Depuis 2020, les États membres de l’Union européenne s’efforcent de trouver un consensus sur le projet de certification cloud EUCS (« European Union Cybersecurity Certification Scheme for Cloud Services »). Instaurée par le règlement européen sur la cybersécurité (« Cybersecurity Act »), cette certification vise à évaluer la sécurité des fournisseurs de services cloud à l’échelle européenne. L’objectif : harmoniser et renforcer les exigences en matière de sécurité du cloud et de protection des données dans l’ensemble des États membres. Une récente étude de l’École de Guerre Économique (EGE) souligne les enjeux complexes et les luttes d’influence qui entourent cette initiative, mêlant des dimensions tout à la fois politiques, commerciales et technologiques.
Le critère de souveraineté en question
À terme, les fournisseurs de services cloud devront en effet se conformer à ces exigences avant de pouvoir héberger des informations sensibles, telles que des données de santé ou des données stratégiques émanant des ministères et de l’État. Or, le principal point de discorde dans ces négociations concerne le critère de « souveraineté ». En particulier, il s’agit de déterminer si, pour le niveau le plus élevé de la certification (qui ne concernerait que ce niveau et non l’ensemble des fournisseurs), il est nécessaire d’imposer une immunité aux « lois extraterritoriales », émanant notamment des États-Unis (FISA) et de la Chine. Pour rappel, ces lois contraignent les entreprises à partager avec leurs autorités nationales les données qu’elles hébergent, même si celles-ci sont stockées à l’étranger.
Ce point provoque une bataille féroce entre certains pays membres, dont la France, qui cherchent à protéger leurs données sensibles et à réduire leur dépendance aux fournisseurs américains, et les entreprises américaines, qui craignent de perdre leur accès au marché européen.
Intense lobbying américain
Des organisations comme la Chambre de commerce américaine et la SIIA (Software & Information Industry Association) militent ainsi activement contre l’EUCS, et demandent que la certification reste une démarche volontaire, sans inclure des considérations politiques comme la souveraineté numérique. Cette dernière a publié une déclaration commune avec plus d’une douzaine d’associations industrielles, mettant en garde l’UE contre l’adoption de règles qui excluraient effectivement les fournisseurs de cloud américains d’une grande partie du marché européen. Les géants de la Tech américains, comme Microsoft et Google, envisagent même des recours juridiques contre l’UE pour contester l’EUCS.
Là où la situation se complique, c’est que certains pays européens – mais également certaines grandes entreprises du continent, dont des poids lourds industriels comme Airbus -, adoptent une position « anti-souverainiste ». Ils estiment que des exigences de souveraineté trop strictes risqueraient de réduire leur flexibilité et de nuire à leur compétitivité.
Lire aussi sur L’Essor de la Sécurité : Traceur, balise GPS : ce qui est autorisé par loi
Ainsi, la bataille ne se joue pas seulement entre l’Europe et les Etats-Unis, mais aussi au sein même de l’Union européenne. Dans un post LinkedIn, l’ancien patron de l’Anssi, Guillaume Poupard, résume le problème : « Certains pays ne veulent surtout pas prendre le risque de réduire leurs rentrées fiscales, d’autres sont prêts à tout pour continuer à vendre des voitures de luxe ou importer du GNL, beaucoup ont pour priorité – légitime – leur protection militaire par l’OTAN dans un contexte géopolitique particulièrement tendu ». Ainsi, note celui qui est désormais directeur général adjoint de Docaposte, « si nous échouons à faire en sorte que les données les plus sensibles soient traitées au juste niveau, l’ensemble des enjeux à venir, et notamment celui de l’intelligence artificielle, sont voués à se résumer à un renforcement permanent de notre vassalité numérique, quelle que soit la productivité réglementaire européenne »…