Selon un nouveau projet de l’ENISA, le gendarme de la cybersécurité de l’UE, les géants du cloud non européens pourraient être obligés de créer des coentreprises avec des sociétés européennes, à chaque fois qu’ils seraient amenés à traiter des « données sensibles ».
Amazon, Google, Microsoft et d’autres fournisseurs de cloud non européens seront-ils bientôt contraints de former des co-entreprises avec des sociétés européennes en Europe, sous peine d’être exclus du marché du cloud européen ? C’est ce que prévoit le projet de règlementation européenne que nos confrères de Reuters ont pu consulter. Si les géants du cloud veulent traiter des données européennes dites sensibles, ils devront obtenir le futur label de cybersécurité de l’UE. Il s’agit d’un système de certification de la cybersécurité pour les services cloud (« Cybersecurity Certification Scheme for Cloud Services » ou EUCS) mis en place dans le cadre du règlement européen sur la cybersécurité (ou « Cybersecurity Act »). Or, pour obtenir un tel sésame, ces mastodontes du cloud devront d’abord former une coentreprise avec une société basée dans l’Union européenne.
D’autres contraintes sont prévues : ces derniers ne pourront que détenir une part minoritaire de la coentreprise. Les employés de cette société, qui auront accès aux données de l’UE, devront faire l’objet d’un contrôle spécifique, et être localisés dans la zone. Le service et les infrastructures devront aussi se trouver dans un des 27 États-membres. Enfin, la règlementation de l’UE s’imposera à toute loi étrangère. Il s’agit donc d’une nouvelle proposition de l’ENISA. L’agence européenne chargée de la cybersécurité avait déjà émis une moulure du texte à la fin de l’année 2022. La proposition avait été très discutée, les États-membres restant tiraillés entre leur besoin de souveraineté numérique et leur attachement au libre-échange. Ce label garantirait la cybersécurité du cloud et permettrait aux gouvernements, administrations publiques et les entreprises privées de choisir des fournisseurs de cloud en toute sécurité.
L’objectif : protéger les données des Européens
Le système permettrait aussi de protéger les droits des citoyens en matière de données et de respect de la vie privée, tout en évitant l’ingérence d’États étrangers qui, via le cloud, pourraient avoir accès à des données très sensibles. Si cette version du texte devient définitive, elle devrait avoir un impact sur les entreprises qui utilisent déjà des plateformes telles que Amazon Web Services, Google Cloud Platform et Microsoft Azure. À chaque fois que des données sensibles seront impliquées, ces fournisseurs devront obtenir le futur label de cybersécurité pour pouvoir continuer à proposer leur service de cloud. Point important : Reuters ne donne aucune définition de ce que serait une donnée sensible.
À lire aussi : Pourquoi le transfert de vos données personnelles aux Etats-Unis est un incroyable casse-tête
Chez les géants numériques du Cloud, le précédent projet de certification de l’ENISA avait, fin 2022, déclenché un tollé. En décembre dernier, treize organisations professionnelles du secteur avaient exprimé dans une déclaration commune leur vive inquiétude, après avoir eu connaissance d’une proposition de schéma de certification de l’ENISA. Ce type de mesure réduirait considérablement l’offre de services de cloud dans l’Union européenne, arguaient-elles. Et aujourd’hui encore, la réponse des États-Unis, d’où provient la majorité des entreprises de cloud, a déjà fusé. La Chambre de commerce des États-Unis a déclaré que ce texte défavoriserait les entreprises américaines. Le projet sera étudié par les États-membres, avant que la Commission européenne n’en adopte une version définitive.
Source :
Reuters