Le futur EUCS (schéma européen de certification des services cloud) comprendra-t-il des exigences réglementaires ? Il semble que oui, en dépit de la pression des fournisseurs américains pour éviter cette issue.
Ces exigences concerneraient la certification de services gérant des données sensibles au sens où leur fuite pourrait affecter des vies humaines, l’ordre public ou la protection de la propriété intellectuelle. Elles sont similaires à celles que la France a imposées dans son référentiel SecNumCloud.
Dans les grandes lignes, tout service de niveau « sensible » ne pourrait prétendre à une qualification que si :
– Une entité basée dans l’UE (et non contrôlée par une entité étrangère) en assure l’exploitation et la maintenance.
– Le stockage et le traitement des données sont localisés exclusivement dans l’UE, tout comme les employés du fournisseur amenés à accéder à ces données
Plus globalement, les législations étrangères n’auraient pas priorité sur celle de l’Union européenne.
Le dernier brouillon public de l’EUCS date de fin 2020. En coulisse, les travaux sont proches de leur aboutissement. L’ENISA (Agence de l’Union européenne pour la cybersécurité) doit soumettre ce mois-ci une proposition aux États membres. À la suite de quoi la Commission européenne devra l’adopter. Il remplacera alors les référentiels nationaux après des périodes transitoires.
Fin 2022, une coalition d’associations [liste ci-dessous] représentatives de fournisseurs étrangers avait haussé le ton. Son message à l’UE : prière de privilégier une voie « inclusive et non discriminante » en n’adoptant pas d’exigences « de nature politique ».
Elle évoquait aussi un risque d’incompatibilité avec l’Accord général sur le commerce des services et l’Accord plurilatéral sur les marchés publics. Tout en brandissant le risque, pour les fournisseurs européens, que d’autres pays adoptent des règles de même teneur.
À consulter pour davantage de contexte :
CLOUD Act : quel degré d’exposition pour Bleu et S3NS ?
SecNumCloud : quelles sont les offres actuellement labellisées ?
Souveraineté numérique : où en est Google Cloud ?
Illustration principale © noah9000 – Adobe Stock
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.
