Discussion :

[Anthony]

Les États-Unis mettent en garde contre le projet de l'UE d'exclure les fournisseurs de cloud non européens, leurs préoccupations concernent un système de certification européen pour les fournisseurs

La Chambre de commerce américaine et 12 autres groupes ont mis en garde jeudi l'Union européenne contre l'adoption de règles qui pourraient exclure du marché européen Amazon, Google, Microsoft et d'autres fournisseurs de services de cloud non européens.

La Chambre, le Conseil national du commerce extérieur, l'Association japonaise de la nouvelle économie, techUK, l'Association Internet d'Amérique latine, l'Association de l'industrie de l'informatique et des communications et d'autres ont exposé leurs préoccupations dans une déclaration commune de l'industrie.

Cette déclaration a été envoyée aux commissaires concernés de la Commission européenne, aux gouvernements nationaux, à l'agence européenne de cybersécurité ENISA et aux législateurs européens tôt jeudi.

Il s'agit d'un projet de proposition de l'ENISA concernant un système de certification européen garantissant la cybersécurité des services en cloud qui déterminerait la manière dont les gouvernements et les entreprises de l'Union européenne choisissent un fournisseur pour leurs activités.

Le projet de l'ENISA, daté du mois de mai, définit des exigences pour un fournisseur de services en cloud certifié (CSP) visant à prévenir et à limiter les interférences des États non membres de l'UE avec le fonctionnement des services en cloud certifiés.

"Le siège social et le siège mondial du CSP doivent être établis dans un État membre de l'UE", précise le document.

Les services en cloud devront être exploités et maintenus à partir de l'UE, et toutes les données des clients des services en cloud devront être stockées et traitées dans l'UE, les lois de l'Union prévalant sur celles des pays tiers, y compris les pays ayant adopté des mesures extraterritoriales.

L'UE devrait s'abstenir d'adopter des exigences de nature politique, plutôt que technique, qui excluraient les fournisseurs légitimes de services en cloud et ne renforceraient pas les contrôles efficaces de cybersécurité, ont déclaré la Chambre et les autres groupes.

"Ces exigences de l'EUCS (projet de l'UE) sont apparemment conçues pour garantir que les fournisseurs non européens ne puissent pas accéder au marché de l'UE sur un pied d'égalité, empêchant ainsi les industries et les gouvernements européens de bénéficier pleinement des offres de ces fournisseurs mondiaux", ont-ils déclaré.

"Si d'autres pays devaient mener des politiques similaires, les fournisseurs européens de services de cloud pourraient voir leurs propres opportunités sur les marchés non européens s'amenuiser", ont-ils ajouté.

Les groupes se demandent également si le système est conforme à l'Accord général sur le commerce des services de l'Organisation mondiale du commerce et aux engagements de l'UE en matière de marchés publics.

L'ENISA, qui a refusé de commenter le projet de document, a déclaré que le système volontaire prévoit trois niveaux.

"Le niveau le plus élevé est destiné à n'être applicable qu'à un petit ensemble de cas d'utilisation nécessitant le plus haut niveau de sécurité (par exemple, les applications gouvernementales hautement sensibles et les applications d'infrastructure hautement critiques), pour lesquels un certain niveau d'indépendance vis-à-vis des lois non européennes devra être assuré. Pas tous les services en cloud", a déclaré un porte-parole.

"Après avoir consulté la Commission européenne, l'ENISA propose deux niveaux de certification pour le niveau d'assurance "élevé", afin de répondre aux différents besoins identifiés dans l'industrie européenne et les États membres", a-t-elle déclaré.

L'ENISA a envoyé une proposition actualisée à la Commission pour consultation en septembre, ce qui pourrait entraîner des changements avant l'adoption d'un texte final.

"Les discussions sont en cours pour avoir une approche équilibrée et aucune décision n'a encore été prise. Le système devrait être pleinement conforme au droit communautaire, ainsi qu'aux engagements internationaux de l'UE, notamment en matière de commerce", a déclaré un porte-parole de l'exécutif européen.

Selon le cabinet d'études de marché Imarc Group, la taille du marché mondial du cloud gouvernemental devrait atteindre 71,2 milliards de dollars d'ici 2027, contre 27,6 milliards de dollars en 2021. Le cloud computing est devenu l'un des principaux moteurs de croissance de la Big Tech ces dernières années.

