IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Cloud Computing Discussion :

Cloud : le projet de règlement de l'UE propose des règles plus strictes en matière de cybersécurité


Sujet :

Cloud Computing

  1. #1
    Chroniqueur Actualités
    Avatar de Anthony
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    Novembre 2022
    Messages
    1 615
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Rédacteur technique

    Informations forums :
    Inscription : Novembre 2022
    Messages : 1 615
    Par défaut Cloud : le projet de règlement de l'UE propose des règles plus strictes en matière de cybersécurité
    Cloud : le projet de règlement de l'UE propose des règles plus strictes en matière de cybersécurité, qui concerneront Amazon, Google, Microsoft et d'autres fournisseurs non européens

    Amazon, Google (Alphabet), Microsoft et d'autres fournisseurs de services Cloud n'appartenant pas à l'Union européenne qui souhaitent obtenir un label de cybersécurité de l'UE pour traiter des données sensibles ne peuvent le faire que par le biais d'une coentreprise avec une entreprise basée dans l'UE, selon un projet de document de l'UE.

    Les géants américains de la technologie et les autres entreprises impliquées dans la coentreprise ne peuvent détenir qu'une participation minoritaire, et les employés qui ont accès aux données de l'UE doivent faire l'objet d'un contrôle spécifique et être localisés dans l'Union des 27 pays, selon le document.

    Le document ajoute que le service cloud doit être géré et entretenu depuis l'UE, que toutes les données des clients du service cloud doivent être stockées et traitées dans l'UE et que les lois de l'UE prévalent sur les lois des pays tiers en ce qui concerne le fournisseur du service en nuage.

    Le dernier projet de proposition de l'ENISA, l'agence européenne chargée de la cybersécurité, concerne un système de certification européen (EUCS) qui garantirait la cybersécurité des services en nuage et déterminerait la manière dont les gouvernements et les entreprises de l'Union européenne choisissent un fournisseur pour leurs activités.

    Nom : logo-union-europeenne.png
Affichages : 3568
Taille : 37,0 Ko

    Si les nouvelles dispositions soulignent les inquiétudes de l'UE quant à l'ingérence d'États non membres de l'UE, elles risquent de susciter des critiques de la part des géants américains de la technologie, inquiets d'être exclus du marché européen.

    Les grandes entreprises technologiques comptent sur le marché de l'informatique dématérialisée pour stimuler la croissance dans les années à venir, tandis que l'essor potentiel de l'IA après le succès viral de ChatGPT d'OpenAI pourrait également stimuler la demande de services d'informatique dématérialisée.

    "Les services en nuage certifiés sont exploités uniquement par des entreprises basées dans l'UE, sans qu'aucune entité extérieure à l'UE ne puisse exercer un contrôle effectif sur le CSP (fournisseur de services en nuage), afin d'atténuer le risque que des pouvoirs d'ingérence non européens ne sapent les réglementations, les normes et les valeurs de l'UE", indique le document.

    "Les entreprises dont le siège social ou l'administration centrale n'est pas établi dans un État membre de l'UE ne doivent pas, directement ou indirectement, uniquement ou conjointement, détenir un contrôle effectif positif ou négatif sur le CSP qui demande la certification d'un service en nuage", précise le document.

    Le document précise que des règles plus strictes s'appliqueront aux données personnelles et non personnelles particulièrement sensibles, lorsqu'une violation peut avoir un impact négatif sur l'ordre public, la sécurité publique, la vie ou la santé humaine, ou la protection de la propriété intellectuelle.

    Selon une source industrielle, le dernier projet pourrait fragmenter le marché unique de l'UE, car chaque pays a toute latitude pour imposer les exigences lorsqu'il le juge nécessaire.

    La Chambre de commerce des États-Unis a déjà déclaré que ce projet mettait les entreprises américaines sur un pied d'inégalité. L'Union européenne affirme que ces mesures sont nécessaires pour protéger les droits des citoyens en matière de données et de respect de la vie privée.

    Les pays de l'UE examineront le projet dans le courant du mois de mai, après quoi la Commission européenne adoptera un plan définitif.

    Source : Projet de document de l'UE

    Et vous ?

    Quel est votre avis sur le sujet ? Trouvez-vous ces nouvelles mesures pertinentes ?

    Selon vous, quelles pourraient être les implications potentielles de ces nouvelles exigences sur le marché européen du cloud ?

    Selon vous, le système de certification proposé par l'UE aura-t-il un impact sur la croissance des géants américains de la technologie ?

