Les fournisseurs européens de services cloud appellent à « ne pas céder à la pression » concernant les exigences de souveraineté
Les fournisseurs européens de services cloud veulent faire front commun alors que l’Agence de l’Union européenne pour la cybersécurité (ENISA) doit présenter son nouveau système de certification.
Les fournisseurs européens de services cloud veulent faire front commun alors que l’Agence de l’Union européenne pour la cybersécurité (ENISA) doit présenter son nouveau système de certification visant à garantir que les services sont imperméables aux lois extraterritoriales, en dépit d’une forte opposition.
L’ENISA devrait présenter sa recommandation finale pour le système européen de certification de la cybersécurité pour les services cloud (EUCS) en septembre, et les fournisseurs européens de services cloud demandent aux États membres, à la Commission européenne et à l’agence de cybersécurité de l’UE de ne pas se détourner des exigences en matière de souveraineté.
Dans une lettre envoyée à l’ENISA lundi (11 juillet) et consultée par EURACTIV, les 34 signataires, parmi lesquels on retrouve les Français OVHcloud, OUTSCALE et Clever Cloud, ont écrit que le dispositif « est une occasion unique de démontrer votre engagement à garantir la transparence, la confiance et la sécurité sur le marché européen du cloud et des données ».
« Nous ne devons pas céder à la pression de ceux qui ont tendance à promouvoir leurs propres intérêts économiques au détriment de l’application des lois européennes et de la protection des organisations et des citoyens européens », ont-ils poursuivi.
Le projet de certification, consulté par EURACTIV, établit trois niveaux de garantie, avec des exigences de souveraineté sur la localisation des données européennes et l’immunité vis-à-vis du droit étranger incluses pour le plus élevé.
Cependant, face à la forte opposition de certains États membres et acteurs privés, les acteurs européens ne veulent pas lâcher prise. Ils basent leur discours sur trois arguments.
Premièrement, les signataires considèrent qu’une certification incluant une imperméabilité face aux lois extraterritoriales est un moyen de répondre aux attentes juridiques découlant de l’invalidation du bouclier de protection des données (Privacy Shield).
Ils font également valoir que ce schéma permettrait de répondre aux inquiétudes des utilisateurs et de renforcer la confiance dans les acteurs certifiés alors que la souveraineté des données devient un enjeu vital pour les clients.
« Un tel dispositif nous fournit un cadre pour choisir en connaissance de cause les services cloud, en fonction du niveau de sensibilité de nos données », écrivent-ils.
Enfin, les fournisseurs européens estiment que cela contribuerait à rendre les règles du jeu équitables, car près des trois quarts du marché sont actuellement captés par trois géants américains, à savoir Amazon, Google et Microsoft.
« Un système de certification unique et harmonisé applicable dans tous les États membres de l’UE sera donc plus facilement adopté par nous et contribuera à rendre le marché du cloud plus équitable », car les petits acteurs du cloud, qui disposent de moins de ressources humaines et financières, ne peuvent pas se permettre de se conformer à une série de certifications complémentaires, estiment-ils.
Un système unique renforcera la compétitivité sur le marché européen, ajoutent-ils, « en donnant accès à tous les marchés par une certification unique ».
Puisque les signataires « sont tous convaincus de l’importance vitale de faire progresser l’ensemble de l’écosystème européen », ils misent également sur la solidarité et s’engagent à accompagner les petits fournisseurs cloud pour qu’ils se conforment à ces exigences.
