Cloud : le projet de règlement de l'UE propose des règles plus strictes en matière de cybersécurité

**Anthony** · 10/05/2023, 06h58

Cloud : le projet de règlement de l'UE propose des règles plus strictes en matière de cybersécurité, qui concerneront Amazon, Google, Microsoft et d'autres fournisseurs non européens

Amazon, Google (Alphabet), Microsoft et d'autres fournisseurs de services Cloud n'appartenant pas à l'Union européenne qui souhaitent obtenir un label de cybersécurité de l'UE pour traiter des données sensibles ne peuvent le faire que par le biais d'une coentreprise avec une entreprise basée dans l'UE, selon un projet de document de l'UE.

Les géants américains de la technologie et les autres entreprises impliquées dans la coentreprise ne peuvent détenir qu'une participation minoritaire, et les employés qui ont accès aux données de l'UE doivent faire l'objet d'un contrôle spécifique et être localisés dans l'Union des 27 pays, selon le document.

Le document ajoute que le service cloud doit être géré et entretenu depuis l'UE, que toutes les données des clients du service cloud doivent être stockées et traitées dans l'UE et que les lois de l'UE prévalent sur les lois des pays tiers en ce qui concerne le fournisseur du service en nuage.

Le dernier projet de proposition de l'ENISA, l'agence européenne chargée de la cybersécurité, concerne un système de certification européen (EUCS) qui garantirait la cybersécurité des services en nuage et déterminerait la manière dont les gouvernements et les entreprises de l'Union européenne choisissent un fournisseur pour leurs activités.

Si les nouvelles dispositions soulignent les inquiétudes de l'UE quant à l'ingérence d'États non membres de l'UE, elles risquent de susciter des critiques de la part des géants américains de la technologie, inquiets d'être exclus du marché européen.

Les grandes entreprises technologiques comptent sur le marché de l'informatique dématérialisée pour stimuler la croissance dans les années à venir, tandis que l'essor potentiel de l'IA après le succès viral de ChatGPT d'OpenAI pourrait également stimuler la demande de services d'informatique dématérialisée.

"Les services en nuage certifiés sont exploités uniquement par des entreprises basées dans l'UE, sans qu'aucune entité extérieure à l'UE ne puisse exercer un contrôle effectif sur le CSP (fournisseur de services en nuage), afin d'atténuer le risque que des pouvoirs d'ingérence non européens ne sapent les réglementations, les normes et les valeurs de l'UE", indique le document.

"Les entreprises dont le siège social ou l'administration centrale n'est pas établi dans un État membre de l'UE ne doivent pas, directement ou indirectement, uniquement ou conjointement, détenir un contrôle effectif positif ou négatif sur le CSP qui demande la certification d'un service en nuage", précise le document.

Le document précise que des règles plus strictes s'appliqueront aux données personnelles et non personnelles particulièrement sensibles, lorsqu'une violation peut avoir un impact négatif sur l'ordre public, la sécurité publique, la vie ou la santé humaine, ou la protection de la propriété intellectuelle.

Selon une source industrielle, le dernier projet pourrait fragmenter le marché unique de l'UE, car chaque pays a toute latitude pour imposer les exigences lorsqu'il le juge nécessaire.

La Chambre de commerce des États-Unis a déjà déclaré que ce projet mettait les entreprises américaines sur un pied d'inégalité. L'Union européenne affirme que ces mesures sont nécessaires pour protéger les droits des citoyens en matière de données et de respect de la vie privée.

Les pays de l'UE examineront le projet dans le courant du mois de mai, après quoi la Commission européenne adoptera un plan définitif.

Source : Projet de document de l'UE

Et vous ?

Quel est votre avis sur le sujet ? Trouvez-vous ces nouvelles mesures pertinentes ?

Selon vous, quelles pourraient être les implications potentielles de ces nouvelles exigences sur le marché européen du cloud ?

Selon vous, le système de certification proposé par l'UE aura-t-il un impact sur la croissance des géants américains de la technologie ?

Voir aussi

Les États-Unis mettent en garde contre le projet de l'UE d'exclure les fournisseurs de cloud non européens, leurs préoccupations concernent un système de certification européen pour les fournisseurs

Une étude parrainée par un lobby américain de la technologie critique le projet de l'UE d'exclure les fournisseurs de services cloud non européens et met en garde contre des mesures de rétorsion

Souveraineté numérique de l'UE : les acteurs du secteur du cloud ne sont pas convaincus, les hyperscaleurs américains et asiatiques mènent toujours la danse en Europe

34 fournisseurs européens de cloud demandent à l'Europe un cadre de certification harmonisé », les géants Français du cloud sont signataire, mais pas Scaleway

**Lafilousse** · 10/05/2023, 14h42

oin oin les américains

**Anselme45** · 10/05/2023, 19h12

La grande idée ne va pas être à l'ordre du jour longtemps...

Quand Bruxelles recevra un coup de téléphone de Washington qui va rappeler que l'Europe se chauffe au gaz américain depuis que l'on a fait la leçon au vilain méchant russe, cette grande idée brillante va se transformer en un nuage de fumée...

**Anthony** · 22/07/2024, 14h41

CNIL : Le projet de certification européenne pour les services de cloud (EUCS) ne permet plus aux fournisseurs de démontrer qu’ils protègent les données stockées contre tout accès par une puissance étrangère

Dans son état actuel, le projet de certification européenne pour les services de cloud (EUCS) ne permet plus aux fournisseurs de démontrer qu’ils protègent les données stockées contre tout accès par une puissance étrangère, contrairement à la qualification SecNumCloud en France. La CNIL appelle à rehausser le niveau de protection des données personnelles de cette certification en réintroduisant de telles garanties.

