Cloud : comment protéger l’Europe de lois à portée extraterritoriale

Le commissaire européen au marché intérieur, Thierry Breton, sera-t-il sensible au courrier que lui adressent les collectifs professionnels Cigref en France et VOICE en Allemagne ?

Les deux associations fédèrent des DSI et CTO de grandes entreprises et administrations publiques. Elles partent du constat suivant : « le cloud, dans sa dynamique exponentielle sur le marché européen, et la captation hégémonique de celui-ci par les hyperscalers, offre à des autorités étatiques non européennes un moyen, sans équivalent dans l’histoire, pour accéder massivement aux données sensibles de l’économie de notre continent.  »

Dans ce contexte,  de nombreuses organisations en Europe font le choix « de maintenir dans leurs locaux l’hébergement de certaines de leurs données, et les traitements associés. » Or, l’Union européenne doit assumer les conséquences de l’arrêt du 16 juillet 2020 de la Cour de justice de l’UE invalidant l’accord d’adéquation Privacy Shield, dans l’affaire « Schrems II ».

Et d’insister : « la législation actuelle n’est pas propice au développement d’une liberté de circulation de données. »  En conséquence, le Cigref et VOICE appellent de leurs voeux le déploiement d’un « cadre de confiance permettant de garantir la sécurité des données sensibles des entreprises et des administrations publiques dans le cloud. »

En outre, le Cigref et VOICE saluent le projet européen de loi sur les données (Data Act). Présenté en février dernier, ce texte porte sur la circulation des données non personnelles (industrielles) hébergées en Europe et sur leur protection vis-à-vis des accès internationaux.

« Immunité face aux lois à portée extraterritoriale »

Aussi, VOICE et le Cigref, qui représentent des utilisateurs de technologies et non des fournisseurs, expriment des ambitions sur le futur schéma européen de certification pour les services cloud (European Cybersecurity Certification Scheme for Cloud Services – EUCS).

Les associations invitent les institutions européennes et l’Agence européenne pour la cybersécurité (ENISA) à adopter un schéma permettant d’instaurer un cadre harmonisé de protection et sécurité des systèmes d’information et des données sur le territoire de l’UE. Et ce avec un niveau elevé « d’immunité aux législations non européennes à portée extraterritoriale de certaines offres de services cloud proposées sur le marché européen. »

Elles estiment qu’un tel schéma peut s’inscrire dans l’esprit du Cybersecurity Act. Enfin, elles appellent « la Commission européenne à arbitrer fermement en faveur d’un niveau élevé de sécurité dans le troisième niveau du futur schéma européen de certification pour les services cloud », en cohérence avec les besoins exprimés dans le cadre de Gaia-X.

_{(crédit photo © Shutterstock)}