Un projet de système de certification de la cybersécurité pour les services cloud (EUCS) est en cours de discussion au sein de la Commission européenne, de l’Agence européenne de cybersécurité (ENISA), et des pays membres de l’UE. Ce système ne devrait pas discriminer les géants technologiques américains tels qu’Amazon, Google, et Microsoft, selon un avertissement émis lundi par 26 groupes industriels à travers l’Europe.
L’EUCS a été conçu pour aider les gouvernements et les entreprises à choisir des fournisseurs de services cloud sécurisés et fiables. Le secteur mondial du cloud computing génère des milliards d’euros de revenus annuels et connaît une croissance à deux chiffres. La certification a pour objectif de renforcer la sécurité et la résilience des services cloud en Europe.
Des changements et des préoccupations en conséquence
Depuis que l’ENISA a dévoilé le projet initial en 2020, plusieurs modifications ont été apportées. La version de mars a supprimé les exigences de souveraineté de la proposition précédente, qui obligeaient les entreprises américaines à créer une coentreprise ou à collaborer avec une entreprise basée dans l’UE pour traiter et stocker les données des clients dans le bloc. Ces exigences étaient nécessaires pour se qualifier pour le niveau le plus élevé du label de cybersécurité de l’UE.
Les groupes industriels européens ont exprimé leur soutien à un EUCS inclusif et non discriminatoire. Dans une lettre conjointe aux pays de l’UE, ils ont déclaré : « Nous pensons qu’un EUCS inclusif et non discriminatoire qui soutient la libre circulation des services cloud en Europe aidera nos membres à prospérer au pays et à l’étranger, à contribuer aux ambitions numériques de l’Europe et à renforcer sa résilience et sa sécurité. »
Importance de l’inclusivité
Les signataires de la lettre ont souligné que la suppression des exigences relatives aux contrôles de propriété et à la protection contre l’accès illégal garantit que les améliorations de la sécurité du cloud s’alignent sur les meilleures pratiques de l’industrie et les principes non discriminatoires. Ils ont insisté sur le fait qu’il est crucial pour leurs membres d’avoir accès à une gamme diversifiée de technologies cloud résilientes, adaptées à leurs besoins spécifiques, afin de prospérer sur un marché mondial de plus en plus concurrentiel.
Parmi les signataires de la lettre figurent la Chambre de commerce américaine de l’UE en République tchèque, en Estonie, en Finlande, en Italie, en Norvège, en Roumanie et en Espagne, ainsi que la Fédération européenne des institutions de paiement. D’autres organisations telles que la Confédération tchèque de l’industrie, l’industrie Dansk du Danemark, l’Association allemande Bundesverband deutscher Banken, la Digital Poland Association, le groupe de pression des entreprises irlandais IBEC, NL Digital des Pays-Bas, et l’Association espagnole des start-up ont également signé cette lettre.
En revanche, certains fournisseurs de cloud de l’UE, tels que Deutsche Telekom, Orange, et Airbus, ont fait pression pour le maintien des exigences de souveraineté dans l’EUCS. Ils craignent que les gouvernements non européens puissent obtenir un accès illégal aux données des Européens en vertu de leurs lois nationales.
Les discussions se poursuivent donc au sein de l’UE pour finaliser un système de certification de la cybersécurité pour les services cloud qui soit à la fois sécurisé et non discriminatoire. L’enjeu est de trouver un équilibre entre la protection des données européennes et la promotion de la libre circulation des services cloud, tout en répondant aux préoccupations de tous les acteurs impliqués.