C’est un sujet technique qui devrait pourtant attirer toute notre attention. Près de deux mois après la CNIL, la Commission supérieure du numérique et des postes (CSNP) a publié, mercredi 4 septembre, son avis sur l’EUCS. Depuis des mois, l’« European Union Cybersecurity Certification Scheme for Cloud Services », un label garantissant des normes de cybersécurité communes à toute l’Europe pour les fournisseurs de cloud, est l’objet d’âpres négociations entre les 27 pays de l’Union européenne (UE).
Et comme la CNIL l’avait déjà plaidé en juillet dernier, la CSNP, une commission parlementaire française qui émet des avis non contraignants en matière numérique, demande au gouvernement d’œuvrer pour réintégrer les critères de souveraineté – à savoir, l’immunité aux lois extraterritoriales non européennes – dans le futur référentiel de cybersécurité du Cloud.
À lire aussi : Cloud : La CNIL plaide pour réintroduire des critères de souveraineté dans l’EUCS, le futur référentiel de cybersécurité
L’immunité aux lois extraterritoriales, qu’est ce que ça veut dire ?
Les lois extraterritoriales sont des législations de pays qui s’appliquent en dehors de leurs frontières. Ce terme désigne concrètement une loi chinoise de 2017, ou encore la section 702 de la loi FISA américaine qui s’appliquent respectivement aux fournisseurs de cloud chinois (Huawei, Alibaba, Tencent) ou américains (AWS, Azure ou Google Cloud) qu’ils opèrent dans leur pays ou à l’étranger. Elles obligent ces sociétés à partager avec les agences de renseignement chinoises ou américaines, si elles le demandent, les données des Européens. Y compris lorsque ces data sont hébergées en Europe, qu’elles concernent des données personnelles, des data stratégiques d’entreprises, ou de gouvernements.
Pour court-circuiter cet accès américain ou chinois à nos data, l’Europe a eu l’idée d’insérer, dans le futur label européen qui s’appliquera au cloud, une immunité aux lois extraterritoriales – un niveau « high+ » – comme le fait déjà la France avec le SecNumCloud. Cela signifie que les fournisseurs de cloud devront, pour héberger les données les plus sensibles, ne pas être soumis à ces législations. Cette règle excluerait donc du niveau le plus élevé tous les clouders américains (AWS, Azure, Google Cloud) et chinois (Huawei, Alibaba…).
Ce qui n’a pas été du goût des clouders américains, rappelle la commission parlementaire dans son avis, avant de dérouler les enjeux politiques et économiques de l’EUCS : une explication de textes destinée au gouvernement français qui pourrait s’en servir à Bruxelles pour convaincre davantage.
La réaction américaine
Car si, initialement, cette certification imposait pour son niveau le plus élevé une immunité aux lois extraterritoriales (que la CSNP désigne comme « High+ »), la donne a changé l’année dernière, après la « réaction américaine ».
À lire aussi : EUCS : L’Europe en passe d’abandonner ses critères de souveraineté ?
En mai 2023 rappelle la Commission, les géants du cloud américains qui dominent la majorité du marché européen se plaignent à la Maison-Blanche de l’EUCS (dans sa version initiale) qui constituerait « une menace pour la sécurité nationale des États-Unis ». L’EUCS désavantagera les sociétés américaines du cloud au profit d’alternatives locales, expliquent-ils en substance. Quatre mois plus tard, Antony Blinken, le secrétaire d’État américain, écrit à la Commission européenne que l’EUCS (avec « High + ») « pourrait », ni plus ni moins, « nuire aux relations bilatérales entre les États-Unis et l’UE, tant sur le plan économique que sécuritaire », souligne la Commission parlementaire.
L’avertissement est pris très au sérieux à Bruxelles. L’exécutif européen demande alors à l’ENISA (l’agence européenne de cybersécurité) de revoir l’EUCS, ce qui a conduit à une nouvelle version édulcorée début 2024 de ce schéma (sans « High + »). Une version qui « pourrait à terme porter des risques insupportables de nature économique, géopolitique et juridique », écrit la CSNP. Car sans cet EUCS avec immunité, l’Europe pourra très difficilement « sortir de cette situation de dépendance croissante vis-à-vis des opérateurs américains », poursuit-elle.
Les pro ou contre l’immunité aux lois extraterritoriales
Dans ce débat, on trouve d’un côté ceux qui plaident pour inclure des critères de « souveraineté », en intégrant une immunité aux « lois extraterritoriales » pour le niveau le plus élevé de l’EUCS, (« High + ») dont la France fait partie.
À lire aussi : Frédéric Pierucci, ex-dirigeant d’Alstom : « réfléchissez à deux fois avant d’utiliser des outils numériques américains »
De l’autre, des pays ou des entreprises militent au contraire pour supprimer cette condition. Ce qui comprend les États-Unis, inquiets de voir leur accès aux données stratégiques des entreprises et des gouvernements européens coupé. Le pays est aussi préoccupé de voir ses champions du cloud mis de côté sur le marché européen – puisque ces derniers seraient exclus de l’hébergement des données les plus stratégiques et sensibles. Ce camp englobe aussi des pays européens « sensibles aux menaces de restriction des garanties de sécurité que les États-Unis leur apporte » – comme ceux dont les frontières sont très proches de la guerre en Ukraine, et tous les secteurs économiques qui dépendent du marché américain.
