Les experts de l’agence de l’Union européenne pour la cybersécurité (ENISA) se sont réunis en début de semaine pour voter le système de certification de cybersécurité (EUCS) destiné aux offres cloud européennes. En discussion depuis 2020, la décision aurait été de nouveau repoussée, à mai, selon les informations de Reuters. En cause ? Encore et toujours la question de la souveraineté.

En amont de la réunion engagée le 15 avril, l’association française Cigref ayant pour but le développement du numérique dans les grandes entreprises et administrations et un groupement de 18 grands groupes européens a critiqué la voie prise par l’EUCS.

Il y a un an a été introduit dans cette certification un quatrième niveau de labellisation, le plus élevé, comportant des critères de « souveraineté ». Le terme étant galvaudé, il est plus exact de parler de critères d’immunité aux lois extraterritoriales.

Il s’agit de s’assurer que les offres cloud européennes, prétendant à un haut niveau de sécurité, soient légalement à l’abri des juridictions américaines, chinoises ou autre. Un enjeu majeur pour les entreprises et administrations stratégiques, gérant des données sensibles, susceptibles d’intéresser des puissances étrangères.

Cela signifie, par exemple, pour un acteur comme Google Cloud, de créer une co-entreprise avec un partenaire européen majoritaire, comme S3NS. Ou de simplement octroyer une licence d’utilisation à un groupe européen, comme Microsoft avec Bleu.

Dans la dernière version du texte de l’EUCS, négociée fin mars, ces critères ont été retirés au bénéfice de simples mesures de transparence sur la gestion des données. C’est cette démarche qui est sous le feu des critiques.

La France bataille pour que soit maintenue la notion de souveraineté dans le niveau le plus élevé de l’EUCS, sur le modèle de son référentiel SecNumCloud. D’autres pays européens y voient au contraire une mesure protectionniste qui nuirait à l’économie européenne. Verdict en mai, sauf nouveau report.