Cloud et souveraineté : le rôle de l'Union Européenne ?

La certification cloud, ou EUCS dont la publication est détaillée ici pour les anglophones, est une initiative visant à promouvoir un cloud souverain au sein de l'UE (Union Européenne). Elle vise à garantir que les services de cloud respectent les normes de protection des données personnelles établies par la CNIL (Commission Nationale de l'Informatique et des Libertés) et le RGPD (Règlement Général sur la Protection des Données).

L'idée derrière cette certification est de permettre aux entreprises européennes d'utiliser des services de cloud sécurisés et conformes aux réglementations en matière de protection des données, sans dépendre obligatoirement des homologues américains.

En effet, la question de la collaboration avec les fournisseurs américains se pose souvent en raison du Cloud Act, qui permet aux autorités américaines d'accéder aux données stockées par les entreprises américaines, même si elles sont situées en dehors des États-Unis.

La certification EUCS vise donc à offrir une alternative aux entreprises européennes qui souhaitent conserver leurs données personnelles dans l'UE et bénéficier d'un niveau élevé de protection. Cependant, ces entreprises peuvent toujours choisir d'utiliser des services basés aux États-Unis tout en respectant les réglementations applicables en matière de protection des données.

Par ailleurs, l'adoption prévue pour 2024 de cette certification, pourrait potentiellement avoir des conséquences importantes sur les fournisseurs de services d'informatique en cloud établis en dehors de l'UE et notamment :

• Interdire aux fournisseurs de cloud extra européens de proposer certains services de niveau dit élevé (c'est-à-dire le plus risqué sur les trois : (basique, substantiel, élevé) aux entreprises européennes,
• Et réciproquement, empêcher les potentiels clients européens d'accéder aux services de cloud de ces fournisseurs non européens.

Un groupe de travail dédié est déjà en place au sein de l'AESRI (Agence de l'Union Européenne pour la Cybersécurité) depuis 2021. La France, l'Italie et l'Espagne ont soumis une proposition à ce groupe de travail préconisant d'ajouter de nouveaux critères au système afin que les entreprises puissent se qualifier pour offrir des services fournissant le plus haut niveau de sécurité. Les critères proposés incluent la localisation des services et des données en cloud au sein de l'UE. Proposition qui fut rejetée par l'Irlande, la Suède et les Pays-Bas au motif que de telles exigences n'avaient pas leur place dans un système de certification et qu'elles répondaient à des préoccupations politiques plutôt que de cybersécurité. La question est donc désormais examinée par le Conseil de l'UE.

Cet ensemble de dilemmes posés par l'EUCS reflète un débat plus large au sein de l'UE sur la question de savoir si elle doit poursuivre ses efforts de souveraineté numérique en tant qu'objectif politique ou comme exigence de capacité.

Et vous, envisagez-vous la certification cloud de l'UE comme un obstacle à votre développement ou comme un renforcement de la souveraineté ?