La Commission tarde à accorder une pleine autonomie au nouveau centre pour la cybersécurité

La Commission européenne a reporté la nomination d’un directeur exécutif permanent de son nouvel organe de cybersécurité afin de conserver un contrôle partiel sur l’organisation, ont déclaré plusieurs sources diplomatiques de l’UE à EURACTIV.

Le Centre européen de compétences en matière de cybersécurité (CECC) a récemment été mis en place à Bucarest afin de renforcer les capacités de l’Europe en matière de cybersécurité. Cependant, le centre est toujours sous la coupe de la Commission européenne, ce qui l’a jusqu’à présent empêché d’atteindre une autonomie complète.

« C’est un problème du type “l’œuf et la poule”, car tant que le CECC n’a pas de directeur exécutif permanent, il n’est pas autonome vis-à-vis de la Commission. Or, la Commission est chargée de pourvoir ce poste, ce qu’elle ne cesse de retarder », a déclaré à EURACTIV Dan Cimpean, le représentant roumain du conseil d’administration du CCEC.

Bien que la Commission ait annoncé le poste vacant à la fin de l’année dernière, elle a annulé de manière inattendue la procédure de candidature. À la place, l’exécutif européen a nommé un directeur exécutif intérimaire, Miguel Gonzalez-Sancho, un cadre intermédiaire de la Commission spécialiste de la cybersécurité.

Selon un autre membre du conseil d’administration du CECC qui a parlé à EURACTIV sous couvert d’anonymat, M. Gonzalez-Sancho remplit toutes les missions prévues pour le directeur exécutif permanent.

« Bien sûr, tout le monde aimerait que la nomination d’un directeur permanent se fasse plus rapidement. Cependant, c’est entre les mains de la Commission », a ajouté le membre du conseil d’administration.

La raison du retard

Le CECC et le réseau associé de centres de coordination nationaux visent à renforcer les capacités européennes en matière de cybersécurité et à promouvoir la recherche, la sensibilisation et l’innovation dans ce domaine.

Il devrait y parvenir en gérant les fonds de cybersécurité des programmes Europe numérique et Horizon Europe, ainsi que les fonds supplémentaires fournis par les États membres de l’UE.

Le centre doit également gérer le Fonds d’urgence pour la cybersécurité, qui a été créé à la suite d’une réunion informelle des ministres européens des Télécommunications à Nevers, en France, le mois dernier. Ce nouveau fonds est destiné à préparer les États membres à faire face à des cyberattaques de grande ampleur, notamment en finançant des tests d’intrusion et des cyberattaques simulées servant à déterminer les failles.

La Commission a été chargée de la mise en place et de la gestion du centre, l’objectif étant qu’il fonctionne de manière autonome. Toutefois, selon une source diplomatique de l’UE, le report de la nomination du nouveau directeur exécutif permet à l’exécutif de l’UE de garder le contrôle sur ces financements.

La procédure reportée

M. Cimpean a déclaré qu’il s’attendait à des tensions entre la Commission et les États membres, qui contrôlent et cofinancent le CECC. La Roumanie figure en tête de liste des gouvernements mécontents, étant donné qu’elle accueille l’organe de l’UE.

« Il ne semble pas que la Commission européenne soit très motivée pour céder le CECC. Le conseil d’administration est mécontent, c’est le moins que l’on puisse dire », a déclaré M. Cimpean.

La prochaine réunion du conseil d’administration devrait avoir lieu à la mi-juin. Toutefois, il est peu probable que la procédure de candidature ait été relancée et ait atteint le stade où le conseil d’administration pourra choisir le candidat final d’ici là, ce qui signifie que la nomination sera probablement reportée à une nouvelle réunion du conseil d’administration vers la fin de 2022.

Le processus de nomination du directeur exécutif prend beaucoup de temps. Il faut d’abord annoncer une position vacante. Après la date limite, il y a un processus de sélection approfondi, suivi de la création d’une liste restreinte de candidats. Pour un poste de si haut niveau, les commissaires Thierry Breton et Margrethe Vestager décident ensuite des candidats finaux présentés au conseil d’administration.

Le conseil d’administration, qui ne se réunit que quelques fois par an, devrait décider à une majorité de 75 %, ce qui complique encore la nomination.

« Lors de la dernière procédure de candidature, les candidats finaux n’ont même pas été transmis aux commissaires ou au conseil d’administration. La procédure avait été annulée avant, à la mi-février », a déclaré M. Cimpean.

Manque de transparence

Les États membres ont déploré que le service compétent de la Commission, à savoir la Direction générale des ressources humaines et de la sécurité, ait traité cette procédure de manière non transparente.

L’arrêt du processus de candidature a été vaguement justifié en invoquant un équilibre femmes-hommes insatisfaisant. Un porte-parole de la Commission a déclaré à EURACTIV que la procédure « sera rouverte dans les semaines à venir, dans le but d’obtenir une réserve de candidats plus large et équilibrée en termes de parité. »

Répondant à la demande d’EURACTIV de voir le nombre concret de candidatures reçues et les proportions respectives de femmes et les hommes, le porte-parole a répondu qu’aucun autre détail ne pouvait être fourni « afin de protéger les procédures décisionnelles de la Commission ainsi que les données personnelles. »

« En fait, je connais moi-même un certain nombre de candidats féminins compétents », a déclaré M. Cimpean. Il pense donc que la Commission européenne retarde délibérément la nomination et, par conséquent, l’opérationnalité autonome du CECC.

Par ailleurs, le diplomate européen a également déclaré connaître des candidates bien qualifiées pour le poste. EURACTIV a tenté de joindre certaines candidates, mais elles ont toutes refusé de commenter.

« En réalité, nous avons besoin d’un nouvel intervenant. Il est inadmissible que la Commission freine le CECC. C’est également une question de prestige national pour le pays hôte, la Roumanie, qui veut enfin commencer à renforcer la cybersécurité », a déclaré M. Cimpean.