Le projet européen de certification cloud, dit « EUCS », pourrait renforcer la protection des données des citoyens face aux géants de la Tech. Mais il suscite la crainte de grandes entreprises françaises et européennes.
La question est sensible, mais l'Europe se dirige vers une nouvelle norme de sécurité cloud, avec le projet de certification EUCS, censé garantir la souveraineté des États dans le traitement des données personnelles des utilisateurs. Si au départ, la proposition devait imposer une sécurité juridique pour lutter contre le transfert des données les plus sensibles hors de l'Europe, la dernière version du texte ferait un pas en arrière en la matière. Suffisant pour inquiéter – à juste titre – les grands acteurs européens.
La précédente version du texte, qui imposait une exigence juridique de souveraineté aux géants de la Tech, a été écartée
Expliquons les choses très simplement. La certification de cybersécurité pour le cloud, EUCS, classe les données en trois niveaux distincts : un niveau basique, un niveau substantiel, et un niveau élevé. Ce qui les différencie, ce sont les usages et le niveau de sensibilité des données qui doivent être hébergées.
Dans l'avant-dernière version du texte discuté au sein de l'Union européenne, l'exigence juridique de souveraineté imposait aux entreprises comme Amazon, Microsoft, Google et autres à carrément créer une coentreprise, ou bien à coopérer avec une société européenne. Le tout, dès lors que ces entreprises auraient à stocker et à traiter les données sensibles de clients situés au sein de l'Union européenne. Cette exigence permettrait aux géants du numérique d'obtenir le label de cybersécurité de niveau maximal au sein de l'Union européenne, équivalent de notre SecNumCloud français.
« Le véritable enjeu est d’admettre et d’assumer que certaines données et certains processus sont très sensibles, que leur traitement doit être réalisé dans des conditions de sécurité technique, opérationnelle et juridique particulièrement stricts et qu’une des conséquences est alors de s’assurer que seul le droit européen s’applique, à l’exclusion de tout autre », explique Guillaume Poupard, ancien directeur de l'ANSSI, l'agence française de sécurité informatique, désormais directeur général adjoint de Docaposte. Qu'est-ce qui change, dans la nouvelle version ?
Certains pays membres de l'Union européenne voudraient préserver leurs intérêts, au détriment de la sécurité des données
Cette exigence de sécurité juridique pour le niveau de sécurité le plus élevé de la certification, a tout simplement disparu dans la dernière version. Et ce n'est pas qu'un détail, non, cela change tout ! Car sans cette disposition, les gouvernements américain, chinois et tous ceux situés hors de l'Union européenne, pourraient librement accéder aux données des consommateurs de la zone, en brandissant simplement leurs lois locales, citons le Cloud Act pour les États-Unis ou la Chinese National Intelligence Law pour l'empire du Milieu.
Autrement dit, nos données personnelles les plus sensibles seraient à la portée de tous. Avec des conséquences qui pourraient être sévères, et économiques en premier lieu. Toutes les initiatives cloud françaises (Bleu d'Orange et Capgemini ; S3NS de Thales ; et OVHcloud) verraient leur modèle tomber, et la France dépendrait plus que jamais d'acteurs étrangers. Mais pourquoi l'Europe ne fait-elle pas front commun sur ce dossier ?
Guillaume Poupard a sa petite idée. « Certains ne veulent surtout pas prendre le risque de réduire leurs rentrées fiscales, d’autres sont prêts à tout pour continuer à vendre des voitures de luxe ou importer du GNL, beaucoup ont pour priorité – légitime – leur protection militaire par l’OTAN dans un contexte géopolitique particulièrement tendu », explique l'ingénieur. Tous les États membres de l'UE n'ont en effet pas les mêmes priorités.
Pas moins de 18 entreprises, dont font partie Airbus, Capgemini, Dassault Systèmes, EDF, Deutsche Telekom, Orange, OVHcloud, Eutelsat Group, Sopra Steria et d'autres, ont publié une lettre ouverte dans laquelle elles critiquent sans ménagement la dernière version d'EUCS, pointant du doigt la proposition qui permettrait à Amazon, Microsoft et Google d'héberger, dans le Cloud, des données européennes sensibles.
13 décembre 2024 à 08h53
Sources : Clubic, Linkedin @ChristianGacon, LinkedIn @GuillaumePoupard