L’EUCS, le futur référentiel de cybersécurité du cloud (l’informatique en nuage), sera-t-il encore gage de « souveraineté » numérique européenne ? La question se pose après la négociation qui a eu lieu les lundi 15 et mardi 16 avril à Bruxelles, et qui se serait finalement soldée par un report du vote, explique Reuters, le 16 avril. Et selon Contexte ce jeudi 18 avril, c’est la France qui a demandé un ajournement du vote jusqu’au mois de juin, le temps d’obtenir du Conseil de l’Union européenne des réponses sur la possibilité de conserver son référentiel SecNumCloud (plus exigeant que l’EUCS) au niveau national, dans certains cas.
Il faudra donc attendre le mois de juin pour que les experts des 27 pays de l’Union européenne tranchent la question. L’Agence de l’Union européenne pour la cybersécurité (Enisa) que nous avons contactée, n’a pas répondu à notre demande de précision sur ce calendrier, à l’heure de la publication de cet article.
Depuis 2020, les 27 tentent de se mettre d’accord sur cette certification prévue par le règlement européen sur la cybersécurité (ou « Cybersecurity Act ») : l’EUCS pour « European Union Cybersecurity Certification Scheme for Cloud Services » est un ensemble d’exigences techniques de cybersécurité. À terme, les fournisseurs de cloud (l’informatique en nuage), qui pourraient avoir à traiter ou stocker des data considérées comme sensibles comme des données de santé ou des informations stratégiques issues des ministères ou de l’État, devront respecter cet ensemble de normes, avant d’héberger ces données.
Et dans cette négociation, la clause la plus discutée est celle qui a trait à certains critères de « souveraineté », et qui peut se résumer ainsi : faut-il ou non imposer pour le niveau le plus élevé – il ne s’agit pas de l’imposer à tous, mais seulement pour son dernier niveau – une immunité aux « lois extraterritoriales » ? Ces législations contraignent des sociétés à partager avec les agences de renseignement des données qu’elles hébergent, y compris à l’étranger, comme c’est le cas pour des lois américaines (FISA) ou chinoises.
À lire aussi : les services secrets américains pourront tranquillement nous espionner jusqu’en avril 2024
Pour certains, au rang desquels on compte la France, la future certification EUCS doit prévoir, pour son niveau le plus élevé, une immunité à ces lois particulières : il s’agirait, selon ces derniers, d’un minimum pour garantir une certaine souveraineté et un certain pare-feu contre les « regards » ou les immixtions d’États étrangers.
Le quatrième niveau supprimé
Et pendant quelques mois, c’est cette vision des choses qui l’emporte. L’EUCS prévoyait en effet quatre niveaux, dont le dernier – le plus exigeant – imposait une immunité aux lois extraterritoriales (comme la loi FISA pour les États-Unis, ou son équivalent chinois), à l’image du SecNumCloud 3.2. Ce référentiel franco-français exclut les fournisseurs de cloud soumis à de telles lois, comme les clouders américains, lorsque certaines données – de santé ou régaliennes – sont concernées.
Mais dans sa dernière version, les experts avaient supprimé ce quatrième niveau, pour ne maintenir que trois niveaux, avec des exigences de transparence. Les fournisseurs seraient par exemple contraints de préciser la localisation de leurs centres de données, ou de déclarer s’ils sont ou pas soumis à une loi extraterritoriale, au grand dam de Paris. La France souhaiterait en effet conserver son référentiel SecNumCloud. Et si le pays n’arrive pas à l’imposer au niveau européen, il souhaiterait a minima pouvoir le conserver dans l’Hexagone, dans certains cas. C’est tout l’objet de sa note du 11 avril révélée par Contexte ce jeudi 18 avril : Paris demande au service juridique du Conseil de l’UE de confirmer que ses critères SecNumCloud pourront bien être conservés au niveau national, détaillent nos confrères.
À lire aussi : EUCS : Pourquoi dit-on que l’Europe est en passe d’abandonner ses critères de souveraineté ?
