L’Union européenne s’apprête à abandonner les critères de sécurité juridique, imposant notamment une localisation européenne pour les données les plus sensibles, dans le projet européen de certification des services « cloud » (European Union Cybersecurity Certification Scheme for Cloud Services, EUCS), destiné à définir les exigences communes pour les Etats membres de l’UE. La France et l’industrie européenne du cloud (dont beaucoup d’entreprises) ont beau alerté sur nos besoins d’autonomie numérique, la majorité des Etats membres opposent la menace sur la cybersécurité, s’ils devaient renoncer aux leaders américains du cloud.
Le groupe d’experts européens réunis les 14 et 15 avril derniers sous l’égide de l’agence de l’UE pour la cybersécurité l’Enisa, afin d’adopter l’EUCS, ont choisi de repousser leur décision d’un mois faute de consensus. Une fois que l’Enisa aura validé l’EUCS, la Commission européenne publiera un acte d’exécution en vertu du règlement sur la cybersécurité, faisant de ce schéma un cadre européen commun que tous les États membres pourront utiliser volontairement. Ces derniers pourront adopter des lois nationales rendant l’EUCS obligatoire pour un ensemble de données spécifiques, tout comme la loi SREN le fait pour les données relatives à la santé ou à la sécurité nationale.
Dans la foulée du Cyber Act 2020, l’Enisa avait amorcé ce projet européen afin que les acteurs certifiés du cloud puissent garantir un haut niveau de cybersécurité similaire sur tout le territoire de l’UE. En effet, si la France est dotée de la certification la plus exigeante avec le SecNumCloud, les autres Etats ont également instauré un mécanisme de certification cloud mais avec un niveau d’exigence moins large.
Le projet de certification avait défini trois niveaux de certification possibles, avec des conditions différentes selon le niveau de sécurité exigé : le niveau basique (basic), le niveau substantiel (substantial) et le niveau élevé (high), lui-même divisé en deux niveaux distincts : CS-EL3 (élevé) et CS-EL4 (élevé+). Ce niveau 4 imposait que toutes les activités de traitement des données du prestataire aient lieu dans l’UE, à moins que les clients n’acceptent certaines exceptions limitées. Les fournisseurs de services cloud devaient dans ce cas dresser la liste de toutes les activités d’assistance réalisées en dehors de l’Europe. Et pour construire et maintenir leur infrastructure numérique, les fournisseurs de cloud ne devaient faire appel qu’à un fournisseur de services de confiance basé dans un pays de l’Union.
Pour les données les plus sensibles, la France et d’autres pays membres militent pour un niveau de certification équivalent à SecNumCloud qui comprend un critère de sécurité juridique. Le référentiel français actuel, permettant d’obtenir la certification SecNum Cloud, prévoit dans son point 19.2 « Localisation de données » que le prestataire doit stocker et traiter les données du commanditaire au sein de l’UE, que les opérations d’administration et de supervision du service doivent être réalisées depuis l’UE, et que le prestataire doit stocker et traiter les données techniques au sein de l’UE.
Mais ces exigences qui figuraient aussi dans l’EUCS excluent les leaders du cloud soumis au droit américain, du plus haut niveau d’assurance de la certification européenne, car ils sont tenus de se conformer aux exigences du Cloud act et au Fisa (qui vient d’être prorogé pour deux ans).
C’est justement ce dernier niveau qui fait l’objet du dissensus et qui devrait disparaître de l’EUCS ; les seuls critères purement techniques devraient être conservés. Une quinzaine d’Etats membres dont les Pays-Bas, le Danemark, l’Irlande, la Suède mais aussi l’Allemagne qui a tardivement rejoint ce groupe, soutiennent l’idée d’un marché libre, ouvert à tous les acteurs. Ils craignent notamment que ces exigences de souveraineté conduisent à un affaiblissement du niveau de cybersécurité au sein de l’UE car l’EUCS empêcherait les entreprises européennes, et plus particulièrement celles des petits pays, d’accéder à des services de cybersécurité de haut niveau, considérant que les fournisseurs de cloud étrangers ne seraient pas en mesure d’obtenir les niveaux de certification « élevé » et « élevé+ ». Ce qui les obligerait à faire appel à des fournisseurs européens, jugés moins performants en matière de cybersécurité et de résilience.
D’autres Etats, dont l’Italie, l’Espagne, et la France en chef de file, poussent pour faire adopter ces exigences destinées à renforcer la souveraineté. « Si nous échouons à faire en sorte que les données les plus sensibles soient traitées au juste niveau, l’ensemble des enjeux à venir, et notamment celui de l’intelligence artificielle, sont voués à se résumer à un renforcement permanent de notre vassalité numérique, quelle que soit la productivité réglementaire européenne » a déclaré Guillaume Poupard, le directeur général adjoint de Docaposte et ancien patron de l’Anssi.
Pour concilier ces deux points de vue opposés, un compromis a été proposé qui consiste à laisser les pays libres de fixer leurs propres normes en plus de celles prescrites par le système. Compromis auquel la France est opposée, comme les 8 entreprises, fournisseurs et utilisateurs de cloud européen signataires d’une lettre ouverte pour maintenir les critères juridiques. Selon eux, l’EUCS, en l’état, entraînerait une fragmentation du marché, car la responsabilité de définir les éléments souverains incombera aux régulateurs nationaux. Et cela compromettrait la viabilité des solutions de cloud souverain en Europe, dont beaucoup sont en cours de développement ou déjà disponibles sur le marché. En l’état du rapport de force au sein de l’UE, l’idée d’un cloud souverain européen semble bien compromise.