Cloud souverain : fronde internationale contre un projet de l’ENISA

Le  développement du business du cloud en Europe fait l’objet de vives tensions internationales. A l’origine, un projet de l’ENISA ( European Union Agency for Cybersecurity ) qui prépare  un système de certification européen pour garantir la sécurité des services cloud exerçant au sein des frontières de l’UE.

Selon Reuters, qui a pu consulter le texte, il s’agirait de réglementer les conditions d’accès des gouvernements et des  entreprises de l’UE  à un fournisseur de services Cloud ( CSP).

Ce projet de règlementation prévoirait quelques mesures contraignantes qui inquiètent au plus haut point en dehors du vieux continent. En autre, le fait que  « le siège social et le siège mondial du CSP seront établis dans un État membre de l’UE » mais aussi que  » les services cloud devraient être exploités et maintenus à partir de l’UE, et toutes les données des clients des services cloud stockées et traitées dans l’UE, les lois du bloc ayant préséance sur les lois non européennes, y compris les pays ayant des mesures extraterritoriales. » selon l’agence presse.

Cette perspective inquiète au plus haut point les trois leaders américains du secteur mais aussi une dizaine d’autres associations professionnelles*.

« Ces exigences sont apparemment conçues pour garantir que les fournisseurs non européens ne puissent pas accéder au marché de l’UE sur un pied d’égalité, empêchant ainsi les industries et les gouvernements européens de bénéficier pleinement des offres de ces fournisseurs mondiaux »,  s’inquiètent-elles dans un texte commun.

Mesures pour développer un cloud européen

Et de menacer, à mi-mots, de mesures coercitives en cas d’adoption de telles mesures. « Si d’autres pays devaient poursuivre des politiques similaires, les fournisseurs de cloud européens pourraient voir leurs propres opportunités sur les marchés non européens diminuer », déclarent-ils en questionnant la conformité avec des textes tels que l’Accord général sur le commerce des services de l’Organisation mondiale du commerce et de l’Accord sur les marchés publics de l’UE.

Du côté de l’ENISA,  on refuse de commenter ce qui ne serait encore qu’un projet de document.

« Les discussions sont en cours pour avoir une approche équilibrée et aucune décision n’a encore été prise. Le régime devrait être pleinement conforme au droit de l’UE, ainsi qu’aux engagements internationaux de l’UE, y compris en matière de commerce », a déclaré un porte-parole de l’exécutif européen à Reuters.

L’ENISA évoque cependant un système de certification qui permettrait aux CSP d’agir selon trois niveaux de criticité.

« Le niveau le plus élevé est destiné à n’être applicable qu’à un petit ensemble de cas d’utilisation nécessitant le niveau de sécurité le plus élevé (par exemple, les applications gouvernementales et d’infrastructure hautement critiques), pour lesquelles un certain niveau d’indépendance vis-à-vis des lois non européennes devra être Pas tous les services cloud »,explique l’agence européenne

*^{Les signataires sont : The App Association (ACT) ; American Chamber of Commerce to the European Union (AmCham EU) ; Coalition of Services Industries (CSI) ; Computer & Communications Industry Association (CCIA Europe) ; Internet and Competitive Networks Association (INCOMPAS) ; Information Technology Industry Council (ITI) ; Japan Association of New Economy (JANE) ; Latin American Internet Association (ALAI) ; National Foreign Trade Council (NFTC) ; Software & Information Industry Association (SIIA) ; techUK ; U.S. Chamber of Commerce ; United States Council for International Business (USCIB). Amazon, Microsoft et Google,}