Une différence de conception juridique US/UE
Le problème est que dans cette affaire, on mélange la lutte contre le terrorisme et l’espionnage économique, explique en substance la Commission qui déplore la confusion entre « les besoins légitimes des États-Unis en matière de lutte contre le terrorisme et le crime international, et les risques que peuvent engendrer les activités abusives d’intelligence économique à l’encontre des entreprises européennes visant à avantager leur économie ». L’organisme revient aussi sur la différence de conception du droit américain et européen en la matière.
D’un côté, les États-Unis vont avoir tendance à privilégier la sécurité nationale, pendant que l’Europe fait primer les droits individuels, la collecte de données ne pouvant être que « proportionnelle et nécessaire ». Autant de points qui pourraient rendre le nouveau socle de règles encadrant les transferts de données personnelles entre les deux pays potentiellement invalide. Ce dernier est composé désormais du « Data Privacy Framework » annoncé en juillet 2023, venant remplacer le « Privacy Shield » invalidé par la justice européenne en 2020.
À lire aussi : Comment l’Europe a abandonné vos données personnelles aux espions américains
« Si les autorités européennes estiment que les principes de proportionnalité et de nécessité ne sont pas appliqués selon les standards du RGPD, elles pourraient contester la validité du Data Privacy Framework. Un tel désaccord pourrait entraîner une nouvelle invalidation de l’accord, comme ce fut le cas pour le Privacy Shield. Ce risque met en lumière les défis inhérents à l’harmonisation des normes de protection des données entre deux systèmes juridiques qui, bien que partenaires, sont fondamentalement différents », écrit la Commission parlementaire.
Que va devenir le SecNumCloud ?
Autre problème soulevé par la CSNP : l’avenir du SecNumCloud, le référentiel de cybersécurité franco-français qui intègre bien aujourd’hui « des critères techniques et juridiques d’immunité des services cloud aux législations non européennes à portée extraterritoriale », un référentiel utilisé pour nos données les plus sensibles et stratégiques comme les données de santé ou les données des ministères.
Or, si l’EUCS est adopté dans une version moins exigeante que le SecNumCloud, donc sans critères d’immunité, l’Hexagone devra vraisemblablement délaisser la norme française au profit de la norme européenne. « L’incertitude juridique demeure, mais il est fort probable que l’adoption de l’EUCS, qu’il intègre ou non le niveau High+, rendrait caduque le référentiel SecNumCloud », écrit la Commission. Exit donc la doctrine « Cloud au centre » du gouvernement qui impose pour les données stratégiques étatiques ou d’entreprises une immunité à ces lois – une protection jugée pourtant essentielle pour les sociétés européennes.
Pour nombre d’entre elles, « le niveau de certification High+ de l’EUCS est crucial pour protéger de manière non contraignante leurs données non personnelles sensibles ou stratégiques contre les accès légaux mais indésirables des services de renseignement, notamment américains », souligne la CSNP. « Ces entreprises ne souhaitent pas une éviction des fournisseurs de services cloud américains du marché européen » poursuit-elle. Elles « affirment (cependant) qu’une partie substantielle de leurs besoins ne peut être satisfaite par ces opérateurs », écrit la Commission.
La CSNP demande du temps et des analyses pour mieux convaincre
Réintégrer cette immunité aux lois extraterritoriales est donc « une impérieuse nécessité pour protéger les données sensibles et stratégiques, à caractère personnel ou non, des organismes publics et privés qui ont besoin de préserver leur patrimoine informationnel contre les ingérences étrangères », « la condition de l’émergence d’une industrie européenne des services cloud », écrit-elle.
La CSNP adresse, à la fin de son avis, plusieurs préconisations au gouvernement qui restera libre de les suivre. Elle demande à ce dernier de « faire le nécessaire auprès de la Commission européenne pour qu’elle sursoit à toute décision d’adoption de la version actuelle du schéma de certification ». Elle suggère de « demander aux différents États membres de l’UE, opposés au niveau High+, de s’expliquer sur les raisons pour lesquelles ils entendent en priver les entreprises et les administrations publiques qui en expriment le besoin en Europe ou dans leur propre pays ».
Elle demande enfin à l’exécutif français de mener une série d’analyses, dont l’une vise à battre en brèche l’argument qui consiste à dire qu’un EUCS avec un niveau High+ serait contraire aux accords de l’OMC.
Elle recommande ainsi d’analyser les « conséquences géopolitiques à moyen terme des renoncements de l’Union européenne à maintenir dans l’EUCS un niveau de type High+ », mais aussi d’approfondir le sujet des « conséquences des dépendances européennes à l’industrie américaine des services cloud et sur son impact sur la compétitivité de l’économie européenne ». Autant d’éléments qui pourraient, espère la CSNP, faire pencher la balance à Bruxelles en faveur d’un EUCS avec immunité, un « enjeu essentiel (…) d’autonomie technologique pour l’Union européenne ».
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Avis n°2024-05 du 4 septembre 2024 sur les enjeux politiques et économiques du schéma EUCS