Les eurodéputés discutent actuellement de la création d’une nouvelle certification de sécurité pour les services cloud, connue sous le nom d’EUCS (European union cybersecurity certification scheme for cloud services).
Cependant, dans sa version actuelle, celle-ci ne garantit pas une protection suffisante des données personnelles contre d’éventuelles ingérences d’états tiers. Face à ce manquement, la CNIL milite pour un renforcement de la souveraineté de ce dispositif.
Se prémunir contre les lois extraterritoriales
Avec la multiplication des données sensibles hébergées dans le cloud, le recours à un expert cybersécurité n’est plus suffisant. Un cadre juridique solide et sécurisant est également indispensable.
Or, les entreprises de cloud basées aux États-Unis doivent aujourd’hui se plier aux lois extraterritoriales. Ces réglementations autorisent les agences de sécurité américaines (FBI, CIA, NSA…) à accéder aux données stockées sur leurs data centers, y compris ceux situés au sein de l’Union Européenne. C’est notamment le cas de Google, d’Amazon (AWS) et de Microsoft (Azure).
Dans sa version actuelle, la nouvelle certification EUCS ne protège pas suffisamment les données personnelles des utilisateurs européens contre les lois extraterritoriales applicables aux États-Unis, mais qui peuvent également exister dans d’autres pays comme la Chine. Pour la CNIL, cette protection est pourtant déterminante pour garantir une sécurité optimale des informations sensibles.
L’immunité contre les lois extraterritoriales : un point de friction entre les pays de l’Union Européenne
Si l’EUCS reste à ce stade à l’état de projet, c’est en grande partie à cause du blocage lié à l’immunité contre les lois extraterritoriales. En effet, en cas d’adoption de cette nouvelle certification, les géants de l’Internet, et notamment les GAFA, seraient automatiquement exclus.
Dans le cas de la France qui est favorable à ce dispositif, une immunité est déjà garantie par le certificat SecNumCloud. La CNIL milite ainsi pour un alignement du cadre juridique européen avec celui de l’Hexagone.
Par contre, les autres états membres considèrent cette exigence française comme une mesure protectionniste visant à freiner la pénétration des géants américains sur son marché. C’est d’ailleurs la raison pour laquelle le quatrième niveau de protection EUCS, qui assurait la souveraineté numérique européenne face aux lois extraterritoriales, a été supprimé.
Cependant, des acteurs majeurs du cloud et du high-tech tels qu’OVHCloud, Orange, Dassault Systèmes et Airbus plaident en faveur du rétablissement de cette clause dans les discussions en cours.