Le débat autour de l’EUCS (European Union Cybersecurity Scheme for Cloud Services) n’en finit pas. Cinq ans déjà ! La question de l’immunité -ou comment protéger la souveraineté numérique européenne- reste la plus sensible.
EUCS, cinq ans de débat et des positions qui se durcissent. Dans le sillage du CIGREF français, l’association belge Beltug s’inscrit dans le camp des « durs ». Et d’appeler à rétablir les critères d’immunité aux lois extraterritoriales préalablement instruites dans la catégorie « High + » de l’EUCS.
Par « immunité » il faut entendre le besoin de disposer d’un schéma de certification, à valeur légale, et mis en œuvre de manière homogène au sein de l’Union européenne, pour protéger la confidentialité des données sensibles et stratégiques, à caractère personnel ou non, et les préserver des accès légaux mais indésirables qu’autorisent certaines législations non européennes à portée extraterritoriale. Or, en l’état actuel des discussions, le projet ne permet plus aux fournisseurs de démontrer qu’ils protègent les données stockées contre tout accès par une puissance étrangère…
Si le risque d’exposition des données non sensibles des entreprises aux droits extraterritoriaux est considéré comme « limité », les données plus sensibles hébergées dans l’Union européenne ne devraient pas être sujettes à un risque d’accès non autorisé par des autorités d’États tiers, défendent les « durs ». On pense ici aux données de santé des citoyens européens, les données d’infractions, ou relatives à des mineurs, mais aussi celles des systèmes critiques.
L’offre cloud européenne affaiblie
Préserver la confidentialité ne se limite pas à lutter contre un accès illégal et illégitime par des acteurs cybercriminels, mais comprend également l’interdiction de l’accès aux agences de renseignement étrangères dans un cadre certes légal mais secret… et trop souvent illégitime pour les organisations qui en sont victimes.
Au-delà des principes de souveraineté, la version actuelle de l’EUCS affaiblit la compétitivité de l’offre cloud européenne et compromet la capacité des acteurs publics et privés à externaliser leurs projets les plus critiques de manière sécurisée. Elle contribue parallèlement à une dépendance croissante aux opérateurs cloud américains (70 % du marché des services cloud en Europe), ce qui pose des risques économiques, géopolitiques et juridiques insoutenables à long terme.
La peur de Washington
Cet avis ne fait pas l’unanimité. Certains pays européens, dont l’Allemagne, se veulent plus prudents. Réintégrer les critères d’immunité au niveau « High+ », leur fait craindre des réactions de Washington. L’introduction de ce niveau de certification pourrait nuire aux relations économiques avec les États-Unis et entraîner des représailles commerciales, avancent-ils.
Si ce débat n’en finit pas c’est qu’il n’y a pas en jeu que la cybersécurité et l’autonomie numérique de l’Europe, il y a aussi l’avenir des fournisseurs de services cloud européens. La question de la « souveraineté numérique de l’Europe » devient une question de « souveraineté »… tout court !
Alain de Fooz