Près de deux mois après la CNIL, la Commission supérieure du numérique et des postes (CSNP) a publié, mercredi 4 septembre, son avis sur l’EUCS. Depuis des mois, l’« European Union Cybersecurity Certification Scheme for Cloud Services », un label garantissant des normes de cybersécurité communes à toute l’Europe pour les fournisseurs de cloud, est l’objet d’âpres négociations entre les 27 pays de l’Union européenne (UE).
Et comme la CNIL l’avait déjà plaidé en juillet dernier, la CSNP, une commission parlementaire française qui émet des avis non contraignants en matière numérique, demande au gouvernement d’œuvrer pour réintégrer les critères d’immunité aux lois extraterritoriales non européennes dans le futur référentiel de cybersécurité du Cloud.
À lire aussi : Cloud : La CNIL plaide pour réintroduire des critères de souveraineté dans l’EUCS, le futur référentiel de cybersécurité
« Une impérieuse nécessité pour protéger les données sensibles et stratégiques (…) contre les ingérences étrangères »
Il s’agit « d’une impérieuse nécessité pour protéger les données sensibles et stratégiques, à caractère personnel ou non, des organismes publics et privés qui ont besoin de préserver leur patrimoine informationnel contre les ingérences étrangères », de « la condition de l’émergence d’une industrie européenne des services cloud », écrit-elle dans l’avis publié sur son site Web.
L’organisme composé de quatorze parlementaires et de trois personnalités nommées par le ministre de l’Économie revient pendant près de huit pages sur les enjeux politiques et économiques du schéma européen de certification de sécurité des services Cloud : une explication de textes destinée au gouvernement français qui pourrait s’en servir à Bruxelles pour convaincre les récalcitrants.
Car depuis des mois, le futur référentiel de cybersécurité du cloud divise. Si, initialement, la certification imposait pour son niveau le plus élevé une immunité aux « lois extraterritoriales » (que la CSNP désigne comme « High+ »), la donne a changé l’année dernière.
À lire aussi : EUCS : L’Europe en passe d’abandonner ses critères de souveraineté ?
En mai 2023 rappelle la Commission, les géants du cloud américains qui dominent la majorité du marché européen se plaignent à la Maison-Blanche de l’EUCS (dans sa version initiale) qui constituerait « une menace pour la sécurité nationale des États-Unis ». L’EUCS désavantagera les sociétés américaines du cloud au profit d’alternatives locales, expliquent-ils en substance. Quatre mois plus tard, Antony Blinken, le secrétaire d’État américain, écrit à la Commission européenne que l’EUCS (avec « High + ») « pourrait », ni plus ni moins, « nuire aux relations bilatérales entre les États-Unis et l’UE, tant sur le plan économique que sécuritaire », souligne la Commission parlementaire.
L’avertissement est pris très au sérieux à Bruxelles. L’exécutif européen demande alors à l’ENISA (l’agence européenne de cybersécurité) de revoir l’EUCS, ce qui a conduit à une nouvelle version édulcorée début 2024 de ce schéma (sans « High + »). Une version qui « pourrait à terme porter des risques insupportables de nature économique, géopolitique et juridique », écrit la CSNP. Car sans cet EUCS avec immunité, l’Europe pourra très difficilement « sortir de cette situation de dépendance croissante vis-à-vis des opérateurs américains », poursuit-elle.
Les pro ou contre l’immunité aux lois extraterritoriales
Dans ce débat, on trouve d’un côté ceux qui plaident pour inclure des critères de « souveraineté », en intégrant une immunité aux « lois extraterritoriales » pour le niveau le plus élevé de l’EUCS, (« High + »). Les lois extraterritoriales désignent une loi chinoise de 2017, ou encore la section 702 de la loi FISA américaine qui s’appliquent respectivement aux fournisseurs de cloud chinois (Huawei, Alibaba, Tencent) ou américains (AWS, Azure ou Google Cloud). Elles obligent ces sociétés à partager avec les agences de renseignement, si elles le demandent, les données des Européens. Y compris lorsque ces data sont hébergées en Europe.
À lire aussi : Frédéric Pierucci, ex-dirigeant d’Alstom : « réfléchissez à deux fois avant d’utiliser des outils numériques américains »
De l’autre, des pays ou des entreprises militent au contraire pour supprimer cette condition. Ce qui comprend les États-Unis, inquiets de voir leur accès aux données stratégiques des entreprises et des gouvernements européens coupé. Le pays est aussi préoccupé de voir ses champions du cloud mis de côté sur le marché européen – puisque ces derniers seraient exclus de l’hébergement des données les plus stratégiques et sensibles. Ce camp englobe aussi des pays européens « sensibles aux menaces de restriction des garanties de sécurité que les États-Unis leur apporte » – comme ceux dont les frontières sont très proches de la guerre en Ukraine, et tous les secteurs économiques qui dépendent du marché américain.
