Les députés français et l’Agence de l’Union européenne pour la cybersécurité (ENISA) doivent prendre des choix décisifs sur la souveraineté dans le cloud les 10 et 15 avril, sur fond d’inquiétudes relatives à l’espionnage et à la segmentation du marché européen du cloud.
Après un an de processus législatif, les députés français se prononceront sur un projet de loi visant à sécuriser et réguler l’espace numérique (SREN), comprenant des dispositions spécifiques sur la souveraineté dans le cloud.
Peu après, ce sera au tour du groupe de travail spécialisé de l’ENISA (ECCG) de se réunir pour approuver le cadre de certification EUCS, conçu pour uniformiser les certifications nationales en matière de cloud.
Dans les deux documents, des exigences relatives à la souveraineté dans le cloud ont fait l’objet d’intenses débats.
Ces dispositions, également appelées exigences d’immunité à l’égard des lois extraterritoriales, auraient donné un avantage aux hébergeurs cloud de l’UE.
Alors que des analystes libéraux ont interprété ces exigences comme une mesure protectionniste portant préjudice à l’économie de l’UE, certains fournisseurs de services cloud et multinationales européennes considèrent ces exigences comme essentielles afin de se protéger contre l’espionnage.
Malgré la décision de l’ENISA et de l’Assemblée nationale de ne pas inclure des exigences de détention du capital dans leurs textes respectifs, la France devrait les définir ultérieurement par décret.
Le dernier projet de compromis de l’ENISA, daté du 22 mars et consulté par Euractiv, a remplacé les exigences de souveraineté par des dispositions obligatoires de transparence, y compris des détails sur le lieu de stockage et les méthodes de traitement des données.
« Il ne faudrait pas que ces règles de transparence ne soient une manière déguisée de faire entrer les exigences de souveraineté », a confié à Euractiv Pascal Kerneis, directeur général de l’European Services Forum, une organisation commerciale qui défend le libre-échange.
Dans une lettre ouverte envoyée à l’ENISA en novembre 2023, 19 entreprises soutiennent des « critères explicites et transparents » au niveau de l’UE, qui pourraient inclure les critères d’immunité.
La lettre souligne également l’importance d’un « système au niveau européen » afin d’éviter la « fragmentation entre les États membres ».
Les signataires comprennent les fournisseurs de cloud OVHcloud, Oodrive, NumSpot, 3DS Outscale, Cloud Temple et les utilisateurs de cloud Airbus, Deutsche Telekom, Orange et EDF.
Débat sur la souveraineté
Les sénateurs français souhaitaient inscrire dans la loi les obligations de souveraineté relatives à la détention du capital des hébergeurs cloud, qui sont les exigences les plus controversées.
Ils ont proposé de reprendre telles quelles les conditions de détention du capital fixées dans la certification cloud la plus sécurisée de France, développée par l’agence nationale de la sécurité des systèmes d’information (ANSSI): SecNumCloud 3.2.
Les hébergeurs cloud « détenus individuellement à plus de 24 % et collectivement à plus de 39 % » en dehors de l’UE ne seraient donc pas autorisés à traiter les données des institutions publiques.
Des exigences similaires ont fait l’objet de discussions entre les 27 agences nationales de cybersécurité et l’ENISA durant les négociations sur le système de certification cloud EUCS, un processus débuté en 2020.
Bien qu’aucun des deux documents ne prévoie d’inclure des clauses de souveraineté, les conditions concernant la détention du capital seront fixées par décret du Conseil d’État dans les six mois suivant la promulgation de la loi SREN.
Les partisans des mesures d’immunité les considèrent comme un outil important pour protéger les entreprises et les gouvernements de l’UE contre les lois américaines sur la surveillance du renseignement étranger (Foreign Intelligence Surveillance Act) et le Cloud Act. Ces deux lois permettent aux agences de renseignement des États-Unis d’accéder aux données traitées par des sociétés américaines, même celles appartenant à des tiers.
« Il est des données particulièrement sensibles et, à ce titre, elles ne sauraient être […] confiées à n’importe quelles entreprises », a estimé la sénatrice française centriste Catherine Morin-Desailly mardi (2 avril).
Cependant, les opposants de ces mesures contestent cette approche. Ces exigences « demandent que les sièges sociaux positionnés en Europe, ce qui est quelque chose de jamais vu et totalement contraire à ce que l’UE pratique », s’est insurgé Pascal Kerneis.
Prochaines étapes
Une fois que l’ENISA aura validé l’EUCS, la Commission européenne publiera un acte d’exécution en vertu du règlement sur la cybersécurité, faisant de ce système un cadre européen commun que tous les États membres pourront utiliser volontairement.
Les États membres de l’UE pourront adopter des lois nationales rendant l’EUCS obligatoire pour un ensemble de données spécifique, tout comme la loi SREN le fait pour les données relatives à la santé ou à la sécurité nationale.
[Édité par Anna Martino]