Dix-huit grands groupes européens, dont Deutsche Telekom, Orange et Airbus, ont ouvertement critiqué une décision prise par l’Agence de l’Union européenne pour la cybersécurité (ENISA) la semaine passée. Ils reprochent à cette dernière de ne plus faire la distinction entre les fournisseurs cloud basées au sein et hors de l’UE.
Au centre des débats, une certification pour garantir un cloud européen souverain
En novembre dernier, l’Union européenne réfléchissait à la mise en place de plusieurs mesures visant à promouvoir les services de cloud européens. L’une d’entre elles devait compliquer l’obtention de la certification la plus élevée en matière de cybersécurité pour tout prestataire de services cloud basé hors de l’Union européenne. Le niveau le plus élevé du nouveau schéma européen de certification de cybersécurité (EUCS) les obligerait, entre autres, à conclure un partenariat avec un acteur européen pour stocker et traiter les données sensibles de leurs clients du vieux Continent.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
La proposition avait été saluée par plusieurs grandes entreprises européennes à la fin de l’année dernière, prouvant que l’ENISA était prête à faire un pas de plus vers un cloud souverain. Six mois plus tard, ce pas n’a pas été réalisé. Pire encore, l’ENISA a fait machine arrière, prévoyant d’abandonner l’EUCS tel qu’imaginé fin 2023. Si la certification venait à ne pas voir le jour, cela permettrait aux acteurs étrangers du cloud, dont Microsoft Azure, Amazon Web Services, ou encore Google Cloud, de faire affaire avec ses clients européens librement. Une liberté qui gêne les plus grands noms de l’industrie européenne.
Dans une lettre adressée aux autorités de leurs pays respectifs et aux hauts responsables de la Commission européenne, OVHcloud, Dassault Systems, Capgemini, EDF, Telecom Italien, et les treize autres entreprises contestataires ont fait part de leurs inquiétudes. « L’introduction de ces contrôles est nécessaire pour atténuer le risque d’accès illégal aux données sur la base de lois étrangères », insistent les signataires, faisant référence au Cloud Act américain ou à la loi chinoise sur le renseignement national.
Pour le consortium de sociétés, le nouveau label doit suivre l’exemple de Gaia-X, le projet européen visant à tendre vers un cloud souverain, ayant connu quelques déboires, mais connaissant un second souffle. « L’absence de clauses de souveraineté pourrait également entraver les nouveaux fournisseurs de cloud européens, dont beaucoup sont en phase de développement, par rapport à leurs plus grands rivaux américains », assurent-ils. La proposition sera de nouveau discutée ce lundi 15 avril par des experts de l’ENISA. Difficile de déterminer s’ils changeront d’avis.