La France ne veut toujours pas d'un EUCS « édulcoré »

Dans la lignée de la CNIL, une commission parlementaire appelle à inclure des critères d’immunité extraterritoriale dans le schéma européen EUCS.

Quelles conséquences géopolitiques à moyen terme si l’Union européenne renonce à maintenir les « critères d’immunité » dans l’EUCS ? La CSNP (Commission supérieure du numérique et des postes) vient de demander formellement au Gouvernement une analyse à ce sujet.

Ces critères, techniques et juridiques, sont censés garantir une protection face aux législations non européennes à portée extraterritoriale. Par exemple, aux États-Unis, la section 702 du FISA (Foreign Intelligence Surveillance Act), récemment reconduite jusqu’en 2026.

La première version de l’EUCS (décembre 2020) comprenait de telles exigences dans son niveau de certification le plus élevé. Aux dernières nouvelles, ce n’est plus le cas : on est sur un compromis. Les critères en question ne figureraient pas dans le schéma européen, mais les États membres de l’UE auraient la possibilité d’en établir. Et de les imposer dans des cas « dûment justifiés ».

La France pousse pour un EUCS « à la SecNumCloud »

À revers de nombre de ses pairs, la France a questionné cette approche auprès du Conseil européen. Elle souligne en particulier que le Cybersecurity Act, règlement qui ouvre la voie à l’EUCS, repose sur le principe d’harmonisation des schémas. Elle cherche plus globalement à comprendre comment ce système « à la carte » s’articulerait avec les législations nationales. En ligne de mire, notamment, la loi SREN (Sécuriser et réguler l’espace numérique). Plus précisément, deux de ses articles (31 et 32) qu’il serait « difficile de mettre en œuvre […] pusqu’ils font, sans le nommer mais de manière transparente, référence à SecNumCloud »… que l’adoption de l’EUCS « rendra probablement caduc ».

L’article 31 cible les administrations de l’État, ses opérateurs et les GIP qui englobent ces entités. Il couvre le cas où ces derniers recourent à un service cloud d’un prestataire privé pour mettre en œuvre des systèmes ou applications traitant de données d’une sensibilité particulière. Dans cette situation, il leur appartient de veiller à la mise en œuvre de critères « garantissant notamment la protection des données traitées ou stockées contre tout accès par des autorités publiques d’États tiers non autorisé par le droit de l’UE ou d’un État membre ».
L’article 32 concerne les données de santé à caractère personnel. Un décret doit préciser les stipulations devant figurer dans le contrat, y compris concernant les mesures prises face à ces risques.

Ces voix qui s’élèvent contre les critères d’immunité

La CSNP voit dans les critères d’immunité un « enjeu essentiel d’autonomie technologique » et la « condition de l’émergence d’une industrie européenne des services cloud ». Elle prend, en référence, le cadre de certification que Gaia-X a adopté en 2021. Le niveau de labellisation le plus élevé inclut des exigences d’immunité. Ce qui, estime-t-elle, « reflète une volonté claire, tant des bénéficiaires de services cloud […] que des fournisseurs de ces services ».

Une coalition d’associations de clients et de fournisseurs européens a récemment fait savoir qu’elle ne partageait pas cet avis. Elle estime que retirer les critères d’immunité stimule la confiance des partenaires commerciaux de l’UE… et évite de potentielles mesures répressives. Ses membres viennent, entre autres, du Danemark, d’Espagne, d’Estonie, de Finlande, d’Irlande, d’Italie, de Lituanie, de Norvège, des Pays-Bas, de Pologne, du Portugal, de Roumanie, de Slovaquie et de Tchéquie.

La Chambre américaine de commerce n’avait pas tardé à porter le fer contre l’EUCS « avec critères d’immunité ». En 2022, elle avait communiqué sa position, associée à plusieurs lobbys dont la Computer & Communications Industry Association. Leur position, dans les grandes lignes :

– Le Cybersecurity Act pose l’EUCS comme un instrument technique. Lequel ne devrait pas être « compromis par des considérations de nature politique ».

– Exiger une localisation des données, de l’exploitation et de la maintenance dans l’UE créera des obstacles au partage de l’information entre organisations. Par ailleurs, les coûts augmenteront et les voies alternatives se réduiront en cas de pertes de données ou de pannes réseau.

– Les exigences capitalistiques posent d’importantes barrières à l’entrée, et donc des questions de concurrence.

L’an dernier, le secrétaire d’État des États-Unis avait envoyé une note de même teneur à Ursula von der Leyen, présidente de la Commission européenne. Inclure de tels critères pourrait nuire aux relations entre les deux blocs, expliquait l’intéressé.

Une volonté conforme aux accords de l’OMC ?

La CSNP distingue deux catégories d’opposants, qu’elle décrit ainsi :

– États membres sensibles aux menaces de restriction des garanties de sécurité que les USA leur apportent

– Secteurs d’activité fortement dépendants du marché américain et sensibles aux menaces de restriction d’accès à ce marché

Quant aux doutes sur la conformité vis-à-vis des engagements de l’UE dans le cadre des accords de l’OMC, elle balaye l’argument. À l’en croire, ce n’est pas le référentiel qui pourrait être incompatible, mais éventuellement son usage par les États membres, notamment dans le cadre des marchés publics. L’UE n’a d’ailleurs pas prononcé de non-conformité de SecNumCloud, ajoute-t-elle.

La position de la CSNP fait écho à celle que la CNIL a communiquée en juillet. Une fois que l’ENISA aura adopté l’EUCS, Bruxelles devra publier l’acte d’implémentation. S’ouvrira alors une période de consultation de 4 semaines avant l’approbation formelle. L’entrée en application se fera 18 mois plus tard.

La composition de la CSNP

7 députés
> Xavier Batut (Horizons, Seine-Maritime)
> Sophia Chikirou (La France insoumise, Paris)
> Mireille Clapot (Renaissance, Drôme)
> Anne Le Hénanff (Horizons, Morbihan)
> Aurélien Lopez-Liguon (Rassemblement national, Hérault)
> Angélique Ranc (Rassemblement national, Aude)
> Stéphane Travert (Renaissance, Manche)

7 sénateurs
> Bernard Delcros (Union centriste, Cantal)
> Patricia Demas (Les Républicains, Alpes-Maritimes)
> Audrey Linkenheld (Socialistes, Écologistes et Républicains, Nord)
> Damien Michallet (Les Républicains, Isère ; président de la CSNP)
> Christian Redon-Sarrazy (Socialistes, Écologistes et Républicains, Haute-Vienne)
> Jean-Yves Roux (Rassemblement démocratique et social européen, Alpes-de-Haute-Provence)
> Denise Saint-Pé (Union centriste, Pyrénées-Atlantiques)

3 « personnalités qualifiées » que nomme le ministre de l’Économie
> Jeanne Bretécher (fondatrice de la coopérative de conseil en mécénat d’entreprise Génération 2 et présidente du think tank Social Good Accelerator)
> Henri d’Agrain (délégué général du Cigref)
> Patrick Guillemot (ancien directeur exécutif Appui et Soutien de la branche Grand Public et Numérique de La Poste)