Les Pays-Bas rassemblent les opposants à la certification cloud européenne
La coalition menée par La Haye contre la tentative de la Commission européenne d’inclure certaines exigences de souveraineté dans la certification européenne de services cloud (EUCS) compte désormais 12 pays de l’UE, qui ont collectivement rendu des avis négatifs sur la dernière version du projet.
La coalition menée par La Haye contre la tentative de la Commission européenne d’inclure certaines exigences de souveraineté dans la certification européenne de services cloud (EUCS) s’est élargie et compte désormais 12 pays de l’UE, dont l’Allemagne, qui ont collectivement rendu des avis négatifs sur la dernière version du projet.
Les ministres des Pays-Bas, de la Pologne, de l’Allemagne, de l’Irlande, de la Roumanie, de la République tchèque, de la Finlande et de l’Estonie ont pris la parole lors du Conseil « Transport, télécommunications et énergie » (TTE) du mardi (5 décembre), pour critiquer la tentative de la Commission d’inclure des exigences de souveraineté dans le système de certification.
« Nous pensons qu’il est nécessaire d’attirer l’attention du Conseil sur ce sujet aujourd’hui », a déclaré Alexandra van Huffelen, secrétaire d’État néerlandaise en charge du numérique, lors de l’ouverture des débats.
« Les exigences de souveraineté incluses dans le système de certification risquent de créer une concurrence déloyale entre les États membres de l’UE et pourraient également entraîner une barrière à l’entrée du marché, ce qui pourrait avoir un impact négatif sur nos partenariats stratégiques avec des pays tels que les États-Unis et le Japon », a-t-elle ajouté.
Au cours de la discussion ministérielle, Ivan Bartoš, vice-premier ministre tchèque chargé de la digitalisation, a laissé entendre qu’une autre manière de trouver un compromis consisterait à utiliser les décisions d’adéquation des données, signées dans le cadre du règlement général sur la protection des données (RGPD), afin d’identifier les pays tiers de confiance.
Ce débat au eu lieu lors de la discussion de la révision du règlement sur la cybersécurité (Cyber Resilience Act, CRA), qui pose la base juridique des certifications cloud, proposé dans le cadre du règlement sur la cybersolidarité (Cyber Solidarity Act), qui a ouvert une brèche dans laquelle se sont engouffrés les insatisfaits pour critiquer la manière dont la Commission européenne a géré les négociations de la certification cloud européenne de l’EUCS.
Au Parlement européen, les eurodéputés ont voté en faveur de la transformation de la procédure d’adoption des systèmes de certification cloud d’un acte d’exécution en un acte délégué, ce qui donne aux députés européens le pouvoir d’apposer leur veto au projet final.
« La Commission nie toujours son rôle dans ce processus : elle a délibérément politisé un système technique, ce qui a provoqué des réactions négatives tant au sein du Conseil qu’au Parlement. La question est maintenant de savoir si la Commission est prête à se rapprocher des autres institutions, à jouer un rôle de courtier honnête », a déclaré à Euractiv Bart Groothuis, eurodéputé néerlandais à l’origine de l’amendement.
Inclure des exigences de souveraineté au sein de la certification cloud européenne est fortement défendu par la France et son commissaire, Thierry Breton. Ces deux acteurs ont été pratiquement été les seuls à défendre de telles exigences au cours de la discussion ministérielle. Bien que le système EUCS soit volontaire, il pourrait être rendu obligatoire pour certaines entités, ce qui exclurait les hébergeurs cloud non européens d’une grande partie du marché européen.
Il y a deux semaines, Euractiv révélait une nouvelle version de la certification cloud, contenant des exigences quelque peu édulcorées, et présentées au Groupe européen de certification de cybersécurité (GECC) le 20 novembre.
Lors de cette réunion, la Commission européenne a fait part de son intention de présenter la dernière version de la certification cloud européenne en décembre. Cependant, le compromis proposé ne satisfait pas encore les pays sceptiques.
Par conséquent, les pays susmentionnés, ainsi que la Grèce, la Suède, la Lettonie et la Slovaquie, ont partagé leurs avis sur le dernier projet daté du 1er décembre qu’Euractiv a pu consulter.
Ces pays se sont plaints que le délai pour fournir des commentaires était trop court pour analyser le compromis en profondeur. Par conséquent, les avis sont considérés comme incomplets, et la possibilité de conclure les discussions d’ici la fin de l’année est jugée irréaliste.
Les 12 gouvernements demandent qu’une consultation publique soit menée sur la version actuelle du projet de certification cloud européenne, étant donné que la consultation de 2020 était basée sur une version qui n’incluait pas les exigences de souveraineté.
« Soyez conscients que le marché [du cloud] n’est pas préparé à l’EUCS, car les versions ne sont pas partagées publiquement avec les parties prenantes », peut-on lire dans les avis.
Les États membres critiquent également l’analyse coûts-bénéfice qui sert de base au projet de certification, car l’analyse se concentre sur des aspects quantitatifs sans aborder l’impact spécifique qu’auront des exigences de souveraineté, transformées en mesure bouclier contre l’accès illégal aux données de l’UE.
Les avis comprennent une demande d’analyse juridique des critères de souveraineté pour le niveau d’assurance le plus élevé, en particulier en ce qui concerne le concept de contrôle d’entité juridique par une société parente non européenne.
Le document critique l’idée d’utiliser des exigences de souveraineté pour aborder la conformité avec d’autres réglementations, l’introduction des exigences de souveraineté au sein des différents niveaux de sécurité, et les mentions des secteurs de la défense et des marchés publics, normalement exclus du champ d’application du règlement sur la cybersécurité.
Les signataires soulignent également le potentiel impact économique de ces critères de souveraineté, qui rendraient le système moins flexible face à de futurs changements et introduiraient de complexifierait la tâche pour les autorités nationales de certification en matière de cybersécurité. En effet, les critères de souveraineté requièrent des compétences juridiques spécifiques.
En outre, les pays concernés souhaiteraient que le système fasse référence à deux normes techniques en cours d’élaboration au sein de l’association de standardisation CEN-CENELEC sur les critères de cybersécurité et la méthodologie d’évaluation.
Le document conteste l’absence de spécification des services cloud secondaires, l’utilisation de la notion de surveillance automatisée, car elle a été retirée du CEN-CENELEC et d’autres concepts développés par les organismes de standardisation.
« D’après l’analyse comparée de la réponse de l’Agence de l’Union européenne pour la cybersécurité (ENISA) sur les commentaires de la version antérieure du projet avec le texte du projet actuel, nous avons constaté qu’un certain nombre de commentaires ont été confirmés bien qu’ils n’aient pas encore été traités », peut-on lire dans le document.
[Édité par Théophane Hartmann]