Des données sensibles qui doivent être particulièrement protégées

Les données stockées par une entreprises soumise à un droit extra-européen, comme c’est le cas des hébergeurs dont les sociétés mères sont situées aux États-Unis, peuvent être exposées à un risque de devoir communiquer des données aux autorités publiques de ce pays. Ce risque est le plus souvent considéré comme limité, en particulier pour des données non sensibles confiées à des prestataires relevant de « pays adéquats » en termes de protection des données personnelles. C’est notamment le cas pour les États-Unis, qui constituent un « pays adéquat » depuis la décision de la Commission européenne du 10 juillet 2023 (dans les conditions précisées par le Data Privacy Framework). Cependant, une protection renforcée s’impose pour les traitements de données les plus sensibles (par exemple de grandes bases de données de santé, de données d’infractions ou encore de données relatives à des mineurs), pour lesquels les données hébergées dans l’Union européenne ne devraient pas être sujettes à un risque d’accès non autorisé par des autorités d’États tiers.

Dans ce cas, la CNIL recommande de recourir à un prestataire exclusivement soumis au droit européen et offrant le niveau de protection adéquat. En France, pour les services cloud, la certification SecNumCloud de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) comprend ce critère et permet ainsi une protection des données contre les accès par des autorités étrangères.

Les lacunes et risques du projet de certification européenne EUCS

La possibilité de s’assurer, pour ces traitements les plus sensibles, que l’hébergeur des données n’est pas soumis à une législation extra-européenne ne figure plus dans le projet de certification européenne de cybersécurité du cloud EUCS piloté par l’Agence de l’Union européenne pour la cybersécurité (ENISA), même dans les niveaux de certification les plus élevés, et même à titre optionnel.

Cette évolution, qui doit être rediscutée dès que la nouvelle Commission européenne aura été constituée, prive les acteurs d’un cadre concret pour garantir la protection des droits et libertés fondamentaux pour les citoyens européens dans le cadre de tels traitements.

En France, la CNIL recommande depuis longtemps, pour les bases de données personnelles les plus sensibles (telles que le système national des données de santé (SNDS) ou les données qui concernent des mineurs), d’assurer une protection contre les possibilités de divulgation à des autorités publiques de pays tiers. La CNIL a exprimé cette préoccupation à de nombreuses reprises.

Par ailleurs, l’absence de niveau incluant des critères « d’immunité » pose problème sur le plan juridique, économique, technologique et industriel :

Elle ne permet pas de stimuler l’offre européenne en matière de cloud, qui constitue le moyen technique de répondre aux besoins de développement et déploiement des systèmes d’intelligence artificielle. Elle n’offre pas non plus les moyens de faciliter l’accès à la commande publique pour les offreurs européens, là où les acteurs dominants actuels en ont pleinement bénéficié dans leur pays d’origine (en particulier via le programme FedRAMP aux États-Unis).
Elle ne permet pas aux acteurs publics et privés de s’appuyer sur la certification EUCS pour externaliser dans le cloud leurs projets les plus sensibles, à l’image de ce que prévoit la doctrine « Cloud au centre » de l’État français pour les administrations. Celle-ci demande en effet aux autorités publiques de s’assurer que les données « d’une sensibilité particulière » hébergées dans le cloud ne soient pas soumises à des lois extra-européennes pouvant impliquer des injonctions de communication.

À noter : la loi française du 21 mai dernier visant à sécuriser et à réguler l'espace numérique (dite loi SREN) prévoit qu’en cas de recours à un service cloud par un prestataire privé pour la mise en œuvre de systèmes informatiques traitant de données d'une sensibilité particulière pour l'État, le service cloud doit mettre en œuvre des critères de sécurité et de protection des données afin d’empêcher tout accès aux données par des autorités publiques d'États tiers non autorisé par le droit de l'Union européenne ou d'un État membre de l’UE.

Pour toutes ces raisons, la CNIL appelle à l’inclusion, à titre optionnel, de critères « d’immunité » aux lois extra-européennes, qui peuvent s’inspirer de ceux de la qualification SecNumCloud déjà en place en France, dans le schéma de certification européen EUCS afin d’assurer la plus haute protection des traitements de données personnelles les plus sensibles pour les acteurs industriels européens.

Source : CNIL

Et vous ?

Quel est votre avis sur le sujet ?

Pensez-vous que l'initiative de la CNIL visant à inclure des critères « d'immunité » aux lois extra-européennes dans l'EUCS soit crédible ou pertinente ?

Voir aussi :

Cloud : le projet de règlement de l'UE propose des règles plus strictes en matière de cybersécurité, qui concerneront Amazon, Google, Microsoft et d'autres fournisseurs non européens

Une étude parrainée par un lobby américain de la technologie critique le projet de l'UE d'exclure les fournisseurs de services cloud non européens et met en garde contre des mesures de rétorsion

**Jules34** · 22/07/2024, 16h14

Comme si c'était une erreur ou un oubli de nos technocrates européens.

Une fois arrivé à ce niveau ils ne rêvent plus que d'un bureau à Washington, c'est la suite logique si on veut une promotion dans leur carrière de traître.