EUCS et SecNumCloud, même combat ? Ce n’est pas l’avis du régulateur français des données personnelles. En matière de protection des données, la certification européennes pour les services cloud et la qualification SecNumCloud ne jouent pas dans la même catégorie.
Or, pour l’autorité, cet écart en termes de protection s’avère problématique pour les données sensibles. Afin de protéger ces données contre un accès par un Etat tiers, l’Anssi a prévu des mesures spécifiques dans le cadre de la qualification SecNumCloud.
Une protection renforcée pour les données sensibles
“Ce risque est le plus souvent considéré comme limité”, écrit la Cnil. Néanmoins, “une protection renforcée s’impose pour les traitements de données les plus sensibles”, ajoute-elle. Et cela suppose notamment de prévenir un accès non autorisé par des autorités d’États tiers.
SecNumCloud tient compte de ce risque, mais pas EUCS. Et pour l’autorité française, cette carence est majeure. Dans son avis, elle rappelle que le projet de certification européenne fait l’impasse sur ce point, “même dans les niveaux de certification les plus élevés, et même à titre optionnel.”
Cette mouture de l’EUCS “prive les acteurs d’un cadre concret pour garantir la protection des droits et libertés fondamentaux pour les citoyens européens dans le cadre de tels traitements.” La Cnil attend donc de la nouvelle Commission européenne que soit rediscuté le point de l’extraterritorialité.
Une carence juridique, mais aussi économique
Selon elle, l’absence de critères d’immunité se révèle problématique à différents égards, juridique, économique, technologique et industriel. Le gendarme des données personnelles voit dans EUCS l’opportunité de stimuler l’offre européenne en matière de cloud.
En se privant de garanties contre les accès étrangers, l’Europe passerait à côté de “moyens de faciliter l’accès à la commande publique pour les offreurs européens”. Les fournisseurs cloud américains bénéficient déjà dans ce secteur d’un coup de pouce des pouvoirs publics.
La Cnil cite ainsi le programme FedRAMP aux États-Unis. Mais pour le régulateur, les carences d’EUCS sont aussi un obstacle à l’externalisation dans le cloud des projets les plus sensibles des acteurs privés et publics européens.
Dans son plaidoyer en faveur d’une certification européenne plus protectrice, la Cnil appelle donc “à l’inclusion, à titre optionnel, de critères d’immunité aux lois extra-européennes”. Et l’inspiration ne manque pas avec SecNumCloud.