Système de certification cloud : les États membres cherchent un compromis sur les exigences de souveraineté
Un document conjoint obtenu par EURACTIV détaille six scénarios possibles pour répondre aux exigences en matière de souveraineté dans le prochain système de certification pour les fournisseurs de cloud.
Un document conjoint obtenu par EURACTIV détaille six scénarios possibles pour répondre aux exigences en matière de souveraineté dans le prochain système de certification pour les fournisseurs de cloud.
La Commission européenne a fait pression pour inclure des exigences de souveraineté dans le système de certification de la cybersécurité pour les services cloud (Cybersecurity Certification Scheme for Cloud Services, EUCS), le premier certificat dans le cadre du règlement européen sur la cybersécurité (Cybersecurity Act).
Ces exigences en matière de souveraineté ont pour objectif de maintenir les données de l’UE hors de portée des juridictions étrangères. Pour ce faire, elles imposent notamment la localisation des centres de données européens, une immunité vis-à-vis des lois et des conditions extraeuropéennes pour les personnes ou les organisations qui contrôlent le fournisseur de services cloud.
Bien que le système ne soit pas obligatoire en soi, son niveau de garantie « élevé » pourrait devenir obligatoire pour des secteurs tels que les opérateurs d’énergie et les banques, considérés comme hautement critiques en vertu de la directive sur la sécurité des réseaux et des systèmes d’information (SRI2) récemment révisée.
Les Pays-Bas et d’autres petits États membres se sont opposés au projet, tandis que la France, l’Italie et l’Espagne se sont ralliées à l’initiative du commissaire européen au Marché intérieur Thierry Breton en faveur de la « souveraineté technologique ». Les deux camps ont discuté d’un compromis potentiel au cours des dernières semaines.
Le document conjoint, daté du 23 janvier, a été élaboré dans ce contexte de désaccords, puisqu’il présente six scénarios destinés à susciter des réactions de la part des autres États membres. Le document officieux indique que les discussions futures devraient impliquer les acteurs du marché et prendre en compte l’effet des critères de souveraineté sur les futurs régimes.
En outre, il invite la Commission à évaluer l’impact économique potentiel de ces exigences et à déterminer dans quelle mesure elles seraient compatibles avec les règles commerciales.
Solution concernant l’indépendance vis-à-vis du droit extracommunautaire dans le cadre du système EUCS. Source : document conjoint.
Niveaux substantiel, substantiel+ et élevé
La première option consiste à créer un niveau de garantie supplémentaire dans le système en divisant en deux le niveau « substantiel » — celui qui se situe en dessous du niveau élevé (high) — ce dernier conservant les exigences en matière d’immunité. Le deuxième niveau substantiel serait essentiellement un niveau élevé sans les exigences de souveraineté.
Parmi les avantages, le document mentionne que les fournisseurs de services critiques doivent se conformer à des exigences d’immunité offrant une protection étendue contre l’accès des gouvernements étrangers, que les exigences techniques initiales seraient maintenues et que le système EUCS resterait comparable à des systèmes similaires.
Au chapitre des inconvénients, le champ d’application est jugé trop large car il pourrait devenir obligatoire dans le cadre de la directive SRI2. L’impact sur le marché reste incertain, le nombre de fournisseurs de services cloud au niveau « élevé » resterait limité et il pourrait y avoir des incohérences avec le règlement sur la cybersécurité.
Niveau élevé+ (utilisations critiques)
Une autre option consisterait à diviser le niveau de garantie supérieur, en créant un niveau « élevé » sans critères d’immunité et un niveau « élevé+ » avec des exigences. Ce niveau « élevé+ » s’appliquerait à des utilisations critiques spécifiques qui feraient l’objet d’une auto-évaluation par les utilisateurs sur la base de lignes directrices générales.
