La dernière version du texte qui doit définir l’EUCS, une certification pour les hébergeurs de données, ne reprend plus la condition d’immunité aux lois extraterritoriales – une condition que défendait Paris, et qui excluait de facto les clouders américains pour les données sensibles ou stratégiques. Une perte pour la souveraineté européenne ?
L’Europe va-t-elle, oui ou non, imposer dans sa certification destinée aux hébergeurs de cloud (l’EUCS) une immunité aux lois extraterritoriales étrangères ? Ce n’est pas le chemin que prennent les négociations, rapporte Politico le 3 avril, Reuters le 4 avril, et Contexte, ce vendredi 5 avril. Depuis des mois, les Européens négocient les contours du futur EUCS (pour « European Union Cybersecurity Certification Scheme for Cloud Services »), un label garantissant des normes de cybersécurité communes à toute l’Europe, pour les fournisseurs de cloud, les services d’informatique en nuage. Cette certification, prévue par le règlement européen sur la cybersécurité (ou « Cybersecurity Act »), est censée s’appliquer aux futurs hébergeurs de données, qui pourraient avoir à traiter ou stocker des data considérées comme sensibles comme les données de santé ou les informations stratégiques issues des ministères ou de l’État. Et dans cette discussion, la question d’inclure ou pas des critères de « souveraineté » y est âprement négociée.
C’est en effet la pomme de la discorde : faut-il ou pas imposer pour le niveau le plus élevé – il ne s’agit pas de l’imposer à tous, mais seulement pour son dernier niveau – une immunité aux « lois extraterritoriales » ? Ce terme désigne ces législations américaines (ou autres) qui contraignent, par exemple, les fournisseurs de cloud américains comme AWS ou Azure à partager avec les agences de renseignement américaines, si elles le demandent, les données qu’ils hébergent aux États-Unis et à l’étranger, y compris en Europe… Pour certains, au rang desquels on compte la France, la future certification EUCS doit prévoir, pour son niveau le plus élevé, une immunité à ces lois particulières.
Pourquoi Paris a-t-elle voulu imposer une immunité aux lois extraterritoriales ?
Et la dernière version de l’EUCS répondait à cette demande, en prévoyant quatre niveaux de sécurité. Dans le dernier, le plus élevé, Paris militait, depuis des mois, pour que ses critères actuels du SecNumCloud 3.2, l’équivalent franco-français de l’EUCS, qui inclut une condition d’immunité aux lois extraterritoriales (américaines), soient repris. L’idée était d’imposer pour ce 4ᵉ niveau de certification, qui ne serait choisi que pour les données les plus sensibles, l’inapplication des lois américaines, comme la loi Fisa, renouvelée fin 2023.
Bien qu’il existe un traité transatlantique qui autorise le transfert de données personnelles de l’Europe vers les États-Unis – « le Data Privacy Framework » ou DPF a été officialisé en juillet dernier et vient remplacer le Privacy Shiled, invalidé par la Cour de justice de l’Union européenne – les défenseurs des droits estiment qu’il ne protège pas assez les Européens des velléités des agences de renseignement américaines comme la CIA et le FBI. D’où cette condition d’imposer le fait qu’un clouder ne puisse pas être soumis à ce type de loi, afin de rendre impossible le moindre accès étranger à des données sensibles ou stratégiques.
À lire aussi : « C’est une bombinette » : notre souveraineté numérique en danger avec la loi sur le renseignement US, selon ce député
Le quatrième niveau avait été proposé en mai dernier, rappelle Contexte sur son site. Concrètement, il obligeait donc tout fournisseur de cloud à être localisé en Europe. Il devait aussi démontrer qu’il n’était soumis à aucune loi extraterritoriale. Sans surprise, la CCIA Europe, le lobby de la tech américaine, n’y était pas favorable, car ces règles excluent de facto les géants américains du cloud – et les leaders mondiaux comme AWS, Microsoft Azure ou Google Cloud.
Le 4ᵉ niveau supprimé et remplacé par des obligations de transparence
Au sein des négociateurs, d’autres militaient pour, au contraire, n’imposer ni localisation des centres de données en Europe, ni immunité aux lois extraterritoriales. Sentant le vent tourner, la France avait tenté, début mars, de faire preuve de pédagogie, en rappelant que ces critères de souveraineté ne s’appliquaient qu’au dernier niveau de certification – et donc qu’aux projets ou données les plus sensibles, rapportait le média allemand Tagesspiegel début mars.
Sans succès : selon la version publiée par Contexte du 22 mars dernier, le 4ᵉ niveau a tout simplement été supprimé. Les trois autres niveaux restant ne sont soumis qu’à des obligations de transparence, qui permettraient aux entreprises ou administrations de choisir en toute connaissance de cause le clouder qui leur convient. Concrètement, détaille Reuters, les fournisseurs de cloud devraient fournir des informations sur leur lieu de stockage et de traitement des données de leurs clients. Ils seraient aussi contraints de lister les lois qui leur sont imposées.
Une occasion ratée pour les partisans de la souveraineté européenne
Si cette version finit par être adoptée, ce serait une occasion ratée pour les partisans d’une souveraineté européenne. Le texte rendrait selon certains l’Europe encore plus dépendante des géants du cloud américains, y compris pour ses données les plus sensibles. Imposer une extraterritorialité aurait en effet permis de favoriser les clouders européens qui ont pour l’instant du mal à exister face aux trois leaders actuels du cloud – les trois quarts du marché du cloud sont dans les mains d’Amazon Web Services (AWS), de Microsoft Azur et de Google Cloud.
C’est l’avis de plusieurs sociétés françaises et européennes (comme OVHCloud, Orange, Airbus, ou encore EDF), qui écrivaient le 17 novembre dernier : « Plus d’un tiers des entreprises ont déjà investi dans des solutions de cloud souverain, et près de la moitié prévoient de le faire dans un avenir proche, ce qui montre la volonté des organisations d’aborder les questions de souveraineté ». Même son de cloche chez Jean-Noël De Galzain, président de l’association Hexatrust, qui regroupe des entreprises françaises de la cybersécurité et du « cloud de confiance ». Ce dernier, auteur d’une tribune publiée en février dernier dans les colonnes de La Tribune, écrivait qu’en cessant de combattre l’extraterritorialité américaine et en renonçant à l’exigence de localisation européenne des données, « l’Europe risque de se couper de la possibilité de rester autonome, et d’empêcher l’émergence d’une industrie européenne alternative du cloud et de la confiance (…) en s’enfermant un peu plus dans une dépendance technologique et économique aux GAFAM américains ».
Car même si la France impose la norme SecNumCloud 3.2 pour l’hébergement des données sensibles, cette certification franco-française sera à terme remplacée par l’EUCS – qui pourrait être moins stricte, si cette version (sans condition d’immunité à l’extraterritorialité) finit par être adoptée. Tout n’est pas encore joué : les experts du groupe de certification se réuniront dans une dizaine de jours.
À lire aussi : Comment l’Europe a abandonné vos données personnelles aux espions américains
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.