Après Microsoft qui s’est vu autorisé, par la CNIL, d’héberger des données de santé françaises à des fins de recherches, on a désormais la nouvelle norme européenne EUCS qui fait débat au sujet de nos données sensibles.
Qu’est ce que le projet de certification EUCS ?
Ce projet de certification devrait être adopté d’ici 2024, cette certification vise à remplacer les certifications cloud nationales existantes afin d’harmoniser totalement la sécurité cloud dans l’Union Européenne. Cette norme devait imposer une sécurité juridique, pour lutter contre le transfert des données sensibles hors Europe, à l’image de la certification SecNum Cloud. Elle était destinée à évaluer la sécurité des fournisseurs de services cloud à l’échelle européenne.
Le SecNumCloud a été créé afin de se protéger des deux lois américaines le Fisa (Foreign Intelligence Surveillance Act) et le Cloud Act. Ce référentiel fournit une réponse conforme by design aux exigences de la CJUE en matière de protection des données dans le cloud.
Revenons à la certification EUCS, celle-ci classe les données en 3 niveaux distincts
– Un niveau basique ;
– Un niveau substantiel ;
– Un niveau élevé.
Les entreprises étrangères doivent coopérer avec une société européenne ou proposer ses services par le biais d’une coentreprise, dès lors, que ces entreprises devaient stocker des données sensibles de clients issus de l’Union Européenne.
Où est le problème alors ?
Le problème est que l’UE a décidé d’enlever cette exigence précédemment citée pour le niveau élevé. Nos données les plus sensibles ne seront plus exclusives aux entreprises européennes. En effet, la certification EUCS ne prévoirait plus d’exigences de souveraineté pour les données sensibles.
Quelles en sont les conséquences ?
Une lettre ouverte regroupant 18 grandes entreprises évoque le risque de l’accès illégal des données de l’Union européenne par les gouvernements étrangers. Prenons le cas des Etats-Unis avec son Cloud Act ou encore le Fisa (Foreign Intelligence Surveillance Act). Intéressons-nous à la section 702 de cette loi Fisa qui permet au gouvernement américain de procéder à une surveillance ciblée des ressortissants étrangers vivant en dehors des USA sans avoir besoin d’obtenir de mandat. En permettant l’hébergement de nos données sensibles aux entreprises américaines, on sert sur un plateau d’argent nos données au gouvernement américain. Ce dernier n’aura aucun effort à faire pour s’en servir. En outre, cette section 702 a été renouvelé récemment pour quelques mois encore.
C’est ce que critiquent ces entreprises dans la lettre ouverte. Cela aura également une conséquence sur les acteurs européens du cloud qui vont perdre toutes leurs parts de marchés au profit des géants américains.
Pourquoi un tel changement ?
Il n’y a pas eu de communication officielle de l’Union Européenne expliquant ce changement. Cela peut s’expliquer par de fortes pressions faites par des entreprises américaines ou les restrictions initialement prévues nuiraient selon eux à la compétitivité et à l’innovation. Le manque d’alternative cloud européenne fiable pourrait également être un argument. L’argument le plus logique est la volonté de l’UE d’harmoniser afin d’éviter toutes disparités entre les 27 Etats qui nuirait au marché intérieur.
On peut apporter une critique sur la politique cloud que propose l’Union européenne. En effet, elle ne souhaite pas une souveraineté étatique pour le cloud, de peur d’une fragmentation possible entre les États membres. L’UE souhaite tout harmoniser pour apporter ce niveau de protection dans les 27 Etats. Néanmoins, des pays de l’UE devront mettre de côté leurs projets cloud qui étaient déjà très avancés pour certains. On peut citer C5 en Allemagne ou encore ENS en Espagne et bien sûr SecNum Cloud en France. Ces services cloud n’offrait pas le même niveau de sécurité et surtout les mêmes exigences. On peut prendre l’exemple cloud américain Oracle qui est certifié C5 et ENS mais pas SecNum Cloud, ou ce dernier est plus exigeant concernant l’obtention de sa certification. La France va donc se voir imposer un service cloud européen allégé pour satisfaire les autres Etats membres alors qu’elle possédait déjà un service cloud qui apportait une sécurité satisfaisante de nos données hors UE.
On peut remettre en question cette volonté d’harmonisation cloud que l’UE souhaite depuis si longtemps. Les niveaux d’utilisation du cloud diffèrent grandement entre les pays de l’UE, ce qui complique l’établissement d’une réglementation uniforme.
Cependant, le gouvernement français souhaite maintenir sa certification SecNum Cloud au niveau national, indépendamment de la réglementation européenne…
Sources:
- https://datanews.levif.be/actualite/monde/legislation-monde/les-entreprises-europeennes-insatisfaites-dune-legislation-cloud-moins-stricte/
- https://www.clubic.com/actualite-524199-le-pire-est-peut-etre-a-venir-pour-la-protection-et-le-transfert-de-vos-donnees-personnelles-vers-l-etranger.html
- https://www.lemondeinformatique.fr/les-dossiers/lire-secnumcloud-bientot-remplace-par-l-eucset-8201-1454.html
- https://www.itforbusiness.fr/eucs-une-histoire-sans-fin-qui-doit-enfin-trouver-un-compromis-75588
- https://www.oodrive.com/fr/blog/securite/eucs/