Le Vieux Continent prépare une série de règles autour de la sécurité des données hébergées dans le cloud qui ne devrait pas plaire aux géants américains. Tout prestataire de services cloud hors Europe souhaitant obtenir une certification de cybersécurité lui permettant de stocker et traiter des données sensibles devra obligatoirement passer par un partenariat avec un acteur européen.

Par données sensibles, le texte, sans entrer dans les détails, laisse entendre qu’elles seraient qualifiées ainsi dès lors qu’une faille pourrait avoir des effets négatifs sur la santé et la sécurité publique, ou la protection de la propriété intellectuelle. Cela n’encadre donc pas uniquement des données personnelles.

Amazon Web Services, Google Coud et Microsoft Azure, pour ne citer qu’eux, devront passer par une coentreprise, dans laquelle ils ne pourront avoir qu’une part minoritaire. De plus, les salariés ayant un accès aux données en question devront être basés dans l’Union Européenne, et feront l’objet d’un contrôle particulier.

« Les entreprises dont le siège social ou l’administration centrale n’est pas établi dans un État membre de l’UE ne doivent pas, directement ou indirectement, seules ou conjointement, détenir un contrôle effectif positif ou négatif sur le fournisseur de services cloud qui demande la certification d’un service cloud » détaille le document consulté par Reuters.

Il ajoute que le service en question doit être opéré depuis l’UE, et que toutes les données doivent être stockées et traitées en UE. Le texte rappelle que de la sorte, les lois européennes prévalent sur celle du pays du fournisseur.

« Les services cloud certifiés sont exploités uniquement par des entreprises basées dans l’UE, sans qu’aucune entité extérieure à l’UE ne puisse exercer un contrôle effectif sur le CSP (fournisseur de services cloud), afin d’atténuer le risque que des pouvoirs d’ingérence extérieurs à l’UE ne portent atteinte aux réglementations, normes et valeurs de l’UE, » apprend-on.

Même si c’est au nom de la cybersécurité et de la protection contre les risques d’ingérence, ces mesures doivent déjà créer quelques crispations chez les géants du cloud. Ils ont un appétit certain pour les contrats avec des organes gouvernementaux, des établissements de santé, ou financiers européens, souvent au détriment d’acteurs locaux. Si l’UE adopte ce texte, elle renverserait la vapeur, et forcerait un partage du gâteau largement en sa faveur.