Alors que l’ENISA est en train de se pencher depuis plusieurs mois sur une réforme européenne des lois sur le Cloud afin de protéger au mieux la souveraineté numérique sur le vieux continent pour se protéger de la mainmise des sites étrangers américains, russes ou encore chinois, les différents pays membres ne parviennent pas encore à s’accorder sur les contraintes à adopter.
Le futur schéma de certification européen pour les Services de Cloud Computing (EUCS) crée des tensions notamment sur la notion de souveraineté. Le CSA (Cyber Security Act) qui avait été adopté en 2019 avait pour but d’harmoniser la sécurité en ligne au sein de l’Union Européenne.
Le projet EUCS inclut un volet sur la souveraineté des données au sein de l’Union Européenne, et sa soumission aux seuls lois du vieux continent en se protégeant de l’influence étrangère. Cette demande aurait été faite par la commission européenne à l’ENISA.
«L’objectif de ces exigences spécifiques est de prévenir et de limiter de manière adéquate les éventuelles interférences d’Etats extérieurs à l’Union européenne avec le fonctionnement des services de cloud certifiés» indique le projet EUCS. Avec cette notion de contrôle, seul les services de cloud situés en Europe et non contrôlés par des pays ou entreprises extra-territoriaux pourront prétendre à une certification.
L’Irlande, la Suède et les Pays-Bas sont fermement opposés à ce projet
De même que l’EUCS a pour but de demander des autorisations spécifiques pour l’échange de données entre fournisseurs européens certifiés et ceux basés en dehors de l’UE. C’est ainsi que des entreprises situées sur le sol européens mais ayant des investisseurs étrangers pourraient se voir limiter leurs accès au cloud.
Le principal problème est la divergence d’avis des pays de l’Union européenne, alors que français, allemands, italiens et espagnols sont favorables à cette réforme, les néerlandais, suédois et irlandais sont opposés à ce contrôle de l’UE, et craignent que de nombreuses entreprises soient ainsi exclus de cette certification.
L’AmCham EU (American Chamber of Commerce to the European Union) a elle-même critiqué cette mesure souhaitant protéger les intérêts des grandes entreprises américaines. Accompagnée d’autres responsables du domaine de la tech, la Chambre américaine a publié une lettre ouverte demandant une transparence des parties prenantes.
«Le recours à des normes internationales consensuelles est essentiel pour garantir l’efficacité des exigences en matière de cybersécurité. Les exigences relatives à la souveraineté numérique sont purement motivées par des considérations politiques qui créeront une conformité juridique complexe et ne contribueront pas à accroître les niveaux de cybersécurité» insiste la Chambre.
Les Gafam pourraient être privés de proposer leurs services de Cloud en Europe
Cette certification remplacerait ainsi les certifications des différents pays avec, de fait, la possibilité pour les fournisseurs européens certifiés uniquement de proposer leurs services en Europe.
S’il y a bien OVH et Deutsche Telekom qui oeuvrent dans ce domaine, ce sont Microsoft, Google et Amazon qui captent la majorité du marché actuel, ce qui poseraient question de l’utilité d’avoir une certification loin de toucher la majorité du marché.
La France souhaite proposer un juste milieu entre les deux options, en permettant aux GAFAM de rester certifiés à condition d’avoir un partenariat avec un gestionnaire de cloud européens.
Le projet doit être soumis à l’ECCG (Groupe européen de certification de cybersécurité) pour obtenir son avis et si validation de leur côté il y a, la Commission européenne finira par adopter le projet ou le laissera en suspens.
