L’issue approche pour le « SecNumCloud européen »

Clément Bohic,
Linkedin
EUCS ENISA

Le chantier du schéma européen de certification des services cloud (EUCS) arrive dans sa phase terminale. Comportera-t-il les mêmes exigences que le référentiel SecNumCloud ?

Le futur EUCS (schéma européen de certification des services cloud) comprendra-t-il des exigences réglementaires ? Il semble que oui, en dépit de la pression des fournisseurs américains pour éviter cette issue.

Ces exigences concerneraient la certification de services gérant des données sensibles au sens où leur fuite pourrait affecter des vies humaines, l’ordre public ou la protection de la propriété intellectuelle. Elles sont similaires à celles que la France a imposées dans son référentiel SecNumCloud.

Dans les grandes lignes, tout service de niveau « sensible » ne pourrait prétendre à une qualification que si :

– Une entité basée dans l’UE (et non contrôlée par une entité étrangère) en assure l’exploitation et la maintenance.
– Le stockage et le traitement des données sont localisés exclusivement dans l’UE, tout comme les employés du fournisseur amenés à accéder à ces données

Plus globalement, les législations étrangères n’auraient pas priorité sur celle de l’Union européenne.

L’EUCS sous (grande) pression

Le dernier brouillon public de l’EUCS date de fin 2020. En coulisse, les travaux sont proches de leur aboutissement. L’ENISA (Agence de l’Union européenne pour la cybersécurité) doit soumettre ce mois-ci une proposition aux États membres. À la suite de quoi la Commission européenne devra l’adopter. Il remplacera alors les référentiels nationaux après des périodes transitoires.

Fin 2022, une coalition d’associations [liste ci-dessous] représentatives de fournisseurs étrangers avait haussé le ton. Son message à l’UE : prière de privilégier une voie « inclusive et non discriminante » en n’adoptant pas d’exigences « de nature politique ».

Elle évoquait aussi un risque d’incompatibilité avec l’Accord général sur le commerce des services et l’Accord plurilatéral sur les marchés publics. Tout en brandissant le risque, pour les fournisseurs européens, que d’autres pays adoptent des règles de même teneur.

liste des associations

À consulter pour davantage de contexte :

CLOUD Act : quel degré d’exposition pour Bleu et S3NS ?
SecNumCloud : quelles sont les offres actuellement labellisées ?
Souveraineté numérique : où en est Google Cloud ?

Illustration principale © noah9000 – Adobe Stock