen de certification des services cloud) entre dans la ligne droite et prend un tour plus controversé.

La dernière mouture de ce projet de certificat, que publie intégralement Contexte, propose, en effet, d’intégrer des critères de souveraineté dès le troisième niveau de sécurité (« high ») et non plus seulement au quatrième et dernier niveau (« high + ») comme envisagé dans la version de mai.

Siège social et localisation des données

Pour y prétendre, un fournisseur de services cloud doit répondre à un ensemble de critères. Le prestataire doit tout d’abord avoir son siège en Europe et à démontrer son « imperméabilité » au principe d’extraterritorialité des certaines législations non européennes, à commencer par le Cloud Act américain. « La question est de savoir dans quelle mesure la filiale européenne d’un fournisseur de cloud peut être considérée comme étant sous le contrôle de sa société mère », interroge le site Euroactiv.

La version datée de novembre du projet de certificat évoque la possibilité laissée au fournisseur de démontrer qu’il a mis en place « des mesures techniques, organisationnelles et juridiques efficaces » qui empêchent des entreprises non européennes d’exercer sur lui une influence décisive dans les décisions relatives aux demandes d’enquêtes extra-territoriales.

Autre point clé : la localisation des données. Les fournisseurs de services cloud certifiés au niveau « high » doivent disposer d’au moins un datacenter situé dans l’Union européenne. Ceux relevant du niveau « high + » ont l’obligation d’avoir tous leurs sites référencés dans l’UE.

Par ailleurs, les employés du fournisseur qui ont un accès direct ou indirect aux données devront résider dans l’UE et feront l’objet d’un « examen approprié ». Enfin, le texte apporter une définition des données qualifiée de sensibles. A savoir, indique Euractiv, « des données personnelles ou non personnelles dont la divulgation pourrait porter atteinte à l’ordre public, à la sécurité, à la santé ou à l’exercice de fonctions gouvernementales essentielles. »

publicité

La tech américaine vent debout

Si la certification EUCS repose, bien sûr, sur le volontariat, elle pourrait être rendue obligatoire pour des organisations considérées comme essentielles ou importantes pour l’économie européenne en vertu de la directive NIS2. Elle constituerait, par ailleurs, un avantage concurrentiel. En France, les providers se battent pour obtenir le précieux sésame du SecNumCloud et l’appellation de cloud de confiance.

Dans ce contexte, les lobbies font feu de tout bois. Groupe de pression de la tech américaine, la CCIA (Computer & Communications Industry Association) estime, dans un document, que l’UE entend par ce futur certificat protéger son marché du cloud de la concurrence étrangère, principalement américaine. Evoquant la libre concurrence, il rappelle que le marché américain n’a pas de restrictions équivalentes basées sur la nationalité d’un fournisseur.

Pour la CCIA, le texte contraindrait les fournisseurs extra-européens à s’associer à des acteurs de l’UE pour obtenir le précieux label. Une approche qui s’apparenterait au modèle chinois qui exige aux entreprises étrangères de créer des coentreprises avec des sociétés locales pour accéder à son marché. En France, ce type de coentreprise existe à l’image de S3NS, alliance entre Google Cloud et Thales.

Soutien des entreprises françaises

Réunies au sein d’Allied for Startups (AFS), des associations nationales de startups, pour la plupart européennes, craignent de ne plus avoir accès aux « produits les plus innovants sur le marché mondial », dont elles dépendent pour se développer et leur permettre d’être à l’avant-garde de la transformation numérique et de la révolution de l’IA. « Un choix basé sur le qualité du produit et non la nationalité du fournisseur. »

Dans une lettre rendue publique par Bloomberg, une vingtaine d’entreprises européennes, principalement françaises – Orange, Deutsche Telekom, Airbus, EDF, OVHcloud ou Docaposte… – soutiennent en revanche ce projet de texte qui rendrait plus difficile l’obtention par les providers américains et notamment les hyperscalers (AWS, Google Cloud, Microsoft Azure) du plus haut niveau de certification.

Leave a Reply

Your email address will not be published. Required fields are marked *