En attendant l'EUCS, Gaia-X donne un cap

Le cadre de certification de Gaia-X, source d'inspiration pour le schéma EUCS ?

En France, une commission parlementaire a récemment appelé à s'en inspirer. Plus précisément du niveau de labellisation le plus élevé pour les CSP. Celui-ci inclut des exigences d'immunité. Ce qui, estime ladite commission, "reflète une volonté claire, tant des bénéficiaires [...] que des fournisseurs".

Les exigences en question :

> Traiter et stocker toutes les données des clients dans l'Espace économique européen (UE + Islande, Liechtenstein et Norvège) [points 19.1 et 19.2 de SecNumCloud].

> En cas d'obligations légales de transmission ou de révélation des données de clients sur le fondement d'une règle statutaire hors EEE, existence de garde-fous destinés à assurer la conformité des demandes d'accès vis-à-vis de la loi de l'Union et des États membres (concerne fournisseurs et sous-traitants).

> Localisation du siège social et de l'établissement principal dans un pays de l'EEE [SecNumCloud 19.6].

> Pas de contrôle direct ou indirect, individuel ou conjoint, par des actionnaires dont le siège social ou l'établissement principal ne se trouvent pas dans un pays de l'EEE.

> En cas de recours aux services d'une entreprise tierce - y compris un sous-traitant - qui ne respecte pas les conditions de localisation et de capital susmentionnées, ne pas donner à cette entreprise l'accès aux données des clients, ni à la gestion des accès et des identités sur les services fournis aux clients [SecNumCloud 19.6].

> Décliner toute requête d'autorités non européennes en vue d'obtenir des données de clients européens, sauf si cette requête découle d'un jugement ou d'une ordonnance de tribunal conforme à la loi de l'Union [SecNumCloud 19.6].

> Maintenir une "autonomie opérationnelle continue" pour tout ou partie des services fournis. C'est-à-dire pouvoir les fournir en utilisant ses propres compétences ou des "alternatives adéquates" [SecNumCloud 19.6.c].

Des exigences environnementales aux niveaux supérieurs de labellisation

La plupart des autres exigences de Gaia-X pour les fournisseurs de services cloud doivent être respectées dès le premier niveau conformité. C'est le cas de toutes celles qui concernent le cadre contractuel.
Sur le volet protection des données, une des dispositions s'applique à partir du deuxième niveau : permettre l'établissement d'un contrat régi par la loi d'un pays de l'EEE [SecNumCloud 18.1.a et 19.1].
Sur le volet environnemental, elles sont trois dans ce cas. En l'occurrence, démontrer que l'offre satisfait - ou s'appuie sur une offre de services d'infrastructures qui satisfait :

> Un "standard élevé" d'efficience énergétique (indicateurs cible : PUE de 1.3 sous climat tempéré ou 1.4 sous climat chaud)

> Une compensation de la demande en électricité à hauteur de 75 % d'énergies renouvelables ou bas carbone d'ici à fin 2025... et 100 % pour fin 2030

> Un "standard élevé" pour la conservation de l'eau (indicateur cible : WUE de 0,4 L/kWh dans les zones soumises à stress hydrique)

Gaia-X révisera sa labellisation tous les 18 mois

Les autres exigences sont communes à tous les niveaux de labellisation Gaia-X. Elles touchent à la protection des données (article 28 du RGPD, en particulier), la cybersécurité et la portabilité.

Le plus souvent, les deux premiers niveaux de conformité pourront faire l'objet de vérifications automatisées (système de "chambre de compensation"). Tandis que les deux autres supposeront une "vérification manuelle" par un organisme de certification approuvé.

Gaia-X a prévu la possibilité d'intégrer des exigences spécifiques à des pays et à des domaines à travers des "profils d'extension" applicables aux labels. L'association ne s'interdit pas d'adapter son document lorsque EUCS sera finalisé... Elle le fera de tout façon - en théorie - au moins tous les 18 mois. Après toute révision, les certifiés auront un an pour se mettre à jour.

Illustration