Souveraineté dans le cloud : des géants industriels européens condamnent la dernière décision de l’agence cyber de l’UE

L’EUCS a été conçu pour créer un système de certification uniformisé au niveau de l’UE, qui aiderait gouvernements et entreprises de l’Union à déterminer les caractéristiques de cybersécurité d’un fournisseur de service cloud donné lorsqu’ils achètent ce type de service. [Tada Images / Shutterstock]

Des acteurs majeurs de l’industrie européenne, dont Airbus, OVHcloud et Orange, ont condamné dans une lettre consultée par Euractiv une récente décision de l’Agence de l’Union européenne pour la cybersécurité (ENISA), qui ne ferait plus de différence entre les fournisseurs de service cloud en fonction de leur origine.

L’ENISA, qui coordonne le travail sur le schéma européen de certification de cybersécurité (EUCS), a décidé de supprimer les références aux exigences relatives à la souveraineté dans son dernier projet de compromis sur l’EUCS, daté du 22 mars et reporté par Euractiv.

L’EUCS a été pensé pour devenir le système de certification cloud uniformisé de l’UE, qui aiderait gouvernements et entreprises de l’Union à déterminer les caractéristiques de cybersécurité d’un fournisseur de services cloud donné lorsqu’ils achètent ce type de service.

Ce système prévoit différents niveaux de protection en fonction de la sensibilité des données traitées.

« Nous pensons que l’inclusion d’exigences en matière de souveraineté est nécessaire pour surmonter la fragmentation du marché » et « protéger les données les plus sensibles des organisations européennes », écrivent les 18 signataires de la lettre ouverte.

Ils appellent « les États membres à rejeter toute proposition [EUCS] » qui n’inclurait pas de dispositions relatives à la souveraineté.

La lettre rappelle que les exigences en matière de souveraineté sont importantes pour faire face au risque de voir des gouvernements étrangers accéder illégalement à des données. Les dispositions concernant la souveraineté protègent également la vie privée des utilisateurs.

Les partisans de ces dispositions les considèrent comme un outil essentiel pour protéger les entreprises et les gouvernements de l’UE contre l’extraterritorialité des lois de gouvernements étrangers.

La lettre cite notamment la loi chinoise sur le renseignement national et le Cloud Act américain, considérant que fournisseurs et utilisateurs européens de cloud devraient être protégés contre ces lois.  En effet, elles pourraient donner à leurs agences de sécurité nationale la possibilité d’accéder aux données de tiers traitées par leurs entreprises nationales de cloud.

Les signataires de la lettre ouverte ont ajouté que l’EUCS, tel que décrit dans le projet de texte, entraînera une fragmentation du marché, car la responsabilité de définir les éléments souverains incombera aux régulateurs nationaux.

Les entreprises ont également souligné que le schéma européen de certification de cybersécurité sera en contradiction avec le règlement sur les données (Data Act).

Ce règlement interdit l’accès illégal des gouvernements étrangers aux données non personnelles, ont souligné les signataires.

Le groupe de travail spécialisé de l’ENISA (ECCG) doit se réunir lundi (15 avril) pour discuter du système de certification pour les fournisseurs de service cloud.

Parmi les signataires de la lettre figurent le fournisseur d’énergie EDF, Dassault Systèmes qui possède le fournisseur de services cloud Outscale, les entreprises technologiques Sopra Steria et Capgemini, ainsi que les entreprises de télécommunications Deutsche Telekom, Telecom Italia et Proximus.

Souveraineté dans le cloud : l’agence cyber européenne et les députés français face à des choix décisifs

Les députés français et l’Agence de l’Union européenne pour la cybersécurité doivent prendre des choix décisifs sur la souveraineté dans le cloud les 10 et 15 avril, sur fond d’inquiétudes relatives à l’espionnage et à la segmentation du marché européen du cloud.

[Édité par Anne-Sophie Gayet]

Inscrivez-vous à notre newsletter

S'inscrire