L’avantage de cette approche est qu’elle serait plus ciblée, les critères d’immunité étant limités aux types de données qui nécessitent cette protection. Les autres utilisateurs seraient quant à eux en mesure d’identifier les services cloud offrant un niveau élevé de cybersécurité, ce qui apporterait une plus grande clarté au marché.
L’inconvénient est similaire au premier scénario, notamment en ce qui concerne le caractère imprécis et la cohérence juridique. De plus, « il ne couvre pas tous les niveaux de garantie et pourrait rendre le niveau de garantie “élevé” peu pertinent », peut-on lire dans le document.
Profils d’extension
La troisième possibilité est de créer des profils d’extension qui introduisent les critères de souveraineté, indépendamment des niveaux de garantie, pour l’utilisation du cloud dans des secteurs spécifiques, comme la santé ou l’armée.
Étant donné que la plupart des fournisseurs de l’UE ne disposent toujours pas des ressources nécessaires pour atteindre le niveau de garantie « élevé », cette option leur conférerait un avantage concurrentiel par rapport aux concurrents étrangers, car elle s’appliquerait à tous les niveaux de garantie. En outre, cette alternative offre une certaine flexibilité et une approche au cas par cas déterminée par le client.
Toutefois, le document note également que les critères d’immunité seraient nécessaires pour protéger les données sensibles, qui ne seraient pas suffisamment protégées par les niveaux de garantie « élémentaire» (basic) et « substantiel ».
Cinq niveaux d’évaluation
La quatrième option combine les deux premières, en créant des sous-niveaux pour les niveaux « élevé » et « substantiel ». Le point positif de cette approche réside dans le fait qu’elle offre tous les avantages des profils d’extension tout en étant plus facile à communiquer et à mettre en œuvre.
Le document conjoint réitère néanmoins les préoccupations relatives au caractère imprécis, à la nature obligatoire, au manque de flexibilité, aux défis juridiques et au manque de cohérence avec les autres systèmes de certification.
Évaluation de la fiabilité
Une alternative proposée se situe en dehors du champ d’application du règlement sur la cybersécurité et consisterait à introduire un mécanisme d’évaluation européen basé sur la fiabilité pour les opérateurs et les fournisseurs de services cloud non européens en tant que condition préalable à leur entrée sur le marché unique.
L’évaluation pourrait être basée sur des critères de sécurité et de législation, tels que la législation extraterritoriale, les transferts de données et la conformité aux règles européennes de protection des données. La loi allemande sur la sécurité informatique 2.0 et les profils de risque de la boîte à outils pour la sécurité des réseaux 5G sont mentionnés comme des éléments élémentaires potentiels.
Cette approche n’affecterait pas la certification technique, laissant ainsi un maximum de flexibilité pour personnaliser les exigences de nature politique. Elle retarderait néanmoins davantage le processus puisqu’une nouvelle initiative serait nécessaire.
D’autres inconvénients résident dans le fait que le champ d’application peut difficilement être à l’épreuve du temps, que la compatibilité avec les accords commerciaux devrait être évaluée, que les choix des utilisateurs pourraient être limités et que cela créerait une incertitude pour les fournisseurs non européens.
Intégration par la conformité
La dernière idée serait d’introduire les exigences en matière d’immunité dans la législation européenne, comme le règlement sur les données (Data Act), qui comprend déjà des dispositions sur les transferts internationaux de données.
Les critères ne figureraient donc pas dans le système lui-même, mais pour en bénéficier, les fournisseurs de services cloud devraient apporter la preuve de leur conformité avec la législation correspondante.
Les avantages mentionnés sont que ces critères feraient l’objet d’un débat politique, que le système EUCS pourrait progresser et que l’approche pourrait être ciblée et appliquée à tous les niveaux de garantie et aux futurs systèmes.
Ce scénario nécessiterait néanmoins une modification des législations actuelles ou à venir afin d’y ajouter la dimension d’immunité, et cela allongerait considérablement le délai.
[Édité par Anne-Sophie Gayet]
