Cloud : le projet de règlement de l'UE propose des règles plus strictes en matière de cybersécurité
Cloud : le projet de règlement de l'UE propose des règles plus strictes en matière de cybersécurité, qui concerneront Amazon, Google, Microsoft et d'autres fournisseurs non européens
Amazon, Google (Alphabet), Microsoft et d'autres fournisseurs de services Cloud n'appartenant pas à l'Union européenne qui souhaitent obtenir un label de cybersécurité de l'UE pour traiter des données sensibles ne peuvent le faire que par le biais d'une coentreprise avec une entreprise basée dans l'UE, selon un projet de document de l'UE.
Les géants américains de la technologie et les autres entreprises impliquées dans la coentreprise ne peuvent détenir qu'une participation minoritaire, et les employés qui ont accès aux données de l'UE doivent faire l'objet d'un contrôle spécifique et être localisés dans l'Union des 27 pays, selon le document.
Le document ajoute que le service cloud doit être géré et entretenu depuis l'UE, que toutes les données des clients du service cloud doivent être stockées et traitées dans l'UE et que les lois de l'UE prévalent sur les lois des pays tiers en ce qui concerne le fournisseur du service en nuage.
Le dernier projet de proposition de l'ENISA, l'agence européenne chargée de la cybersécurité, concerne un système de certification européen (EUCS) qui garantirait la cybersécurité des services en nuage et déterminerait la manière dont les gouvernements et les entreprises de l'Union européenne choisissent un fournisseur pour leurs activités.
Si les nouvelles dispositions soulignent les inquiétudes de l'UE quant à l'ingérence d'États non membres de l'UE, elles risquent de susciter des critiques de la part des géants américains de la technologie, inquiets d'être exclus du marché européen.
Les grandes entreprises technologiques comptent sur le marché de l'informatique dématérialisée pour stimuler la croissance dans les années à venir, tandis que l'essor potentiel de l'IA après le succès viral de ChatGPT d'OpenAI pourrait également stimuler la demande de services d'informatique dématérialisée.
"Les services en nuage certifiés sont exploités uniquement par des entreprises basées dans l'UE, sans qu'aucune entité extérieure à l'UE ne puisse exercer un contrôle effectif sur le CSP (fournisseur de services en nuage), afin d'atténuer le risque que des pouvoirs d'ingérence non européens ne sapent les réglementations, les normes et les valeurs de l'UE", indique le document.
"Les entreprises dont le siège social ou l'administration centrale n'est pas établi dans un État membre de l'UE ne doivent pas, directement ou indirectement, uniquement ou conjointement, détenir un contrôle effectif positif ou négatif sur le CSP qui demande la certification d'un service en nuage", précise le document.
Le document précise que des règles plus strictes s'appliqueront aux données personnelles et non personnelles particulièrement sensibles, lorsqu'une violation peut avoir un impact négatif sur l'ordre public, la sécurité publique, la vie ou la santé humaine, ou la protection de la propriété intellectuelle.
Selon une source industrielle, le dernier projet pourrait fragmenter le marché unique de l'UE, car chaque pays a toute latitude pour imposer les exigences lorsqu'il le juge nécessaire.
La Chambre de commerce des États-Unis a déjà déclaré que ce projet mettait les entreprises américaines sur un pied d'inégalité. L'Union européenne affirme que ces mesures sont nécessaires pour protéger les droits des citoyens en matière de données et de respect de la vie privée.
Les pays de l'UE examineront le projet dans le courant du mois de mai, après quoi la Commission européenne adoptera un plan définitif.
Source : Projet de document de l'UE
Et vous ?
Quel est votre avis sur le sujet ? Trouvez-vous ces nouvelles mesures pertinentes ?
Voir aussi
Répondre avec citation
Partager