L'Allemagne appelle à une discussion politique sur le système européen de certification du cloud
L’Allemagne a demandé à la Commission une discussion politique sur les exigences de souveraineté pour lesquelles l’exécutif européen a fait pression afin de les inclure dans le système européen de certification du cloud en matière de cybersécurité.
L’Allemagne a demandé à la Commission européenne une discussion politique sur les exigences de souveraineté pour lesquelles l’exécutif européen a fait pression afin de les inclure dans le système européen de certification du cloud en matière de cybersécurité, selon une lettre consultée par EURACTIV.
La lettre datée de lundi (19 septembre) est signée par Andreas Könen, Daniela Brönstrup et Ben Brake, les directeurs généraux des ministères allemands de l’Intérieur, de l’Économie et du Numérique, respectivement. Elle est adressée à Roberto Viola, le directeur général du département Numérique de la Commission.
« Étant donné que la discussion a également atteint une dimension politique, nous constatons une forte demande commune pour discuter de la question de la transparence du processus d’élaboration ainsi que de la nécessité et du type de mise en œuvre de ces exigences en matière d’immunité ou de souveraineté », indique la lettre.
Le programme est un acte d’exécution de la loi sur la cybersécurité et vise à établir une certification à grande échelle de l’UE avec plusieurs niveaux de garantie. Bien que le système soit volontaire, le niveau élevé de garantie devrait devenir obligatoire pour les services essentiels énumérés dans la directive relative à la sécurité des réseaux et des systèmes d’information (NIS2).
C’est précisément en raison de ce niveau élevé de garantie que la Commission a demandé à l’Agence de l’Union européenne pour la cybersécurité (ENISA), l’organisme responsable de la conception du système, d’ajouter des exigences de souveraineté au système afin de garantir une immunité vis-à-vis des juridictions étrangères.
Dans une version préliminaire évoquée par EURACTIV en juin, le dispositif incluait une immunité contre toute forme d’accès non européen en exigeant que les fournisseurs de services de cloud soient non seulement basés en Europe, mais aussi qu’ils ne soient pas sous contrôle d’entités non européennes.
Cette approche a suscité de vives critiques de la part d’un nombre grandissant de pays de l’UE. En juillet, le Danemark, l’Estonie, la Grèce, l’Irlande, les Pays-Bas, la Pologne et la Suède ont diffusé un document informel faisant état de « fortes préoccupations » concernant ces exigences.
Le raisonnement est que l’approche de la Commission, qui s’inspire du système français dénommé SecNumCloud, limiterait la concurrence des sociétés non européennes, principalement des hyperscalers américains — les exploitants de centres de calcul à grande échelle proposant des services de cloud évolutifs – même si ces derniers peuvent offrir un niveau de cybersécurité identique, voire supérieur.
Des craintes similaires ont été soulevées par 14 des experts du groupe de travail spécial de l’ENISA sur les services de cloud, qui, dans une lettre ouverte datant également de juillet, ont remis en question le processus ayant conduit à l’inclusion de ces exigences dans le système.
En effet, une partie importante des critiques soulignait que la Commission tentait d’inclure des critères politiques dans ce qui est supposé être un outil technique. Cela se reflète notamment dans l’organe chargé de discuter du système, le Groupe européen de certification du cloud, qui est composé d’experts nationaux.
À l’inverse, les principaux fournisseurs européens de services de cloud, ainsi que la France, l’Italie et l’Espagne, se sont prononcés en faveur des exigences de souveraineté. Ils affirment que l’infrastructure de données est une dimension essentielle de la souveraineté technologique et que ces mesures contribueraient à rééquilibrer le marché du cloud.
Le groupe devait discuter du projet de système en septembre. Cependant, la discussion a été reportée en raison de l’intensification des critiques à l’encontre de l’approche de la Commission, notamment de la part de l’Allemagne, qui serait de plus en plus partagée sur la question.
La nouvelle lettre de l’Allemagne pourrait faire pencher la balance en faveur de ceux qui réclament un débat politique, puisqu’elle demande instamment que le projet soit soumis au Groupe horizontal « Questions liées au cyberespace » (Cyber) ou au Groupe « Télécommunications et société de l’information ».
Il importe de noter que la lettre précise que les représentants des États membres pourront « tenir compte également de la perspective de la politique économique », impliquant ainsi que cette question n’est pas destinée à être traitée par des experts en cybersécurité.
Plus exactement, le gouvernement allemand considère que les éventuelles implications des exigences de souveraineté en matière de politique commerciale devraient figurer à l’ordre du jour. Le projet a attiré l’attention outre-Atlantique, où il est considéré comme une mesure protectionniste.
Les points dont Berlin souhaite discuter sont, entre autres, une explication du champ d’application et des catégories des entités qui, selon l’ENISA, tomberont sous ou hors du champ d’application du système, les alternatives possibles avec une analyse coût/bénéfice, l’impact potentiel sur les utilisateurs et les fournisseurs et les implications sur la directive NIS2.