    Voir aussi

    Les États-Unis mettent en garde contre le projet de l'UE d'exclure les fournisseurs de cloud non européens, leurs préoccupations concernent un système de certification européen pour les fournisseurs

    Une étude parrainée par un lobby américain de la technologie critique le projet de l'UE d'exclure les fournisseurs de services cloud non européens et met en garde contre des mesures de rétorsion

    Souveraineté numérique de l'UE : les acteurs du secteur du cloud ne sont pas convaincus, les hyperscaleurs américains et asiatiques mènent toujours la danse en Europe

    34 fournisseurs européens de cloud demandent à l'Europe un cadre de certification harmonisé », les géants Français du cloud sont signataire, mais pas Scaleway
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Membre à l'essai
    Femme Profil pro
    Consultant informatique
    Inscrit en
    Mars 2023
    Messages
    5
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 26
    Localisation : France, Pas de Calais (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : Conseil

    Informations forums :
    Inscription : Mars 2023
    Messages : 5
    Par défaut oin oin les américains
    oin oin les américains

  3. #3
    Membre extrêmement actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Octobre 2017
    Messages
    2 102
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Octobre 2017
    Messages : 2 102
    Par défaut
    La grande idée ne va pas être à l'ordre du jour longtemps...

    Quand Bruxelles recevra un coup de téléphone de Washington qui va rappeler que l'Europe se chauffe au gaz américain depuis que l'on a fait la leçon au vilain méchant russe, cette grande idée brillante va se transformer en un nuage de fumée...

  4. #4
    Chroniqueur Actualités
    Avatar de Anthony
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    Novembre 2022
    Messages
    1 615
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Gironde (Aquitaine)

    Informations professionnelles :
    Activité : Rédacteur technique

    Informations forums :
    Inscription : Novembre 2022
    Messages : 1 615
    Par défaut L'EUCS ne permet plus aux fournisseurs de protéger les données stockées contre les accès par un pays étranger
    CNIL : Le projet de certification européenne pour les services de cloud (EUCS) ne permet plus aux fournisseurs de démontrer qu’ils protègent les données stockées contre tout accès par une puissance étrangère

    Dans son état actuel, le projet de certification européenne pour les services de cloud (EUCS) ne permet plus aux fournisseurs de démontrer qu’ils protègent les données stockées contre tout accès par une puissance étrangère, contrairement à la qualification SecNumCloud en France. La CNIL appelle à rehausser le niveau de protection des données personnelles de cette certification en réintroduisant de telles garanties.

    Des données sensibles qui doivent être particulièrement protégées

    Les données stockées par une entreprises soumise à un droit extra-européen, comme c’est le cas des hébergeurs dont les sociétés mères sont situées aux États-Unis, peuvent être exposées à un risque de devoir communiquer des données aux autorités publiques de ce pays. Ce risque est le plus souvent considéré comme limité, en particulier pour des données non sensibles confiées à des prestataires relevant de « pays adéquats » en termes de protection des données personnelles. C’est notamment le cas pour les États-Unis, qui constituent un « pays adéquat » depuis la décision de la Commission européenne du 10 juillet 2023 (dans les conditions précisées par le Data Privacy Framework). Cependant, une protection renforcée s’impose pour les traitements de données les plus sensibles (par exemple de grandes bases de données de santé, de données d’infractions ou encore de données relatives à des mineurs), pour lesquels les données hébergées dans l’Union européenne ne devraient pas être sujettes à un risque d’accès non autorisé par des autorités d’États tiers.

    Dans ce cas, la CNIL recommande de recourir à un prestataire exclusivement soumis au droit européen et offrant le niveau de protection adéquat. En France, pour les services cloud, la certification SecNumCloud de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) comprend ce critère et permet ainsi une protection des données contre les accès par des autorités étrangères.


    Les lacunes et risques du projet de certification européenne EUCS

    La possibilité de s’assurer, pour ces traitements les plus sensibles, que l’hébergeur des données n’est pas soumis à une législation extra-européenne ne figure plus dans le projet de certification européenne de cybersécurité du cloud EUCS piloté par l’Agence de l’Union européenne pour la cybersécurité (ENISA), même dans les niveaux de certification les plus élevés, et même à titre optionnel.

    Cette évolution, qui doit être rediscutée dès que la nouvelle Commission européenne aura été constituée, prive les acteurs d’un cadre concret pour garantir la protection des droits et libertés fondamentaux pour les citoyens européens dans le cadre de tels traitements.

    En France, la CNIL recommande depuis longtemps, pour les bases de données personnelles les plus sensibles (telles que le système national des données de santé (SNDS) ou les données qui concernent des mineurs), d’assurer une protection contre les possibilités de divulgation à des autorités publiques de pays tiers. La CNIL a exprimé cette préoccupation à de nombreuses reprises.

