Depuis 2015, la Commission européenne a, par trois fois, édicté des accords encadrant le transfert de données vers les Etats-Unis : le Safe Harbor, le Privacy Shield et le Data Privacy Framework. Par ces textes, la Commission validait un niveau de protection des données suffisant et la possibilité pour les entreprises de l’Union européenne (UE) de transférer leurs données vers les Etats-Unis sans mesures supplémentaires.
Les deux premiers accords ont été retoqués en 2015 et en 2020, par la Cour de justice de l’Union européenne (CJUE) en raison du danger représenté par les lois extraterritoriales américaines. La Cour a estimé que ces lois violaient les droits à la vie privée des Européens. Qu’à cela ne tienne, la Commission a publié en 2023 un troisième accord, le Data Privacy Framework, à son tour en cours d’instruction à la CJUE.
Norme SecNumCloud
Entre-temps, les lois extraterritoriales américaines se sont durcies. A titre d’exemple, le 24 avril, le président Biden a signé une prolongation et une extension de la section 702 du Foreign Intelligence Surveillance Act (FISA). Elle permet aux agences de renseignement américaines de collecter massivement et sans mandat préalable les données numériques des individus non américains, un enjeu de sécurité nationale considéré comparable à la lutte contre le terrorisme. Avec ce texte et un marché du cloud européen dominé à plus de 70 % par les Gafam [Google, Amazon, Facebook, Apple, Microsoft], les Etats-Unis ont ainsi renforcé leur capacité d’accès aux données sensibles et stratégiques des entreprises et des administrations européennes.
Dans ce climat, la sécurité des prestataires de services d’informatique en nuage (cloud) est devenue un enjeu capital. C’est pourquoi l’Agence nationale de la sécurité des systèmes d’information (Anssi), autorité nationale en matière de sécurité et de défense des systèmes d’information en France, a élaboré en 2016 la norme SecNumCloud, dont la dernière version contient des exigences de souveraineté et des critères de protection à l’égard des lois extra-européennes.
Ces exigences garantissent que le fournisseur de services du cloud et les données qu’il traite ne peuvent être soumis à des lois non européennes, permettant ainsi à l’Etat de promulguer sa doctrine et de limiter le recours des administrations aux Gafam.
De là est née l’idée de transposer ce SecNumCloud français à l’échelon européen, dans une norme européenne appelée European Union Cybersecurity Certification Scheme for Cloud Services (EUCS) : une occasion de façonner l’avenir de la sécurité du cloud en Europe et d’homogénéiser les exigences en matière de sécurité des données entre ses pays membres.
Il vous reste 59.21% de cet article à lire. La suite est réservée aux abonnés.