Après avoir mis en place l’une des législations les plus strictes en matière de protection des données, l’Union européenne cherche désormais à accélérer sur le sujet de la souveraineté numérique avec le projet de certification cloud EUCS.
Depuis mai 2018, le RGPD fixe un ensemble de règles relatives à la protection des données. Ces règles s’appliquent à l’ensemble des entreprises opérant dans l’Union européenne, qui doivent désormais assurer leur conformité en matière de protection des données.
À l’échelle européenne, la France fait figure de pionnière en matière de protection des données et de sécurité cloud.
Ses nombreuses réglementations, certifications et qualifications – avec en tête la qualification SecNumCloud, délivrée par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) – en sont une bonne illustration.
Oodrive, acteur majeur du cloud souverain français et justement qualifié SecNumCloud, soutient le projet de certification européenne EUCS, à condition d’en faire un texte protecteur et exigeant pour les données des organisations en Europe. Voici notre analyse.
Le projet de certification EUCS, une réponse européenne à la qualification SecNumCloud
Dans quel contexte est élaboré le projet de certification EUCS ?
Les questions d’indépendance et de souveraineté numérique deviennent de plus en plus pressantes en Europe face aux politiques protectionnistes des GAFAM et de la Chine.
C’est dans ce contexte que prennent place les discussions des Vingt-sept autour du projet européen de certification cloud EUCS (European Union Cybersecurity Certification Scheme for Cloud Services). Le sujet mêle à la fois des enjeux politiques, commerciaux et technologiques.
SecNumCloud : label de confiance
Le référentiel qui garantit le plus haut niveau de sécurité pour la protection de vos données sensibles.
Ce schéma européen de certification des services cloud devrait être adopté en 2024 et se substituer aux certifications nationales (SecNumCloud en France, C5 en Allemagne, ENS en Espagne).
Le projet est porté par l’ENISA, l’Agence de l’Union européenne pour la cybersécurité, et s’inspire des schémas nationaux existants.
Quel est l’objectif de EUCS ?
L’objectif de ce texte est de créer une certification cloud destinée à évaluer la sécurité des fournisseurs de services cloud à l’échelle européenne, à l’image de la qualification SecNumCloud en France, décernée par l’ANSSI à une poignée d’acteurs respectant les critères de sécurité des plus hauts niveaux.
La mise en place de ce cadre permettra d’harmoniser et de renforcer les exigences en matière de sécurité du cloud et de protection des données dans l’ensemble des États membres.
En l’état actuel des discussions, le projet européen de certification cloud EUCS prévoit trois niveaux de certifications possibles.
Ces niveaux de sécurité différents seraient adaptés en fonction des usages et du niveau de sensibilité des données à héberger :
- Niveau basique (basic)
- Niveau substantiel (substantial)
- Niveau élevé (lui-même divisé en « high » et « high+ »)
La France, fer de lance européen en matière de sécurité du cloud
Le rôle moteur de la France dans la sécurité du cloud avec SecNumCloud
La création d’un référentiel cloud européen n’est pas un sujet nouveau pour la France, qui fait d’ailleurs figure de modèle au niveau européen en matière de sécurité et de souveraineté numérique.
L’attribution du référentiel SecNumCloud, visa de sécurité délivré par l’ANSSI, témoigne du respect d’un ensemble de règles de sécurité garantissant un haut niveau d’exigence, à la fois d’un point de vue technique, opérationnel et juridique.
Le référentiel français SecNumCloud fait d’ailleurs figure de référence dans le cadre de la conception de la certification cloud européenne EUCS.
L’État français mène également une stratégie cloud ambitieuse dans le cadre de son approche « cloud au centre ».
Le cloud est maintenant considéré comme le mode d’hébergement par défaut des projets numériques de l’État, preuve que les solutions cloud de confiance sont de nature à accélérer la transformation numérique du secteur public.
Les États membres divisés sur le sujet d’une souveraineté numérique européenne
Le projet de certification cloud européenne EUCS ne fait pas l’objet d’un consensus à l’échelle des différents États membres de l’UE.
La France, l’Italie ou encore l’Espagne se positionnent par exemple en faveur d’une protection stricte des données européennes et donc contre le principe d’extraterritorialité des données.
Ces pays maintiennent qu’il est nécessaire de mettre les données européennes à l’abri des législations extra-européennes.
Ce sujet de l’immunité via-à-vis des juridictions étrangères est d’autant plus important que les États-Unis viennent de prolonger pour plusieurs mois la loi FISA.
Cette volonté d’inclure des exigences de souveraineté au sein de la certification européenne de services cloud EUCS ne fait pas l’unanimité.
Emmenés par les Pays-Bas, 12 autres pays européens – dont l’Allemagne – s’opposent à une version du texte qui contiendrait de trop fortes exigences de souveraineté.
La réaction d’Oodrive au projet de certification cloud européenne EUCS
Oui à une certification cloud européenne exigeante et protectrice
En tant qu’acteur spécialisé dans la sécurisation des données et le cloud de confiance, Oodrive a toujours promu la mise en place de normes de sécurité cloud exigeantes, tant au niveau national qu’européen.
Oodrive s’intéresse donc de près au projet de certification EUCS et soutient la création de ce texte, à condition d’en faire une qualification de haut niveau – accordée sur la base de critères exigeants – permettant de réellement protéger les données européennes face aux hyperscalers américains.
Les exemples récents du Health Data Hub et de la possibilité donnée à Microsoft de stocker des données de santé françaises constituent de sérieuses atteintes à la confidentialité des données.
Les acteurs français du cloud de confiance – réunis au sein d’Hexatrust et dont Oodrive fait partie – encouragent d’ailleurs l’État et les décideurs européens à s’engager pleinement en faveur d’une certification cloud européenne exigeante et protectrice.
L’enjeu est de permettre à l’Europe de maintenir son indépendance technologique et de faire émerger une industrie européenne du cloud et de la confiance, plutôt que de s’enfermer dans une dépendance technologique et économique vis-à-vis des GAFAM américains.
Pour un alignement de la certification EUCS sur les standards SecNumCloud
Le référentiel SecNumCloud constitue le label le plus exigeant en matière de confiance cloud.
S’agissant de la localisation des données, SecNumCloud impose que les données soient stockées et traitées dans l’UE.
La filière française du cloud de confiance souhaite que cette exigence en matière de localisation des données soit maintenue – y compris pour les opérations d’administration et de supervision du service – pour les niveaux les plus élevés de la certification EUCS.
Cet alignement sur les exigences du label SecNumCloud est une exigence indispensable pour maintenir la confidentialité des données européennes et bâtir un écosystème cloud de confiance à l’échelle européenne.
Le projet de certification EUCS illustre bien la nécessité de promouvoir une approche harmonisée de la sécurité cloud en Europe, avec la collaboration de tous les acteurs concernés.
Suite collaborative Oodrive
Découvrez nos solutions SaaS sécurisées et qualifiées SecNumCloud
Ce référentiel de sécurité unique a vocation à devenir un cadre commun à l’ensemble des États membres de l’Union européenne.
Il s’avère donc particulièrement pertinent pour bâtir une souveraineté numérique à l’échelle européenne face aux grandes puissances technologiques étrangères.
Afin de répondre à l’ensemble de ces objectifs, Oodrive maintient que la certification EUCS doit être alignée sur les exigences de la qualification SecNumCloud, le référentiel de sécurité le plus élevé au niveau européen.