Source : La Chambre de Commerce des États-Unis

Et vous ?

Quel est votre avis sur le sujet ?
Pensez-vous que le projet de l'UE sera bénéfique pour l'industrie ?

Voir aussi

34 fournisseurs européens de cloud demandent à l'Europe un cadre de certification harmonisé

Souveraineté numérique de l'UE : l'opérateur cloud français OVHcloud obtient un prêt de 200 Ms € de la BEI

Atos et plusieurs partenaires européens lancent Structura-X pour construire une infrastructure cloud souveraine

[chrtophe]

Bonjour le lobyying.

l'UE a donc pour projet d'exclure les fournisseurs de cloud non européen. Pourtant :
https://www.developpez.net/forums/d2.../#post11873406

voir aussi :
https://cloud-computing.developpez.c...ions-chez-AWS/

Le principal acteur de cloud Européen est OVH, mais quand on voit l'OVHGate on se retrouve avec soit des services fiables non RGPD compatible ou des services européens ne rassurant pas. Je précise quand-même qu'OVH est certifié secnumcloud.

[_gaby_]

Le cloud computing est devenu l'un des principaux moteurs de croissance de la Big Tech ces dernières années

Tout est dit je pense.

Je ne crois pas que la motivation ici soit pleinement politique. C'est vraisemblablement une lutte pour le "gâteau" qui grossit au fur et à mesure. Et donc du lobbying des plus grosses sociétés dans ce domaine.

En Suisse le débat est de même nature: https://www.letemps.ch/economie/part...onseil-federal

La confédération ("l'Etat" en simplifiant) à fait un appel d'offres pour un Cloud qui, au final, exclut les solutions basées en Suisse...

[walfrat]

C'est qui les douze autres groupes ? Douze sociétés aussi américaines ?

Pour moi il y a bien plusieurs objectifs, tournés largement plus contre les USA que d'autres :

• Garder un niveau de maitrise technique satisfaisant pour nous gérer nous-même.
• Garder nos données à nous loin des états avec tout ce qu'il faut en loi pour prendre la priorité sur celle d'un autre état (au hasard ... USA ?)
• Éviter la fuite d'argent générés par le cloud via les paradis fiscaux et d'emploi dont notamment celles des sociétés spécialistes en la matière (au hasard... les GAFAs ?).

[lougy]

Bonjour,
je pense qu'il est temps que l'europe se dote de ce genre de règlementation surtout par rapport aux différentes loi d'extrateritorialités mises en place pour espionner les pays aux états unis:

- patriot Acts
- cloud acts
- ECPA

Ces différentes lois permettent un accès par les services Américains aux données se trouvant sur des serveurs de sociétés Américaines localement ou dans des pays tiers. Ce n'est pas parceque vos données se trouvent sur un serveur Microsoft en Europe qu'elles sont protégées...

Les société de sécurité Américaines (NSA, FBI, CIA, etc.) ne respectent pas le RGPD et la suppression de données privées, tout comme les douanes Américaines.

L'espionnage étatique est aussi utilisé pour faire de l'espionnage industriel dans beaucoup de pays.

https://www.statuquopodcast.com/post...vient-une-arme
https://www.air-journal.fr/2022-09-2...s-5242857.html
https://perspective.usherbrooke.ca/b...deAnalyse=1573
https://www.techniques-ingenieur.fr/...curieux-61013/

[defZero]

Juste pour rire parce que le sujet est vraiment trop déphasé, mais si OVH Cloud avait postulé à l'appelle d'offre du pentagone, ils auraient eu une chance ?
Je ne croit pas.

Depuis quand des boites privés ou pays étranger se permettent de dicter la politique interne des Etats et de l'UE ?
Ils ont pas l'impression d'abuser de notre laxisme généralisé des fois .

[HaryRoseAndMac]

Si l'europe prend des mesures qui protègent avant tout les entreprises Européennes et les favorises je suis totalement pour.

Avoir choisi Amazon pour gérer nos données à l'échelle Européenne, était le choix le plus stupide de l'année.

