EUCS : où en est l’Europe en 2025 ?
En 2025, le projet européen visant à instaurer une certification de cybersécurité pour les services cloud (EUCS) rencontre de sérieuses difficultés. Des tensions politiques importantes et des désaccords persistants entre les États membres bloquent son avancement. L’initiative, inspirée du référentiel français SecNumCloud, ambitionnait d’harmoniser les exigences de sécurité cloud à l’échelle européenne. Cependant, la question de la souveraineté numérique divise profondément les pays.
La France, soutenue par l’Italie et l’Espagne, plaide pour une protection rigoureuse des données face aux législations étrangères. À l’inverse, la majorité des autres États membres, notamment les Pays-Bas et l’Allemagne, privilégient une approche plus flexible. La suppression du niveau de certification « High+ », qui garantissait une protection contre les lois extracommunautaires, a suscité une vive réaction en France, où beaucoup redoutent un affaiblissement de la sécurité des données sensibles.
Faute de consensus européen, la France relance alors sa propre stratégie de cloud souverain dans le cadre du plan France 2030, afin de soutenir les entreprises capables d’assurer la sécurité et le contrôle des données stratégiques. Cette situation illustre la difficulté à concilier ambitions industrielles, autonomie numérique et coopération européenne, dans un secteur largement dominé par les acteurs américains du cloud.
Après avoir mis en place l’une des législations les plus strictes en matière de protection des données, l’Union européenne cherche désormais à accélérer sur le sujet de la souveraineté numérique avec le projet de certification cloud EUCS. Depuis mai 2018, le RGPD fixe un ensemble de règles relatives à la protection des données. Ces règles s’appliquent à l’ensemble des entreprises opérant dans l’Union européenne, qui doivent désormais assurer leur conformité en matière de protection des données.
À l’échelle européenne, la France fait figure de pionnière en matière de protection des données et de sécurité cloud. Ses nombreuses réglementations, certifications et qualifications – avec en tête la qualification SecNumCloud, délivrée par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) – en sont une bonne illustration.
Oodrive, acteur majeur du cloud souverain français et justement qualifié SecNumCloud 3.2, soutient le projet de certification européenne EUCS, à condition d’en faire un texte protecteur et exigeant pour les données des organisations en Europe. Voici notre analyse.
Dans quel contexte a été élaboré le projet de certification EUCS ?
Les questions d’indépendance et de souveraineté numérique étaient devenues de plus en plus pressantes en Europe, face aux politiques protectionnistes des GAFAM et de la Chine.
C’est dans ce contexte qu’avaient eu lieu les discussions entre les Vingt-Sept autour du projet européen de certification cloud EUCS (European Union Cybersecurity Certification Scheme for Cloud Services). Le sujet mêlait à la fois des enjeux politiques, commerciaux et technologiques.
Le schéma européen de certification des services cloud, porté par l’ENISA et initialement attendu pour 2024, devait remplacer les référentiels nationaux comme SecNumCloud (France), C5 (Allemagne) ou ENS (Espagne). En 2025, faute de compromis entre les États membres, son adoption est reportée sans nouvelle échéance.
Quel est l’objectif de EUCS ?
L’objectif de la certification EUCS est de créer une certification cloud destinée à évaluer la sécurité des fournisseurs de services cloud à l’échelle européenne, à l’image de la qualification SecNumCloud en France, décernée par l’ANSSI à une poignée d’acteurs respectant les critères de sécurité des plus hauts niveaux.
La mise en place de ce cadre vise à harmoniser et à renforcer les exigences en matière de sécurité du cloud et de protection des données dans l’ensemble des États membres. Le projet européen de certification cloud EUCS prévoit trois niveaux de certifications possibles. Ces niveaux de sécurité différents seraient adaptés en fonction des usages et du niveau de sensibilité des données à héberger :
- Niveau basique (basic)
- Niveau substantiel (substantial)
- Niveau élevé (lui-même divisé en « high » et « high+ »)
En 2025, le niveau High+ du projet EUCS, visant à garantir une protection maximale des données sensibles en excluant les prestataires soumis à des lois extraterritoriales, est devenu un point de blocage majeur entre États membres. Soutenu par la France, l’Italie et l’Espagne comme un outil de souveraineté numérique, il a été rejeté par l’Allemagne et les Pays-Bas, qui le jugeaient trop exclusif et susceptible de freiner l’innovation. Faute de consensus, ce niveau a été retiré du projet.