Une différence de conception juridique US/UE
Le problème est que dans cette affaire, on mélange la lutte contre le terrorisme et l’espionnage économique, explique en substance la Commission qui déplore la confusion entre « les besoins légitimes des États-Unis en matière de lutte contre le terrorisme et le crime international, et les risques que peuvent engendrer les activités abusives d’intelligence économique à l’encontre des entreprises européennes visant à avantager leur économie ». L’organisme revient aussi sur la différence de conception du droit américain et européen en la matière.
D’un côté, les États-Unis vont avoir tendance à privilégier la sécurité nationale, pendant que l’Europe fait primer les droits individuels, la collecte de données ne pouvant être que « proportionnelle et nécessaire ». Autant de points qui pourraient rendre le nouveau socle de règles encadrant les transferts de données personnelles entre les deux pays potentiellement invalide. Ce dernier est composé désormais du ‹« Data Privacy Framework » annoncé en juillet 2023, venant remplacer le « Privacy Shield » invalidé par la justice européenne en 2020.
À lire aussi : Comment l’Europe a abandonné vos données personnelles aux espions américains
« Si les autorités européennes estiment que les principes de proportionnalité et de nécessité ne sont pas appliqués selon les standards du RGPD, elles pourraient contester la validité du Data Privacy Framework. Un tel désaccord pourrait entraîner une nouvelle invalidation de l’accord, comme ce fut le cas pour le Privacy Shield. Ce risque met en lumière les défis inhérents à l’harmonisation des normes de protection des données entre deux systèmes juridiques qui, bien que partenaires, sont fondamentalement différents », écrit la Commission parlementaire.
Que va devenir le SecNumCloud ?
Autre problème soulevé par la CSNP : l’avenir du SecNumCloud, le référentiel de cybersécurité franco-français qui intègre bien aujourd’hui « des critères techniques et juridiques d’immunité des services cloud aux législations non européennes à portée extraterritoriale », un référentiel utilisé pour nos données les plus sensibles et stratégiques comme les données de santé ou les données des ministères.
Or, si l’EUCS est adopté dans une version moins exigeante que le SecNumCloud, donc sans critères d’immunité, l’Hexagone devra vraisemblablement délaisser la norme française au profit de la norme européenne. « L’incertitude juridique demeure, mais il est fort probable que l’adoption de l’EUCS, qu’il intègre ou non le niveau High+, rendrait caduque le référentiel SecNumCloud », écrit la Commission. Exit donc la doctrine « Cloud au centre » du gouvernement qui impose pour les données stratégiques étatiques ou d’entreprises une immunité à ces lois – une protection jugée pourtant essentielle pour les sociétés européennes.
Pour nombre d’entre elles, « le niveau de certification High+ de l’EUCS est crucial pour protéger de manière non contraignante leurs données non personnelles sensibles ou stratégiques contre les accès légaux mais indésirables des services de renseignement, notamment américains », souligne la CSNP. « Ces entreprises ne souhaitent pas une éviction des fournisseurs de services cloud américains du marché européen » poursuit-elle. Elles « affirment (cependant) qu’une partie substantielle de leurs besoins ne peut être satisfaite par ces opérateurs », écrit la Commission.
La CSNP demande du temps et des analyses pour mieux convaincre
La CSNP finit son avis en adressant plusieurs préconisations au gouvernement qui restera libre de les suivre. Elle demande à ce dernier de « faire le nécessaire auprès de la Commission européenne pour qu’elle sursoit à toute décision d’adoption de la version actuelle du schéma de certification ». Elle suggère de « demander aux différents États membres de l’UE, opposés au niveau High+, de s’expliquer sur les raisons pour lesquelles ils entendent en priver les entreprises et les administrations publiques qui en expriment le besoin en Europe ou dans leur propre pays ».
Elle demande enfin à l’exécutif français de mener une série d’analyses, dont l’une vise à battre en brèche l’argument qui consiste à dire qu’un EUCS avec un niveau High+ serait contraire aux accords de l’OMC.
Elle recommande ainsi d’analyser les « conséquences géopolitiques à moyen terme des renoncements de l’Union européenne à maintenir dans l’EUCS un niveau de type High+ », mais aussi d’approfondir le sujet des « conséquences des dépendances européennes à l’industrie américaine des services cloud et sur son impact sur la compétitivité de l’économie européenne ». Autant d’éléments qui pourraient, espère la CSNP, faire pencher la balance à Bruxelles en faveur d’un EUCS avec immunité, un « enjeu essentiel (…) d’autonomie technologique pour l’Union européenne ».
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Avis n°2024-05 du 4 septembre 2024 sur les enjeux politiques et économiques du schéma EUCS