La question de la souveraineté numérique fait couler beaucoup d’encre au sein de l’Union Européenne et de fait, amène des propositions techniques, économiques et juridiques en faveur de cette philosophie qui a pour objectif de prémunir le marché européen du cloud computing contre les politiques protectionnistes principalement américaines et chinoises.
L’objectif d’EUCS, projet porté par l’Agence de l’Union européenne pour la cybersécurité (ENISA), est d’établir un cadre de certification harmonisé pour les services cloud en Europe, afin de garantir un niveau de sécurité et de protection des données homogène dans l’ensemble des États membres. EUCS à pour ambition de proposer 4 niveaux de conformité :
- Niveau basique
- Niveau substantiel
- Niveau élevé
- Niveau élevé+
Les inquiétudes des États membres
EUCS, à l’instar de SecNumCloud, se caractérise par sa volonté de renforcer la souveraienté des données collectées, traitées et stockées européennes. Concrètement, le plus haut niveau du schéma interdirait tout lien avec tout service numérique cloud proposé par tout acteur non-européen. L’objectif étant de s’affranchir des lois extra-territoriales dont les principes peuvent porter atteinte à la confidentialité et la sécurité des données concernées.
Bien que certains pays tels que la France, l’Italie ou l’Espagne soient pour un durcissement des politiques orienté vers la souveraineté numérique européenne, le projet EUCS suscite des inquiétudes chez certains États membres, notamment les Pays-Bas, la Pologne ou encore l’Irlande. La principale critique porte les dangers d’une politique protectionniste qui pourrait entacher les relations entretenues avec des acteurs étatiques non-européens et réclament de fait « plus de souplesse ». Le projet EUCS, en plus d’avoir pour ambition de répondre à des enjeux de cybersécurité, soulève avant tout des enjeux politiques, juridiques et économiques.
La France se place quant à elle en faveur du principe de souveraineté numérique des données les plus sensibles. Cette volonté se manifeste notamment par une prise de position publique du CIGREF, regroupant les DSI des grandes entreprises françaises, qui dénonce la direction que prend le projet EUCS depuis sa dernière version notamment à travers un courrier mettant en avant la mise en danger des ambitions « d’autonomie stratégique et technologique de l’Union européenne ». Se placent dans nos rangs de grandes groupes français tels qu’Orange, OVHCloud ou encore Airbus, mais également l’Allemagne, à travers sa plus grande société allemande et européenne de télécommunications, Deutsche Telekom.
Vers un remaniement du texte ?
Face aux critiques des États membres, l’ENISA a ouvert une consultation publique afin de recueillir les avis des parties prenantes. Il est probable que le texte d’EUCS fasse l’objet d’un remaniement pour tenir compte des préoccupations exprimées, notamment au niveau des mesures d’ordre juridique. Les mesures techniques et fonctionnelles ne sont quant à elle pas remises en question.
Le 15 avril 2024 a eu lieu une phase de négociation entre certains experts nationaux qui s’est soldée par un report du vote initialement prévu à cette date au mois de juin 2024, délai permettant à l’ENISA de formuler des propositions et réponses visant à trancher l’ensemble de ces questions. La France entend à minima conserver la possibilité d’appliquer son schéma SecNumCloud, qui de par son haut niveau de sécurité et surtout ses obligations en matière de souveraineté, permettra aux acteurs nationaux de promouvoir des solutions et services à forte valeur ajoutée en matière de sécurité et confidentialité des données.