Le rôle moteur de la France dans la sécurité du cloud avec SecNumCloud
La création d’un référentiel cloud européen n’est pas un sujet nouveau pour la France, qui fait d’ailleurs figure de modèle au niveau européen en matière de sécurité et de souveraineté numérique.
L’attribution du référentiel SecNumCloud, visa de sécurité délivré par l’ANSSI, témoigne du respect d’un ensemble de règles de sécurité garantissant un haut niveau d’exigence, à la fois d’un point de vue technique, opérationnel et juridique.
Le référentiel français SecNumCloud fait d’ailleurs figure de référence dans le cadre de la conception de la certification cloud européenne EUCS. L’État français mène également une stratégie cloud ambitieuse dans le cadre de son approche « cloud au centre ».
Le cloud est maintenant considéré comme le mode d’hébergement par défaut des projets numériques de l’État, preuve que les solutions cloud de confiance sont de nature à accélérer la transformation numérique du secteur public.
Les États membres divisés sur le sujet d’une souveraineté numérique européenne
Le projet de certification cloud européenne EUCS ne fait pas l’objet d’un consensus à l’échelle des différents États membres de l’UE.
La France, l’Italie ou encore l’Espagne se positionnent par exemple en faveur d’une protection stricte des données européennes et donc contre le principe d’extraterritorialité des données. Ces pays maintiennent qu’il est nécessaire de mettre les données européennes à l’abri des législations extra-européennes.
SecNumCloud : label de confiance
Le référentiel qui garantit le plus haut niveau de sécurité pour la protection de vos données sensibles.
Ce sujet de l’immunité via-à-vis des juridictions étrangères est d’autant plus important que les États-Unis viennent de prolonger pour plusieurs mois la loi FISA.
Cette volonté d’inclure des exigences de souveraineté au sein de la certification européenne de services cloud EUCS ne fait pas l’unanimité. Emmenés par les Pays-Bas, 12 autres pays européens – dont l’Allemagne – s’opposent à une version du texte qui contiendrait de trop fortes exigences de souveraineté.
Oui à une certification cloud européenne exigeante et protectrice
En tant qu’acteur spécialisé dans la sécurisation des données et le cloud de confiance, Oodrive a toujours promu la mise en place de normes de sécurité cloud exigeantes, tant au niveau national qu’européen.
Oodrive s’intéresse donc de près au projet de certification EUCS et soutient la création de ce texte, à condition d’en faire une qualification de haut niveau – accordée sur la base de critères exigeants – permettant de réellement protéger les données européennes face aux hyperscalers américains.
Les exemples récents du Health Data Hub et de la possibilité donnée à Microsoft de stocker des données de santé françaises constituent de sérieuses atteintes à la confidentialité des données.
Les acteurs français du cloud de confiance – réunis au sein d’Hexatrust et dont Oodrive fait partie – encouragent d’ailleurs l’État et les décideurs européens à s’engager pleinement en faveur d’une certification cloud européenne exigeante et protectrice.
L’enjeu est de permettre à l’Europe de maintenir son indépendance technologique et de faire émerger une industrie européenne du cloud et de la confiance, plutôt que de s’enfermer dans une dépendance technologique et économique vis-à-vis des GAFAM américains.
Pour un alignement de la certification EUCS sur les standards SecNumCloud
Le référentiel SecNumCloud constitue le label le plus exigeant en matière de confiance cloud. S’agissant de la localisation des données, SecNumCloud impose que les données soient stockées et traitées dans l’UE.
La filière française du cloud de confiance souhaite que cette exigence en matière de localisation des données soit maintenue – y compris pour les opérations d’administration et de supervision du service – pour les niveaux les plus élevés de la certification EUCS.
Cet alignement sur les exigences du label SecNumCloud est une exigence indispensable pour maintenir la confidentialité des données européennes et bâtir un écosystème cloud de confiance à l’échelle européenne.
Le projet de certification EUCS illustre bien la nécessité de promouvoir une approche harmonisée de la sécurité cloud en Europe, avec la collaboration de tous les acteurs concernés. Ce référentiel de sécurité unique a vocation à devenir un cadre commun à l’ensemble des États membres de l’Union européenne. Il s’avère donc particulièrement pertinent pour bâtir une souveraineté numérique à l’échelle européenne face aux grandes puissances technologiques étrangères. Afin de répondre à l’ensemble de ces objectifs, Oodrive maintient que la certification EUCS doit être alignée sur les exigences de la qualification SecNumCloud, le référentiel de sécurité le plus élevé au niveau européen.