[destroyedlolo]

Mouai, j'utilise à la fois AWS et OVH.

Difficile de comparer les services offerts par AWS et OVH : pour faire du PaaS, OVH est bien (enfin, quand ils maitriseront leurs procédures d'incendie), mais c'est à des années-lumières des services autogérées par AWS et de sa gestion de sa sécu (AIM, SG, ...).

Mais, comme je le dis toujours, entrée dans l'auto-géré fait qu'on se retrouve pied et poing lié avec un fournisseur. Labda, la sécu, l'APIgw et par certains aspects, même les RDS sont strictement des technos proprio à AWS. Le jour où vous voulez aller voir ailleurs, faut tout refaire. Et ca ouvre la porte à bien des surprises lorsque vous receverez les premieres factures ...

Se pose évidement des questions de sécurité : on sait très bien que la NSA a ces entrées dans toutes ces boites sous droit américains (voir l'historique des différentes backdoors de windows, certaines révélations de Snoden, ...). Alors ca me fait doucement marré que certains de mes clients nous demande un site sécurisé (fibre direct depuis les installation, controle d'acces renforcés, ...) mais à coté, héberge leur appli critique chez AWS

[sanderbe]

Bonsoir

Les États-Unis mettent en garde contre le projet de l'UE d'exclure les fournisseurs de cloud non européens, leurs préoccupations concernent un système de certification européen pour les fournisseurs

Quel est votre avis sur le sujet ?

Comme à l'accoutumé , il n'y aura rien à craindre . Car l'UE va se coucher une fois de plus face aux USA. A savoir que l'essentiel des services utilisés sont sous pavillon GAFAM ... donc dur dure de faire de la resistance. Au risque de se tirer une balle dans le pied.

Pensez-vous que le projet de l'UE sera bénéfique pour l'industrie ?

Oui aux renforcement du pouvoir des GAFAM

[chrtophe]

[ironie]
De toute façon vu qu'on va plus avoir de courant, vaut mieux mettre ailleurs.
[/ironie]

[Bill Fassinou]

Une étude parrainée par un lobby américain de la technologie critique le projet de l'UE d'exclure les fournisseurs de services cloud non européens
et met en garde contre des mesures de rétorsion

Un rapport sponsorisé par un lobby défendant les intérêts des entreprises technologiques américaines rejette la proposition de réglementation européenne sur le "cloud". Le groupe de pression affirme que la proposition de l'UE d'introduire un label de sécurité pour l'informatique dématérialisée est nuisible et discriminatoire, et pourrait conduire à des mesures de rétorsion. Le rapport reflète les préoccupations privées croissantes que suscite le projet de label auprès des géants américains de la technologie. Les critiques américains affirment que le projet pourrait exclure des acteurs du cloud comme Amazon (AWS) et Google (GCP) et Microsoft (Azure).

Le système européen de certification de la cybersécurité pour les services cloud (European Cybersecurity Certification Scheme for Cloud Services - EUCS) vise à mettre en place un cadre de certification des services informatiques à l'échelle européenne. Le système EUCS est un système de certification créé dans le cadre de la loi sur la cybersécurité (Cybersecurity Act - CSA) de l'UE. Selon les régulateurs de l'UE, la CSA vise à améliorer la cybersécurité dans un large éventail de produits, services et processus numériques. Elle établit également une approche unifiée de la certification en matière de cybersécurité dans le marché intérieur européen.

L'EUCS a été conçu à l'origine comme un système de certification volontaire en matière de cybersécurité que les entreprises pouvaient utiliser pour démontrer leur fiabilité et l'efficacité de leurs défenses en matière de cybersécurité. Toutefois, à la demande de la Commission européenne et d'une poignée d'États membres de l'UE, l'Agence européenne pour la cybersécurité (ENISA) a été chargée d'ajouter des exigences de souveraineté au système de certification proposé. Selon les analystes, ces exigences obligeraient les fournisseurs de services cloud (CSP) à héberger les services destinés aux clients de l'UE sur une infrastructure située dans l'UE.

