Un sujet autant technique que géopolitique : après des années de négociation, Bruxelles a tranché : elle n’inclut pas des critères de souveraineté dans l’EUCS, le futur label de cybersécurité européen, mais elle n’interdit pas aux 27 de le faire, pays par pays. La mesure, défendue par Paris et des défenseurs d’une souveraineté européenne, aurait empêché les leaders américains du marché du cloud (Amazon, Microsoft et Google) d’héberger nos données les plus sensibles.
Une mesure à contre-courant ? Malgré le contexte géopolitique et les velléités de l’Union européenne (UE) de s’affranchir des géants américains dans le numérique, Bruxelles a renoncé, le 20 février dernier, à exclure par principe Google, Microsoft et Amazon, les trois géants du cloud plus que dominants en Europe, de ses hébergeurs de données les plus sensibles et stratégiques.
Lors de la présentation de la révision de son règlement sur la cybersécurité (le « Cybersecurity Act ») qui avait lieu le 20 janvier dernier, la Commission européenne a tranché, rapportait le média spécialisé Contexte, le 21 janvier dernier. Elle n’inclura pas, par principe, des critères de souveraineté dans l’EUCS (pour « European Union Cybersecurity Certification Scheme for Cloud Services »), un label garantissant des normes de cybersécurité communes à toute l’Europe. Ce futur label européen, destiné aux fournisseurs de cloud, était négocié depuis des années, comme nous vous l’expliquions dans cette vidéo.
Paris pourra conserver son label national SecNumCloud, plus strict que l’EUCS
Depuis 2020, les Européens tentent d’accorder leurs violons sur les exigences de cybersécurité qui seraient demandées aux fournisseurs de cloud pour l’obtention dudit label. Et dans ces discussions, la question d’inclure ou pas des critères de « souveraineté » y était âprement négociée.
La France souhaitait que soit incluse, pour l’hébergement des données les plus sensibles, une immunité aux « lois extraterritoriales », une sorte de bouclier contre les « regards » extérieurs provenant d’États étrangers et de leurs services secrets.
Les lois extraterritoriales américaines, comme la loi FISA ou le Cloud Act, contraignent les entreprises ayant une filiale ou une maison mère aux États-Unis à partager avec les agences de renseignement comme la CIA ou le FBI des données qu’elles hébergent, y compris à l’étranger (et donc en Europe).
L’insertion d’un bouclier contre ces lois était aussi défendue par la CNIL, le gardien de notre vie privée qui, en 2024, écrivait, dans un avis : les futures exigences techniques de cybersécurité pour le cloud doivent « empêcher les autorités étrangères d’accéder aux données sensibles » des Français et des Européens.
À cette fin, Paris militait pour que le futur référentiel européen écarte les sociétés soumises aux lois extraterritoriales, comme les Américaines : une exclusion qui aurait dû être inscrite dans le chapitre 2 du texte (article 80 et suivant de la révision), comme « risques non techniques ».
La règle aurait banni des marchés les plus sensibles les trois leaders actuels du cloud, aujourd’hui soumis à ces lois extraterritoriales – à savoir, les Américains Amazon Web Services (AWS), Microsoft Azure et Google Cloud. Elle aurait permis de mettre en place une « préférence européenne » mise en avant par de nombreux politiques depuis le retour à la Maison Blanche de Donald Trump.
À lire aussi : « Trop de dépenses de Cloud vont encore aux Américains », déplore la ministre de l’IA et du Numérique
Mais cela n’a pas été le choix fait par Bruxelles, le 21 janvier dernier. Un revers pour la France et pour les défenseurs d’une souveraineté numérique européenne, même si la Commission européenne permet à chaque État de l’Union européenne d’émettre de telles interdictions, pays par pays, expliquent nos confrères de Contexte.
Paris pourra donc bien conserver son SecNumCloud, son label national qui exclut les sociétés américaines pour ses données les plus sensibles. Le lobby de la tech américaine, la CCIA, s’est réjoui, dans un communiqué, du choix de la Commission européenne… pendant que d’autres l’ont déploré.
Certaines sociétés chinoises exclues des infrastructures critiques
« Les mêmes qui signent le rapport Draghi votent son contraire quelques mois plus tard. C’est toute l’histoire de la souveraineté numérique européenne », tacle Sylvain Rutten, consultant chez NextHop, ex-responsable du pôle infrastructure cloud et sécurité chez Docaposte, dans un post LinkedIn. Le député Philippe Latombe (Les Démocrates) précise, de son côté, qu’il « continuera à se battre (…) pour (…) intégrer dans l’EUCS une couche supplémentaire pour protéger les données sensibles… »
En cessant de combattre l’extraterritorialité américaine, « l’Europe risque de se couper de la possibilité de rester autonome, et d’empêcher l’émergence d’une industrie européenne alternative du cloud et de la confiance (…) en s’enfermant un peu plus dans une dépendance technologique et économique aux GAFAM américains », écrivait un an plus tôt Jean-Noël De Galzain, président de l’association Hexatrust, qui regroupe des entreprises françaises de la cybersécurité et du « cloud de confiance », dans les colonnes de La Tribune.
Si l’Europe n’a pas réussi à s’entendre sur l’exclusion des géants américains pour l’hébergement de ses données les plus sensibles, elle n’a toutefois pas hésité à bannir les entreprises chinoises pour certains marchés. La révision du Cybersecurity Act exclut les « fournisseurs à haut risque de pays tiers » des infrastructures critiques de l’UE, comme les entreprises chinoises ZTE et Huawei.
À lire aussi : L’Europe veut mieux lutter contre la tech chinoise… mais ne sait toujours pas comment
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.