Sur la souveraineté des cloud, l’Europe est fracturée, avec d’un côté des pays soucieux de se protéger des lois extraterritoriales US, dont la France, et d’autres moins exigeants. (Photo : MediaModifier/Pixabay)
Le premier dossier numérique du futur gouvernement ? Probablement EUCS, la certification européenne pour les services cloud, qui menace de déshabiller le SecNumCloud hexagonal.
Dans le courant de l'été, pas moins de deux avis ont été publiés pour alerter le futur gouvernement des risques que comporte le projet européen de certification des cloud. La CNIL puis la Commission supérieure du numérique et des postes (CSNP) se sont émues des conséquences potentielles de l'actuel schéma européen de certification des services cloud (EUCS), porté par l'Enisa, l'agence en charge de la cybersécurité au sein de l'Union.
La raison de ce coup de chaud ? La dernière version du schéma ne comporte plus le niveau le plus exigeant, dit High+, un ensemble de critères techniques et juridiques garantissant l'immunité des services web aux législations extraterritoriales des Etats-Unis, mais aussi de la Chine. « Dans son état actuel, le projet de certification européenne pour les services de cloud (EUCS) ne permet plus aux fournisseurs de démontrer qu'ils protègent les données stockées contre tout accès par une puissance étrangère, contrairement à la qualification SecNumCloud en France », résume la CNIL.
La stratégie cloud au centre remise en cause ?
Tout en soulignant l'incertitude juridique qui entoure encore le dossier, la CSNP, composée de sept députés, sept sénateurs et trois personnalités nommées par le ministre de l'Économie, estime que « l'adoption de l'EUCS, qu'il intègre ou non le niveau High+, rendrait caduque le référentiel SecNumCloud », la norme européenne étant appelée à se substituer aux référentiels nationaux, dont SecNumCloud en France. « L'État français se trouverait démuni pour mettre en oeuvre sa stratégie dite cloud au centre », ajoute la Commission. Sans oublier des difficultés d'application des articles relatifs à la protection des données stratégiques et sensibles sur le cloud que renferme la loi SREN (loi visant à sécuriser et réguler l'espace numérique) de mai 2024, ce texte faisant « sans le nommer, mais de manière transparente » référence à SecNumCloud.
D'abord intégré à l'EUCS, l'immunité aux législations extraterritoriales - la fameuse section 702 du FISA (Foreign Intelligence Surveillance Act) américain, mais aussi la loi chinoise sur le renseignement, deux textes qui ouvrent en grand la porte de l'espionnage économique - s'est attirée les foudres de l'administration américaine. Sous la pression des lobbys de l'industrie de la tech américaine, le secrétaire d'Etat Anthony Blinken a envoyé, en septembre 2023, une note à Ursula von der Layen, la présidente de la Commission de Bruxelles, avertissant que l'inclusion de ces dispositions « pourrait nuire aux relations bilatérales économiques et sécuritaires » entre les deux blocs.
La CNSP appelle le gouvernement à résister
La conséquence : la publication, début 2024, d'un schéma EUCS expurgé du niveau High+. Ce qui, pour les entreprises, se traduirait par l'impossibilité de « s'appuyer sur la certification EUCS pour externaliser dans le cloud leurs projets les plus sensibles », comme le souligne la CNIL. Sans oublier le risque de voir les appels d'offres faisant référence à un niveau de protection plus exigeant être contesté en justice, comme l'avait souligné l'ex-directeur de l'ANSSI, Guillaume Poupard. La menace a d'ailleurs été identifiée par le Cigref, qui vient de publier un communiqué appuyant l'avis de la CSNP. L'association souligne avoir encore adressé, le 11 avril dernier, une lettre ouverte sur le sujet à Ursula von der Layen.
Dans son avis, la CSNP appelle notamment le futur gouvernement à présenter au Parlement l'état des négociations et à préciser sa position sur le sujet et de faire le nécessaire auprès de la Commission pour sursoir « à toute décision d'adoption de la version actuelle du schéma de certification afin qu'un travail approfondi de prise en compte de tous les besoins puisse être mené ».
La position de la France minoritaire
Au sein de l'Union, la position de la France, historiquement favorable à une certification incluant une immunité aux législations extraterritoriales d'autres blocs, apparaît de plus en plus isolée. Certes, en octobre 2023, lors d'un sommet ministériel, l'Allemagne, l'Italie et la France avaient réaffirmé leur intention de renforcer la protection des données sensibles en Europe. L'Espagne est également favorable à cette approche. Mais, depuis, l'Allemagne s'est éloignée de cette position, dans le cadre des discussions sur l'évolution d'EUCS. Par ailleurs, plusieurs autres pays de l'UE, sensibles aux garanties de sécurité du parapluie américain - comme les pays de l'Est de l'Union - ou dépendant des géants de la tech d'outre Atlantique - comme les Pays-Bas ou l'Irlande -, ne soutiennent pas ce niveau de garantie. Au total, pas moins de 12 pays de l'UE sont aujourd'hui opposés aux exigences de souveraineté les plus strictes que renfermaient les premières versions de EUCS.
Le débat, très vif entre les pays défendant des positions opposées (une réunion d'un groupe d'experts sur le sujet, prévue le 18 juin dernier, a ainsi été reportée en raison de l'opposition de la France) sera entre les mains de la future Commission européenne, qui doit être installée en novembre prochain.
Suivez-nous