    Par ailleurs, l’absence de niveau incluant des critères « d’immunité » pose problème sur le plan juridique, économique, technologique et industriel :

    • Elle ne permet pas de stimuler l’offre européenne en matière de cloud, qui constitue le moyen technique de répondre aux besoins de développement et déploiement des systèmes d’intelligence artificielle. Elle n’offre pas non plus les moyens de faciliter l’accès à la commande publique pour les offreurs européens, là où les acteurs dominants actuels en ont pleinement bénéficié dans leur pays d’origine (en particulier via le programme FedRAMP aux États-Unis).
    • Elle ne permet pas aux acteurs publics et privés de s’appuyer sur la certification EUCS pour externaliser dans le cloud leurs projets les plus sensibles, à l’image de ce que prévoit la doctrine « Cloud au centre » de l’État français pour les administrations. Celle-ci demande en effet aux autorités publiques de s’assurer que les données « d’une sensibilité particulière » hébergées dans le cloud ne soient pas soumises à des lois extra-européennes pouvant impliquer des injonctions de communication.

    À noter : la loi française du 21 mai dernier visant à sécuriser et à réguler l'espace numérique (dite loi SREN) prévoit qu’en cas de recours à un service cloud par un prestataire privé pour la mise en œuvre de systèmes informatiques traitant de données d'une sensibilité particulière pour l'État, le service cloud doit mettre en œuvre des critères de sécurité et de protection des données afin d’empêcher tout accès aux données par des autorités publiques d'États tiers non autorisé par le droit de l'Union européenne ou d'un État membre de l’UE.

    Pour toutes ces raisons, la CNIL appelle à l’inclusion, à titre optionnel, de critères « d’immunité » aux lois extra-européennes, qui peuvent s’inspirer de ceux de la qualification SecNumCloud déjà en place en France, dans le schéma de certification européen EUCS afin d’assurer la plus haute protection des traitements de données personnelles les plus sensibles pour les acteurs industriels européens.

    Source : CNIL

    Et vous ?

    Quel est votre avis sur le sujet ?
    Pensez-vous que l'initiative de la CNIL visant à inclure des critères « d'immunité » aux lois extra-européennes dans l'EUCS soit crédible ou pertinente ?

    Voir aussi :

    Cloud : le projet de règlement de l'UE propose des règles plus strictes en matière de cybersécurité, qui concerneront Amazon, Google, Microsoft et d'autres fournisseurs non européens

    Une étude parrainée par un lobby américain de la technologie critique le projet de l'UE d'exclure les fournisseurs de services cloud non européens et met en garde contre des mesures de rétorsion
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  5. #5
    Membre très actif
    Homme Profil pro
    Expertise comptable
    Inscrit en
    Décembre 2019
    Messages
    862
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Expertise comptable
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Décembre 2019
    Messages : 862
    Par défaut
    Comme si c'était une erreur ou un oubli de nos technocrates européens.

    Une fois arrivé à ce niveau ils ne rêvent plus que d'un bureau à Washington, c'est la suite logique si on veut une promotion dans leur carrière de traître.

  6. #6
    Membre très actif
    Homme Profil pro
    retraité
    Inscrit en
    Septembre 2014
    Messages
    643
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : retraité

    Informations forums :
    Inscription : Septembre 2014
    Messages : 643
    Par défaut
    Euh c'est pas stocké crypté ???

  7. #7
    Nouveau candidat au Club
    Femme Profil pro
    Llama-ninja
    Inscrit en
    Juillet 2024
    Messages
    2
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 35
    Localisation : France, Landes (Aquitaine)

    Informations professionnelles :
    Activité : Llama-ninja
    Secteur : Conseil

    Informations forums :
    Inscription : Juillet 2024
    Messages : 2
    Par défaut
    Euh c'est pas stocké crypté ???
    A la limite c'est chiffré.

Discussions similaires

  1. Réponses: 0
    Dernier message: 14/03/2023, 07h09
  2. Un sénateur US propose des règles strictes de Do Not Track dans un nouveau projet de loi
    Par Stéphane le calme dans le forum Général Conception Web
    Réponses: 5
    Dernier message: 27/05/2019, 15h14
  3. Réponses: 1
    Dernier message: 23/04/2013, 17h26
  4. Utilisation et aapplication du Cloud à un projet personnel
    Par menina_raquel dans le forum Cloud Computing
    Réponses: 1
    Dernier message: 23/04/2013, 17h26
  5. Réponses: 0
    Dernier message: 01/06/2010, 18h20

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo