L’Europe n’a pas (encore ?) dit adieu à sa « souveraineté » numérique. Les experts nationaux, qui se retrouvaient ce lundi et mardi pour négocier le futur référentiel européen des fournisseurs de cloud, n’auraient finalement pas donné leur feu vert pour la dernière version proposée. Cette dernière supprime la condition d’immunité aux lois extraterritoriales, au grand dam de certaines entreprises européennes et défenseurs des droits, qui estiment que nos données sensibles ne seront pas suffisamment protégées et mises à l’abri de tout regard – y compris celui d’États étrangers. Le prochain meeting aurait lieu en mai.
L’EUCS, le futur référentiel de cybersécurité du cloud (l’informatique en nuage), sera-t-il encore gage de « souveraineté » numérique européenne ? La question se pose après la négociation qui a eu lieu les lundi 15 et mardi 16 avril à Bruxelles, et qui s’est finalement soldée par un report du vote, explique Reuters. Il faudra attendre le mois de mai pour que les experts des 27 pays de l’Union européenne tranchent la question, selon « des personnes au fait de la question » interrogées par nos confrères.
Depuis 2020, les 27 tentent de se mettre d’accord sur cette certification prévue par le règlement européen sur la cybersécurité (ou « Cybersecurity Act ») : l’EUCS pour « European Union Cybersecurity Certification Scheme for Cloud Services » est un ensemble d’exigences techniques de cybersécurité. À terme, les fournisseurs de cloud (l’informatique en nuage), qui pourraient avoir à traiter ou stocker des data considérées comme sensibles comme des données de santé ou des informations stratégiques issues des ministères ou de l’État, devront respecter cet ensemble de normes, avant d’héberger ces données.
Et dans cette négociation, la clause la plus discutée est celle qui a trait à certains critères de « souveraineté », et qui peut se résumer ainsi : faut-il ou non imposer pour le niveau le plus élevé – il ne s’agit pas de l’imposer à tous, mais seulement pour son dernier niveau – une immunité aux « lois extraterritoriales » ? Ces législations contraignent des sociétés à partager avec les agences de renseignement des données qu’elles hébergent, y compris à l’étranger, comme c’est le cas pour des lois américaines (FISA) ou chinoises.
À lire aussi : Les services secrets américains pourront tranquillement nous espionner jusqu’en avril 2024
Pour certains, au rang desquels on compte la France, la future certification EUCS doit prévoir, pour son niveau le plus élevé, une immunité à ces lois particulières : il s’agirait, selon ces derniers, d’un minimum pour garantir une certaine souveraineté et un certain pare-feu contre les « regards » ou les immixtions d’États étrangers.
Le quatrième niveau supprimé
Et pendant quelques mois, c’est cette vision des choses qui l’emporte. L’EUCS prévoyait en effet quatre niveaux, dont le dernier – le plus exigeant – imposait une immunité aux lois extraterritoriales (comme la loi FISA pour les États-Unis, ou son équivalent chinois), à l’image du SecNumCloud 3.2. Ce référentiel franco-français exclut les fournisseurs de cloud soumis à de telles lois, comme les clouders américains, lorsque certaines données – de santé ou régaliennes – sont concernées.
Mais dans sa dernière version, les experts avaient supprimé ce quatrième niveau, pour ne maintenir que trois niveaux, avec des exigences de transparence. Les fournisseurs seraient par exemple contraints de préciser la localisation de leurs centres de données, ou de déclarer s’ils sont ou pas soumis à une loi extraterritoriale.
À lire aussi : EUCS : Pourquoi dit-on que l’Europe est en passe d’abandonner ses critères de souveraineté ?
Le lobbying des défenseurs de la souveraineté numérique en ordre de bataille
Cette version avait suscité l’ire des clouders européens et des défenseurs de la souveraineté européenne : les premiers ont développé des offres de « cloud souverain » – avec des centres de données localisés en Europe, et des structures juridiques à l’abri des lois extraterritoriales. Les autres craignent que le fait de renoncer à ce type d’offres équivaut à renoncer à la souveraineté européenne. Ces derniers jours, le lobbying des entreprises européennes et des défenseurs de cette souveraineté ont œuvré pour que les négociateurs réintègrent le quatrième niveau.
Dix-huit sociétés, dont Airbus, OVHCloud, Orange, Capgemini et Dassault Systèmes, ont ainsi publié le 10 avril dernier une lettre « exhortant les États membres à rejeter toute proposition dépourvue de critères de souveraineté ». Un ton suivi par le Cigref, l’association qui regroupe les grandes entreprises européennes, qui dans une lettre adressée à la Commission européenne 24 heures plus tard, dénonçait le « déclin d’une ambition ». La pression a été intense, jusqu’au dernier moment. Selon La Lettre A, des représentants de Cleyrop et Clever Cloud ont été reçus en début de semaine à l’Élysée pour défendre le critère de souveraineté, sur les données les plus sensibles.
La fin de l’exclusion des clouders américains ?
En arrière-plan, les géants du cloud américains ont fait de même pour ne plus être écartés de l’EUCS. L’exigence de l’immunité juridique exclut de fait AWS, Google Cloud et Azure, qui détiennent à eux trois plus des trois quarts du marché européen – une exclusion du marché des données sensibles qui n’est évidemment pas vue d’un très bon œil par ces derniers.
L’industrie américaine du cloud aurait ainsi écrit à l’administration américaine que « l’EUCS faisait peser une menace potentielle pour les intérêts de sécurité nationale des États-Unis. (…) Elle restreindrait le champ d’activité des agences de renseignement américaines », rapporte Henri d’Agrain, le délégué général du Cigref, dans un post sur LinkedIn.
La Commission européenne aurait ensuite reçu une note diplomatique, dans laquelle l’administration américaine notait que « l’adoption dans l’EUCS de dispositions garantissant l’immunité aux lois américaines aurait un impact négatif sur les relations entre les États-Unis et l’Union européenne en matière d’économie et de sécurité », écrit le délégué général du CIGREF, une association qui défend les intérêts des entreprises européennes. Face à ces « menaces », « les Européens peuvent-ils faire autrement, dans le contexte géopolitique actuel, que de céder aux injonctions américaines ? », s’interroge Henri d’Agrain.
À lire aussi : Nos données de santé sont-elles en danger ? Notre nouvelle émission Clic Droit décrypte l’EHDS
Vers « notre vassalité numérique » ?
Même interrogation chez Guillaume Poupard, ancien patron de l’Anssi, qui expliquait un peu plus tôt, dans un post LinkedIn, que « certains (pays de l’UE, NDLR) ne veulent surtout pas prendre le risque de réduire leurs rentrées fiscales, d’autres sont prêts à tout pour continuer à vendre des voitures de luxe ou importer du GNL, beaucoup ont pour priorité – légitime – leur protection militaire par l’OTAN dans un contexte géopolitique particulièrement tendu ». Ce qui entraînera des jours encore plus sombres pour l’Europe du numérique, écrit celui qui est directeur général adjoint de Docaposte.
« Si nous échouons à faire en sorte que les données les plus sensibles soient traitées au juste niveau, l’ensemble des enjeux à venir, et notamment celui de l’intelligence artificielle, sont voués à se résumer à un renforcement permanent de notre vassalité numérique, quelle que soit la productivité réglementaire européenne », s’alarme-t-il.
La messe n’est pourtant pas encore dite. La pression de part et d’autre devrait encore être forte sur les experts qui négocient l’EUCS jusqu’au vote – qui devrait avoir lieu en mai, selon Reuters. Une fois validé, le texte devra encore recevoir le feu vert de la Commission européenne.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.