Ils seraient également tenus de démontrer leur "immunité" face aux autorités étrangères chargées de l'application des lois qui demandent l'accès aux données. Jusqu'à présent, les géants américains de la technologie n'ont formulé aucun commentaire public sur le projet de l'UE. Mais le rapport du Centre européen d'économie politique internationale (ECIPE), commandé par la Computer and Communications Industry Association (CCIA), laisse entrevoir la façon dont les Américains perçoivent l'initiative de l'UE. Ils affirment que la volonté politique du projet consiste à exclure les entreprises américaines et autres entreprises internationales du marché de l'UE.

Le rapport, intitulé "Building Resilience ? The Cybersecurity, Economic & Trade Impacts of Cloud Immunity Requirements", demandes à l'Agence européenne pour pour la cybersécurité et à la Commission européenne d'abandonner les exigences d'immunité de l'EUCS, en avertissant qu'elles pourraient "ouvrir une boîte de Pandore" en permettant à la Commission européenne et aux États membres d'exclure les entreprises étrangères des marchés nationaux des services cloud. Le rapport de l'ECIPE présente plusieurs raisons pour lesquelles ENISA et la Commission européenne devraient abonner le projet, ainsi que de nombreuses affirmations sur le sujet.

Par exemple, les auteurs affirment que la législation européenne proposée pourrait accroître l'exposition des adoptants du cloud aux risques de cybersécurité ; que "les fournisseurs de l'UE ne sont pas en mesure de gérer une transition à grande échelle vers le cloud" ; et que "les nouvelles règles retarderaient les gains d'efficacité et de sécurité importants que les fournisseurs étrangers actuels pourraient offrir". Il est important de rappeler que le rapport a été parrainé par la CCIA, une organisation internationale de défense à but non lucratif basée à Washington DC pour représenter les intérêts des industries de l'informatique et des communications.

Et l'ECIPE précise qu'il est un organisme indépendant et à but non lucratif, et que les opinions exprimées sont "purement celles de l'auteur", mais les lecteurs seraient surpris de voir combien de rapports indépendants de ce type s'alignent souvent sur les opinions de l'organisation qui les a commandés. Par exemple, le rapport affirme que "les exigences en matière d'immunité de l'EUCS sont discriminatoires à dessein et pourraient provoquer des mesures de rétorsion contre l'Union de la part de ses partenaires commerciaux (c'est-à-dire les États-Unis)". Ces mesures pourraient consister à défavoriser les entreprises européennes sur le marché américain.

Selon le rapport, elles pourraient prendre la forme de droits de douane de 25 % sur des exportations de biens de l'UE d'une valeur de 12 milliards de dollars, en partant du principe qu'une disposition d'immunité interdirait effectivement les services des trois plus grands fournisseurs américains de services cloud, pour une valeur de 2,9 milliards de dollars. Par ailleurs, les restrictions équivalentes pourraient être appliquées aux exportations de services de l'UE vers les États-Unis. L'ENISA attend l'avis des pays de l'UE. Elle finalisera ensuite le projet de loi en tenant le plus grand compte de cet avis et soumettra la version définitive à la Commission européenne.

Rappelons que les propositions de l'UE ont déjà rencontré l'opposition des États-Unis, avec un certain nombre d'associations industrielles qui ont publié une déclaration en décembre affirmant que ces règles empêcheraient les grands fournisseurs américains de services cloud tels qu'Amazon, Google et Microsoft de faire des affaires en Europe. Le rapport de l'ECIPE affirme que les fournisseurs européens ne sont actuellement pas en mesure de gérer l'objectif de l'UE d'un taux d'adoption de 75 % des services de cloud fournis par des entreprises européennes, et ce parce que les géants américains desservent actuellement plus de 75 % du marché européen.

L'année dernière, les chiffres de Synergy Research Group ont révélé que les trois grands fournisseurs américains de cloud représentaient à eux seuls 72 % du marché européen du cloud. Mais les entreprises européennes se sont elles-mêmes plaintes des pratiques anticoncurrentielles des grands fournisseurs américains de services cloud, en particulier Microsoft, qui a fait des concessions l'année dernière pour tenter d'apaiser les régulateurs. En novembre, un groupe industriel européen a affirmé que Microsoft porte un "préjudice irréparable" à l'écosystème du cloud de l'UE. Le groupe accuse la firme de Redmond de pratiques anticoncurrentielles.