Le lobbying des défenseurs de la souveraineté numérique en ordre de bataille
Cette version sans clause d’immunité aux lois extraterritoriales a aussi suscité l’ire des clouders européens et des défenseurs de la souveraineté européenne : les premiers ont développé des offres de « cloud souverain » – avec des centres de données localisés en Europe, et des structures juridiques à l’abri des lois extraterritoriales. Les autres craignent que le fait de renoncer à ce type d’offres équivaut à renoncer à la souveraineté européenne. Ces derniers jours, le lobbying des entreprises européennes et des défenseurs de cette souveraineté ont œuvré pour que les négociateurs réintègrent le quatrième niveau.
Dix-huit sociétés, dont Airbus, OVHCloud, Orange, Capgemini et Dassault Systèmes, ont ainsi publié le 10 avril dernier une lettre « exhortant les États membres à rejeter toute proposition dépourvue de critères de souveraineté ». Un ton suivi par le Cigref, l’association qui regroupe les grandes entreprises européennes, qui, dans une lettre adressée à la Commission européenne 24 heures plus tard, dénonçait le « déclin d’une ambition ». La pression a été intense, jusqu’au dernier moment. Selon La Lettre A, des représentants de Cleyrop et Clever Cloud ont été reçus en début de semaine à l’Élysée pour défendre le critère de souveraineté, sur les données les plus sensibles.
La fin de l’exclusion des clouders américains ?
En arrière-plan, les géants du cloud américains ont fait de même pour ne plus être écartés de l’EUCS. L’exigence de l’immunité juridique exclut de fait AWS, Google Cloud et Azure, qui détiennent à eux trois plus des trois quarts du marché européen – une exclusion du marché des données sensibles qui n’est évidemment pas vue d’un très bon œil par ces derniers.
L’industrie américaine du cloud aurait ainsi écrit à l’administration américaine que « l’EUCS faisait peser une menace potentielle pour les intérêts de sécurité nationale des États-Unis. (…) Elle restreindrait le champ d’activité des agences de renseignement américaines », rapporte Henri d’Agrain, le délégué général du Cigref, dans un post sur LinkedIn.
La Commission européenne aurait ensuite reçu une note diplomatique, dans laquelle l’administration américaine notait que « l’adoption dans l’EUCS de dispositions garantissant l’immunité aux lois américaines aurait un impact négatif sur les relations entre les États-Unis et l’Union européenne en matière d’économie et de sécurité », écrit le délégué général du CIGREF, une association qui défend les intérêts des entreprises européennes. Face à ces « menaces », « les Européens peuvent-ils faire autrement, dans le contexte géopolitique actuel, que de céder aux injonctions américaines ? », questionne Henri d’Agrain.
À lire aussi : nos données de santé sont-elles en danger ? Notre nouvelle émission Clic Droit décrypte l’EHDS
Vers « notre vassalité numérique » ?
Même interrogation chez Guillaume Poupard, ancien patron de l’Anssi, qui expliquait un peu plus tôt, dans un post LinkedIn, que « certains (pays de l’UE, NDLR) ne veulent surtout pas prendre le risque de réduire leurs rentrées fiscales, d’autres sont prêts à tout pour continuer à vendre des voitures de luxe ou importer du GNL, beaucoup ont pour priorité – légitime – leur protection militaire par l’OTAN dans un contexte géopolitique particulièrement tendu ». Ce qui entraînera des jours encore plus sombres pour l’Europe du numérique, écrit celui qui est directeur général adjoint de Docaposte.
« Si nous échouons à faire en sorte que les données les plus sensibles soient traitées au juste niveau, l’ensemble des enjeux à venir, et notamment celui de l’intelligence artificielle, sont voués à se résumer à un renforcement permanent de notre vassalité numérique, quelle que soit la productivité réglementaire européenne », s’alarme-t-il.
La messe n’est pourtant pas encore dite. La pression de part et d’autre devrait encore être forte sur les experts qui négocient l’EUCS jusqu’au vote – qui devrait avoir lieu en juin, selon Contexte. Une fois validé, le texte devra encore passer par le Conseil de l’Union européenne, et recevoir le feu vert de la Commission européenne.
Note de la rédaction : cet article, publié initialement mercredi 17 avril, a été modifié à la suite de l’article de Contexte du 18 avril 2024, qui révèle que Paris a obtenu le report au mois de juin du vote – Reuters indiquait que le vote aurait lieu au mois de mai.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.