Cloud : le Parlement européen veut être impliqué dans la validation des certifications de sécurité
Les principaux groupes politiques du Parlement européen devraient voter en faveur d’amendements au règlement européen sur la cybersécurité qui donneraient aux eurodéputés le pouvoir de valider les certifications européennes de sécurité.
Les principaux groupes politiques du Parlement européen devraient voter en faveur d’amendements au règlement européen sur la cybersécurité (Cybersecurity Act) qui donneraient aux eurodéputés le pouvoir de valider les certifications européennes de sécurité.
Pour éviter la fragmentation du marché, une harmonisation des mécanismes européens de certification est en cours dans le cadre du Cybersecurity Act et un schéma de certification européen relatif aux prestataires de cloud (EUCS) est en cours d’élaboration.
Les amendements proposés font suite à la politisation des débats autour de ce schéma. La Commission européenne a tenté d’utiliser l’EUCS pour introduire des exigences de souveraineté, très controversées, qui excluraient de facto les fournisseurs non européens d’une grande partie du marché européen du cloud.
La France a été la première à introduire une exclusion de facto des fournisseurs étrangers de services cloud suite à la création de son référentiel SecNumCloud. Le commissaire européen au Marché intérieur, Thierry Breton, a tenté de reproduire ce référentiel au niveau de l’UE, mais il s’est heurté à une forte opposition de la part de pays plus favorables au libre-échange, comme les Pays-Bas.
« La discussion sur les certifications cloud aurait dû être technique. Depuis qu’elle est devenue politique, nous devons nous impliquer », a expliqué Bart Groothuis, l’eurodéputé libéral qui a déposé les amendements en question, conjointement avec d’autres eurodéputés influents dans le domaine.
L’un des eurodéputés à s’être rallié aux amendements est Andrus Ansip, qui était commissaire européen au Marché unique à l’époque où le Cybersecurity Act a été débattu.
Contenu des amendements
L’amendement le plus important consiste à transformer, dans le Cybersecurity Act, la manière d’adopter les certifications cloud, passant d’un acte d’exécution — dans le cadre duquel la responsabilité première de la mise en œuvre d’une législation incomberait aux États membres — à un acte délégué — un acte non législatif de portée générale adopté lorsqu’il y a une délégation de pouvoirs.
En conséquence, le Parlement européen serait habilité à approuver ou à rejeter un référentiel cloud, alors qu’il n’est pour le moment pas impliqué dans le processus.
En outre, si les amendements étaient approuvés, la Commission européenne devrait obligatoirement élaborer, conjointement avec l’Agence de l’Union européenne pour la cybersécurité (ENISA), une analyse d’impact et une consultation publique en collaboration avec les parties prenantes concernées avant de proposer une certification cloud.
Enfin, lors de l’évaluation des certifications, l’exécutif européen se verrait imposer d’évaluer l’efficacité des procédures permettant la consultation, la préparation et l’adoption des référentiels.
Les amendements proposés sont issus du compromis du Parlement sur le texte des services de sécurité gérés (Managed Security Services) et devraient être soumis à un vote au sein de la commission de l’Industrie, de la Recherche et de l’Énergie (ITRE) du Parlement européen mercredi (25 octobre).
Le Managed Security Services est une proposition de modification du Cybersecurity Act que l’exécutif européen a présenté en avril dernier.
Le cadre initial était un paquet de mesures regroupant notamment le règlement sur la cybersolidarité (Cyber Solidarity Act), qui vise à mettre en place une cyberréserve de prestataires de confiance qui peuvent aider à répondre à des cyberattaques de grande échelle.
L’idée initiale était que les prestataires de confiance auraient dû se conformer à une certification pour entrer dans cette cyberréserve et recevoir un accès privilégié à des marchés publics. Cependant, ce faisant, la Commission a ouvert la boîte de Pandore, laissant de la marge de manœuvre aux insatisfaits quant à la manière dont la Commission gérait les certifications de sécurité.
En mai, Euractiv dévoilait une nouvelle proposition législative qui proposait une nouvelle certification de sécurité, qui incluait des exigences de sécurité drastiques. Bien que ces certifications soient facultatives, la Commission pourrait les rendre obligatoires pour les organisations considérées comme vitales pour l’économie de l’UE dans le cadre de la directive sur la sécurité et les réseaux d’information NIS 2.
Cette approche multi-niveaux a été confirmée dans une nouvelle version du document diffusée en août, mais n’a pas encore permis de mettre un terme à la polémique.
Augmentation du soutien
En conséquence, l’idée de réécrire les conditions d’adoption des certifications de cybersécurité a fait son chemin au sein du Parlement européen. Suite à l’adoption du texte en commission ITRE cette semaine, il est possible qu’un vote en plénière puisse ne pas être nécessaire pour que les négociations interinstitutionnelles (les trilogues) puissent débuter.
« Dans une époque où les cybermenaces sont omniprésentes, et à la suite de la discussion en cours sur les certifications cloud et afin d’assurer une croissance durable du marché des services de sécurité, nous souhaitons envoyer un message. Le Parlement européen souhaite être impliqué, afin de s’assurer que les intérêts des citoyens de l’UE soient représentés dans le processus [d’adoption des certifications] », a expliqué Josianne Cutajar, eurodéputée socialiste en charge du dossier, à Euractiv.
Cependant, le soutien à l’amendement de M. Groothuis ne doit pas être pris pour une opposition totale aux exigences de souveraineté des référentiels cloud. Pour plusieurs eurodéputés, il s’agit plutôt d’un problème de forme que de fond avec la Commission européenne.
« Nous partageons le point de vue selon lequel cette question est devenue politique, nous voulons donc que le Parlement européen ait son mot à dire », a déclaré Angelika Niebler, eurodéputée de droite.
Par contre, M. Groothuis souhaite aller plus loin, affirmant que cette initiative crée également un précédent : « Si vous abusez d’un pouvoir de délégation, le Parlement vous le retirera ».
Pour le législateur néerlandais, l’ENISA et la Commission devraient retirer leurs exigences de souveraineté du référentiel cloud.
Le Parlement européen et le Conseil de l’UE — qui, pour rappel, est composé des ministres des États membres — ont tendance à se quereller pour savoir si les textes d’application de la loi doivent prendre la forme d’actes d’exécution ou des actes délégués.
Toutefois, dans ce cas précis, le texte des députés européens pourrait trouver un soutien au Conseil, dans la coalition des pays qui se sont jusqu’à présent opposés à l’approche de la Commission en la matière.
La Commission doit officiellement examiner le Cybersecurity Act d’ici juin 2024.
[Édité par Anne-Sophie Gayet & Théophane Hartmann]