Le groupe de défense Cloud Infrastructure Service Providers in Europe (CISPE), qui défend les intérêts de 24 fournisseurs d'infrastructures cloud en Europe, a déposé une plainte à la direction générale de la concurrence de la Commission européenne. Cette plainte fait suite à une plainte distincte déposée par deux de ses membres, OVHcloud et l'entreprise d'hébergement italienne Aruba, alléguant également que le comportement de Microsoft est anticoncurrentiel. Le CISPE demande une enquête sur les pratiques de Microsoft. Mais un porte-parole de Microsoft a défendu les changements de licence comme élargissant les options pour les clients.

« Les récentes annonces, blogues et documents FAQ publiés par Microsoft dans le but d'éviter les enquêtes de marché n'ont pas fourni les détails, la clarté ou l'assurance qu'il a réellement l'intention de mettre rapidement fin à ses pratiques de licence anticoncurrentielles. Au contraire, les nouvelles conditions contractuelles imposées unilatéralement par Microsoft le 1er octobre 2022 ajoutent de nouvelles pratiques déloyales à la liste. La position et les comportements actuels de Microsoft portent irrémédiablement atteinte à l'écosystème européen du cloud et privent les clients européens de choix dans leurs déploiements de cloud », note le CISPE.

« Je pense que l'intention politique est d'évincer les fournisseurs étrangers, mais cela aura bien sûr aussi des ramifications pour les entreprises de l'UE qui dépendent plus ou moins des services de cloud computing. Les États membres devraient maintenant demander à l'agence de cybersécurité et aussi à la Commission européenne d'abandonner les exigences d'immunité EUCS motivées politiquement », a déclaré à Reuters Matthias Bauer, directeur de l'ECIPE. L'ECIPE a déclaré que la proposition pourrait créer un dangereux précédent pour tout secteur à forte intensité de données, qui pourrait voir le label de cybersécurité s'étendre de façon nuisible.

Selon l'ECIPE, le label pourrait devenir obligatoire pour les nouvelles technologies telles que les appareils connectés à Internet dans le domaine de l'énergie, des soins de santé et de la conduite autonome. De son côté, l'UE réfute les allégations des groupes de pression et affirme qu'elle travaille à rendre la législation conforme aux textes légaux en matière de concurrences sur le plan européen, ainsi qu'à ses engagements internationaux. « Le système devrait être pleinement conforme au droit européen, ainsi qu'aux engagements internationaux de l'UE, notamment en matière de commerce », a déclaré un porte-parole de la Commission.

Source : le rapport du Centre européen d'économie politique internationale (ECIPE)

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous des conclusions du rapport de l'ECIPE ?
Que pensez-vous du projet de l'UE d'introduire un label d'immunité à l'EUCS ?
Selon vous, ce projet exclut-il réellement les fournisseurs américains de services cloud ?
Selon vous, le label d'immunité de l'EUCS est-il une bonne ou une mauvaise initiative ? Pourquoi ?

Voir aussi

Les États-Unis mettent en garde contre le projet de l'UE d'exclure les fournisseurs de cloud non européens, leurs préoccupations concernent un système de certification européen pour les fournisseurs

34 fournisseurs européens de cloud demandent à l'Europe un cadre de certification harmonisé », les géants Français du cloud sont signataire, mais pas Scaleway

Le cloud souverain n'est pas crédible ? Scaleway abandonne GAIA-X, un projet de développement d'une infrastructure de données compétitive, sécurisée et fiable pour l'Union européenne

Souveraineté numérique de l'UE : les acteurs du secteur du cloud ne sont pas convaincus, les hyperscaleurs américains et asiatiques mènent toujours la danse en Europe

[ec]

Donc la seule logique à suivre, c'est comment les Européens peuvent améliorer la balance numérique avec les USA. Sur ce point je ne suis pas compétent.

Mais j'imagine que si les Européens développaient uns suite numérique véritablement capable de rivaliser avec Microsoft sur Linux par exemple, une partie du problème serait résolue. Mais pour l'instant le produit le plus abouti ne remplit pas complètement les cases quand on pousse les choses au fond. Il faudrait même inventer des produits plus performants sur certains points.