Le futur EUCS (schéma européen de certification des services cloud) comprendra-t-il des exigences réglementaires ? Il semble que oui, en dépit de la pression des fournisseurs américains pour éviter cette issue.
Ces exigences concerneraient la certification de services gérant des données sensibles au sens où leur fuite pourrait affecter des vies humaines, l’ordre public ou la protection de la propriété intellectuelle. Elles sont similaires à celles que la France a imposées dans son référentiel SecNumCloud.
Dans les grandes lignes, tout service de niveau « sensible » ne pourrait prétendre à une qualification que si :
– Une entité basée dans l’UE (et non contrôlée par une entité étrangère) en assure l’exploitation et la maintenance.
– Le stockage et le traitement des données sont localisés exclusivement dans l’UE, tout comme les employés du fournisseur amenés à accéder à ces données
Plus globalement, les législations étrangères n’auraient pas priorité sur celle de l’Union européenne.
Le dernier brouillon public de l’EUCS date de fin 2020. En coulisse, les travaux sont proches de leur aboutissement. L’ENISA (Agence de l’Union européenne pour la cybersécurité) doit soumettre ce mois-ci une proposition aux États membres. À la suite de quoi la Commission européenne devra l’adopter. Il remplacera alors les référentiels nationaux après des périodes transitoires.
Fin 2022, une coalition d’associations [liste ci-dessous] représentatives de fournisseurs étrangers avait haussé le ton. Son message à l’UE : prière de privilégier une voie « inclusive et non discriminante » en n’adoptant pas d’exigences « de nature politique ».
Elle évoquait aussi un risque d’incompatibilité avec l’Accord général sur le commerce des services et l’Accord plurilatéral sur les marchés publics. Tout en brandissant le risque, pour les fournisseurs européens, que d’autres pays adoptent des règles de même teneur.
À consulter pour davantage de contexte :
CLOUD Act : quel degré d’exposition pour Bleu et S3NS ?
SecNumCloud : quelles sont les offres actuellement labellisées ?
Souveraineté numérique : où en est Google Cloud ?
Illustration principale © noah9000 – Adobe Stock
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…
Sous la bannière SpreadSheetLLM, Microsoft propose un framework destiné à optimiser le traitement des feuilles…
Selon le magazine Wired, AT&T aurait payé près de 400 000 $ à un pirate…