À la veille du prochain cycle de négociations sur le système global de certification des services cloud CS de l'UE, un certain nombre d'organisations des deux côtés de l'Atlantique ont publié une lettre ouverte. Ils réclament un traitement égal de tous les acteurs du marché, y compris ceux dits les « big tech », c'est-à-dire les plus grands groupes technologiques comme Amazon, Alphabet et Microsoft.

EUCS, c'est-à-dire EU Cybersecurity Certification Scheme for Cloud Services, est un système européen de certification volontaire des services cloud, dont le développement relève de la responsabilité de l'Agence de l'Union européenne pour la cybersécurité ENISA, avec le soutien d'un groupe de travail et de représentants des États membres de l'UE. États.

L'objectif de l'EUCS est d'aider les gouvernements et les entreprises à sélectionner des fournisseurs de services cloud sécurisés et fiables (IaaS, PaaS, SaaS et autres) sur la base d'un ensemble d'exigences de référence définies et des niveaux de sécurité qui en résultent : basique, significatif et élevé. Les certifications ont vocation à être un élément de la stratégie de souveraineté numérique de l'Union européenne et à accroître le niveau de sécurité et de protection des données des utilisateurs-citoyens des États membres.

Les fournisseurs de services cloud de l'UE ont appelé à l'introduction d'exigences de souveraineté dans l'EUCS, craignant que des gouvernements tiers puissent accéder aux données des Européens stockées dans des centres de données situés sur leur territoire sur la base de leurs propres réglementations.

Le projet EUCS supposait, entre autres, que les fournisseurs de services essentiels à l'administration numérique seraient tenus d'avoir une succursale dans l'UE, ce qui les soumettrait à la juridiction de l'UE et que les données des clients européens seraient protégées par celle-ci.

Au fil du temps, le système a subi de nombreuses évolutions. Dans la dernière version, datant de mars 2024, par exemple, les dispositions exigeant que les grandes entreprises technologiques de pays tiers concluent des coentreprises ou des partenariats avec des entreprises de l'UE dans le stockage et le traitement des données des utilisateurs ont été supprimées afin d'obtenir le certificat de cybersécurité le plus élevé.

Souci d’affaires ou coup de lobbying ?

Une autre séance de travail avec la participation de représentants de la Commission européenne, de l'ENISA et des États membres était prévue le 18 juin, dans le cadre des travaux sur les détails des systèmes de certification. A la veille de la réunion, 26 entités ont appelé à « un traitement égal de tous les acteurs du marché ». Les opposants au système de certification dans sa forme actuelle ont déjà fait valoir que les propositions restrictives en matière de localisation des données sont en réalité discriminatoires à l'égard des entreprises non européennes et limitent l'accès aux dernières technologies et aux innovations clés pour les entreprises du Vieux Continent.

« Nous pensons qu'une EUCS inclusive et non discriminatoire qui soutient la libre circulation des services cloud en Europe aidera nos membres à prospérer ici et à l'étranger, contribuera aux ambitions numériques de l'Europe et renforcera sa résilience et sa sécurité. La suppression des exigences de contrôle de propriété et de la protection contre l’accès non autorisé/l’immunité des lois non européennes garantit que les améliorations de la sécurité du cloud sont conformes aux meilleures pratiques du secteur et aux principes de non-discrimination. portail techzine.eu.

Les signataires de la lettre comprenaient, entre autres : Chambre de commerce américaine de l'Union européenne et succursales locales de l'AmCham en République tchèque, en Estonie, en Finlande, en Italie, en Norvège, en Roumanie et en Espagne ; Fédération européenne des établissements de paiement et Bundesverband deutscher Banken. Ce groupe comprend également l’association polonaise Digital Poland. Les représentants de ZIPSEE Cyfrowa Polska n'ont pas répondu à la demande de commentaires de Computerworld jusqu'à la publication de l'article.

Selon les données de la société d'analyse IDC, les fournisseurs mondiaux de services de cloud public ont enregistré en 2023 des revenus record de plus de 669 milliards de dollars.

A lire également