L’Union européenne aimerait faire évoluer la réglementation encadrant les activités des acteurs du cloud computing sur le vieux continent, afin d’être en adéquation avec ses ambitions en matière de souveraineté. Ce nouveau cadre législatif s’articulerait autour d’une nouvelle certification qui permettrait de reconnaître les fournisseurs proposant des offres souveraines.
Le cloud de confiance en Europe, c’est pour quand ?
La semaine dernière, une vingtaine de groupes privés s’étaient réunis pour affirmer leur soutien aux ambitions de l’UE pour atteindre la souveraineté du cloud. Airbus et Orange, accompagnés de plusieurs géants européens de l’industrie, se sont rangés du côté de l’Agence de l’Union européenne pour la cybersécurité (ENISA). Elle souhaite mettre en place un système de certification européen. Ce label, soumis à plusieurs critères, permettra d’identifier les services cloud respectant certaines exigences de sécurité.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Si cette certification venait à voir le jour, les entreprises qui souhaiteraient l’obtenir devront s’associer à une entité européenne à partir du moment où elles stockent et traitent des données sensibles. « Les services cloud certifiés sont exploités uniquement par des entreprises basées dans l’UE, sans qu’aucune entité extérieure à l’UE ne puisse exercer un contrôle effectif sur le CSP (fournisseur de services cloud), afin d’atténuer le risque que des pouvoirs d’ingérence extérieurs à l’UE ne portent atteinte aux réglementations, normes et valeurs de l’UE », précise le projet de réglementation.
De plus, ces sociétés devront faire en sorte que le gouvernement du pays où se situe son siège social ne puisse pas avoir accès à ces données sensibles. Plus généralement, le service proposé devra être exploité et entretenu depuis l’UE. À l’heure actuelle, les pays de l’Union européenne sont en train d’examiner ce projet de loi. Il existe de fortes dissensions entre eux. La France, qui propose déjà un label SecNumCloud, via l’ANSSI, désire un niveau important de sécurité. Pays-Bas et Allemagne affichent des réticences. La Commission européenne se saisira du texte lorsqu’un compromis sera trouvé.
Selon la branche européenne de la Computer & Communications Industry Association (CCIA), une organisation non gouvernementale américaine, la mise en place d’une telle réglementation n’affecterait pas seulement les acteurs du cloud tels que Google, Amazon, ou Microsoft, mais aussi d’autres marchés. « Cela inclurait les banques, mais aussi les compagnies aériennes, les sociétés de services publics et les secteurs fortement réglementés » a argumenté Alexandre Roure, le directeur des politiques publiques de CCIA Europe à Reuters. Ces secteurs font de plus en plus appel à des fournisseurs cloud pour le traitement de leurs données ou pour leur transformation numérique.