La France s’interroge sur la dernière version du système de certification cloud européen
Selon une lettre envoyée au service juridique du Conseil, qui a fait l’objet d’une fuite, la France a exprimé des réserves concernant la dernière version du système de certification cloud de l’UE (EUCS).
Selon une lettre envoyée au service juridique du Conseil, qui a fait l’objet d’une fuite, la France a exprimé des réserves concernant la dernière version du système de certification cloud de l’UE (EUCS), qui autoriserait les États membres à établir des exigences nationales en termes de souveraineté sur le niveau cyber le plus élevé du système.
L’EUCS vise à harmoniser les exigences en matière de sécurité cloud dans l’UE. La dernière proposition de l’agence européenne de cybersécurité ENISA, consultée par Euractiv, propose une approche à trois niveaux.
Il n’est pas clair quelle autorité française a rédigé la lettre rendue publique par l’ancien éditeur tech d’Euractiv, Luca Bertuzzi. Cependant, c’est généralement la représentation permanente du pays auprès de l’UE qui s’adresse au service juridique du Conseil.
La représentation permanente française a refusé de commenter la lettre.
Exigences supplémentaires
Les responsables politiques français font pression pour inclure des exigences supplémentaires par-dessus les 2 000 exigences de cybersécurité du troisième niveau du nouveau système de certification cloud de l’UE.
Ces exigences de souveraineté obligeraient les entreprises à avoir leur siège dans un État membre de l’UE à obtenir le plus haut niveau de certification pour être autorisées à vendre des services à des entités publiques ou privées qui traitent des données hautement sensibles.
Les responsables affirment qu’il est important de protéger les données européennes d’importance stratégique de la portée extraterritoriale des lois américaines et chinoises.
L’Allemagne a d’abord soutenu la proposition, avant de changer de position pour rejoindre l’Irlande, la Slovaquie, les Pays-Bas et d’autres petits pays qui s’y sont opposés.
Selon ces pays, ces exigences de souveraineté empêcheraient les petits pays d’accéder aux meilleurs services cloud, puisque la plupart sont fournis par des entreprises basées aux États-Unis.
Pour concilier ces deux points de vue opposés, la dernière proposition de l’EUCS permet aux pays de fixer leurs propres normes en plus de celles prescrites par le système.
Cela permettrait à la France et aux autres États membres de fixer leurs propres exigences en matière de souveraineté.
Cependant, dans le document fuité, les Français semblent également s’opposer à cette solution de compromis.
Ils cherchent à clarifier certains points clés du dernier projet de l’EUCS, qui s’étendent au-delà du système de certification lui-même.
Selon la lettre, le service juridique de la Commission européenne a informé les États membres que le règlement sur la cybersécurité de 2019 (CSA) ne couvre pas la portée extraterritoriale des lois des pays non membres de l’UE. Le CSA a notamment promu des systèmes de certification en cybersécurité, à l’instar de l’EUCS.
Les auteurs français de la lettre demandent au service juridique de confirmer cette évaluation du CSA.
Ils demandent également si le règlement sur la cybersécurité et l’EUCS visent effectivement à unifier les normes plutôt qu’à les diviser, ce qui pourrait sous-entendre que la solution actuelle entraînerait une fragmentation des règles dans l’ensemble de l’Union.
La France tente d’affirmer ses capacités à établir ses propres exigences en matière de souveraineté, même si celles-ci ne sont pas intégrées dans l’EUCS. Elle souhaite également aller au-delà des questions de sécurité nationale, en mettant en œuvre les critères les plus stricts « dans des cas très spécifiques […] concernant certaines catégories de données sensibles ».
Les fournisseurs de services cloud et les grandes entreprises de l’UE ont également fait valoir que la dernière proposition entraînerait une fragmentation du marché.
