C’est une question de « protection des droits et libertés fondamentaux », et une prise de position qui a été publiée le 19 juillet dernier. Dans un avis, la CNIL, le gardien de notre vie privée, s’alarme du projet européen de certification du cloud (informatique en nuage), appelé « EUCS ». Dans la dernière version négociée à Bruxelles, l’« European Union Cybersecurity Certification Scheme for Cloud Services », les futures exigences techniques de cybersécurité pour le cloud, ne permettrait pas « d’empêcher des autorités étrangères d’accéder aux données sensibles » des Français et des Européens, comme les données des ministères ou les data de santé, regrette la CNIL.
C’était pourtant l’un de ses objectifs : définir à 27 un référentiel de normes pour protéger ce type de données des « regards » extérieurs, que cela soit des États étrangers ou des hackeurs. À terme, les fournisseurs de cloud, qui pourraient avoir à traiter ou stocker ce type de data, devront être estampillés « EUCS ».
Le cœur de la discorde : l’immunité aux lois extraterritoriales
Le problème est que depuis 2020, les 27 États de l’Union européenne (UE) ne parviennent pas à se mettre d’accord sur cette certification, prévue par le règlement européen sur la cybersécurité (ou « Cybersecurity Act »). Certains pays comme la France souhaitent que le niveau le plus élevé de l’EUCS interdise toute immixtion (tout regard) de pays étrangers et de leurs services secrets dans les données hébergées. Pour ce faire, une version initiale incluait une condition liée à la souveraineté européenne, à savoir, une immunité aux lois extraterritoriales (principalement américaines). Ce type de législation, comme la loi FISA ou le Cloud Act, contraint les entreprises ayant une filiale ou une maison mère aux États-Unis à partager avec les agences de renseignement comme la CIA ou le FBI des données qu’elles hébergent, y compris à l’étranger (et donc en Europe).
À lire aussi : les services secrets américains pourront tranquillement nous espionner jusqu’en avril 2024
En insérant cette condition, les Européens fermaient, de fait, la porte aux leaders américains du secteur, à savoir AWS (Amazon), Azure (Microsoft) et Google Cloud, parce que ces derniers sont bien soumis à ces lois extraterritoriales. Or, dans la dernière version discutée, l’immunité aux lois extraterritoriales a été supprimée, « même dans les niveaux de certification les plus élevés, et même à titre optionnel », déplore la CNIL.
À lire aussi : EUCS : L’Europe en passe d’abandonner ses critères de souveraineté ?
Or, si cette version (sans immunité) est approuvée, cela signifie que « les acteurs (n’auront plus de) cadre concret pour garantir la protection des droits et libertés fondamentaux pour les citoyens européens dans le cadre de tels traitements », note la Commission nationale. Un point de vue partagé par d’autres défenseurs des droits, certaines entreprises européennes, et même Paris, qui estiment que sans cette condition, nos données sensibles ne seront pas suffisamment protégées.
Des problèmes « juridique, économique, technologique et industriel »
Pour le gardien des libertés, « l’absence de niveau incluant des critères “d’immunité” pose problème sur le plan juridique, économique, technologique et industriel ». Sans cette condition, impossible d’abord de « stimuler l’offre européenne en matière de cloud » puisque les administrations et entreprises ne seront pas contraintes de choisir des clouders non soumis aux lois extraterritoriales – autrement dit, elles pourraient ne pas opter pour des fournisseurs européens. De quoi constituer une occasion ratée pour ces derniers qui auraient pu monter en gamme et en puissance. C’est pourtant ainsi, via la commande publique et des programmes comme le FedRAMP aux États-Unis, que les trois leaders du secteur américains, sont devenus dominants, écrit la CNIL.
Le point de vue est partagé par William Méauzoone, cofondateur de Leviia, une société française de stockage et de partage de fichiers en ligne. Pour le directeur général, « il est impératif que les certifications intègrent des critères d’immunité et de souveraineté strictes, contre les législations extra-européennes ». L’objectif est de « protéger non seulement les données sensibles, mais aussi stimuler l’innovation et la compétitivité des entreprises françaises dans le Cloud », écrit-il à 01net.com.
La suppression de cette condition va aussi se heurter un problème d’ordre juridique, note la CNIL. Aujourd’hui, les fournisseurs de cloud doivent respecter dans l’Hexagone cette condition d’immunité, en raison de la doctrine de l’État « Cloud au centre », pour les données les plus sensibles.
À lire aussi : Hébergement de données de santé : nos datas seront-elles bientôt mieux protégées ?
Or, avec une future certification européenne qui remplacera les labels nationaux, la France va-t-elle être contrainte d’abaisser ses exigences ? Dans l’Hexagone, la certification nationale SecNumCloud, délivrée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), impose cette immunité pour les plus sensibles comme les données régaliennes ou de santé. Et il faut qu’en Europe, il en soit de même, plaide en substance la CNIL. Les grandes bases de données de santé, de données d’infractions ou encore de données relatives à des mineurs devraient être traitées et hébergées par un « prestataire exclusivement soumis au droit européen et offrant le niveau de protection adéquat », estime-t-elle.
Cette recommandation franco-française s’ajoute aux nombreuses voix (françaises) qui prônent le maintien des critères de souveraineté dans l’EUCS, un moyen d’éviter de mettre sur un plateau d’argent nos données… accessibles aux géants du cloud américains. Sera-t-elle suivie d’effets lors des futures négociations, qui reprendront une fois que la nouvelle Commission européenne sera reconstituée ?
À lire aussi : Nos données de santé sont-elles en danger ? Notre nouvelle émission Clic Droit décrypte l’EHDS
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
