EUCS : la CNIL défend la réintroduction des critères d’immunité aux lois extraterritoriales

Dans une rare prise de position et au lendemain de la réélection d’Ursula von der Leyen, la CNIL a appelé au retour d’une équivalence à la qualification SecNumCloud dans le schéma européen de certification de la cybersécurité des services cloud (EUCS).

Après une lettre ouverte publiée par le Cigref en avril, une autre par Airbus le 10 juin signée par 35 entreprises, c’est au tour de la CNIL d’appeler à rétablir les critères d’immunité aux lois extraterritoriales préalablement instruites dans la catégorie « High + » de l’European Union Cybersecurity Scheme for Cloud Services (EUCS).

Ce schéma de certification en cours d’élaboration vise à harmoniser les normes de cybersécurité des services cloud entre les pays membres de l’Union européenne. Elle fait l’objet de vifs débats entre la France et ses homologues européens depuis son annonce en 2019.

« Dans son état actuel, le projet de certification européenne pour les services de cloud (EUCS) ne permet plus aux fournisseurs de démontrer qu’ils protègent les données stockées contre tout accès par une puissance étrangère, contrairement à la qualification SecNumCloud en France », assène l’autorité française de protection des données personnelles, dans un communiqué publié le 19 juillet 2024.

« Dans son état actuel, le projet de certification européenne pour les services de cloud (EUCS) ne permet plus aux fournisseurs de démontrer qu’ils protègent les données stockées contre tout accès par une puissance étrangère [...] ».
CNIL

La notion de souveraineté représentant le quatrième et dernier niveau de protection de l’EUCS avait été retirée du brouillon de travail par l’ENISA (l’Agence de l’Union européenne pour la cybersécurité) en mars dernier.

De fait, les fournisseurs cloud extraeuropéens, dont les acteurs américains, peuvent se voir obligés par les autorités de leurs pays de communiquer les données de leurs clients.

Si le risque d’exposition des données non sensibles des entreprises aux droits extraterritoriaux est « le plus souvent considéré comme limité », la CNIL assure que les données plus sensibles hébergées dans l’Union européenne « ne devraient pas être sujettes à un risque d’accès non autorisé par des autorités d’États tiers ».

C’est le cas pour les données de santé des citoyens européens, les données d’infractions, ou relatives à des mineurs, mais aussi celles des systèmes critiques.

« Dans ce cas, la CNIL recommande de recourir à un prestataire exclusivement soumis au droit européen et offrant le niveau de protection adéquat », rappelle-t-elle. « En France, pour les services d’informatique en nuage (ou cloud en anglais), la certification SecNumCloud de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) comprend ce critère et permet ainsi une protection des données contre les accès par des autorités étrangères ».

Des enjeux légaux et économiques

Or le fait que l’ENISA ait retiré ce critère d’immunité de l’EUCS « pose problème sur le plan juridique, économique, technologique, et industriel », selon la Commission nationale de l’informatique et des libertés.

Cela ne permettrait pas de « stimuler l’offre européenne en matière de cloud », vu comme un moyen technique de développer l’IA dans la région. Par ailleurs, cela ne faciliterait pas « l’accès à la commande publique pour les offreurs européens ». A contrario, « les acteurs dominants actuels en ont pleinement bénéficié dans leur pays d’origine (en particulier via le programme FedRAMP aux États-Unis) », défend-elle.

Les administrations françaises, soumises aux dispositions de la doctrine « Cloud au centre » de l’État, ne pourraient pas non plus compter sur l’EUCS pour migrer leur SI vers le cloud. Elles doivent se départir des lois extraeuropéennes afin de protéger les données « d’une sensibilité particulière » (celles considérées secrètes et essentielles pour le fonctionnement normal des institutions).

Un dispositif renforcé par la loi SREN. Celle-ci oblige (dans certaines conditions) les administrations et leurs partenaires à veiller « à ce que le service d’informatique en nuage fourni par le prestataire privé mette en œuvre des critères de sécurité et de protection […] garantissant notamment la protection des données traitées ou stockées contre tout accès par des autorités publiques d’États tiers, non autorisé par le droit de l’Union européenne ou d’un État membre ».

En conséquence, la CNIL « appelle » à réintroduire le critère d’immunité aux lois extraeuropéennes dans l’EUCS, « même à titre optionnel ».

L’appel de la CNIL, dont l’influence a crû avec la mise en application du RGPD, est intervenu un jour après la réélection d’Ursula von der Leyen à la tête de la Commission européenne. Une prise de position « très rare », note Guillaume Champeau, directeur juridique chez Olympe Legal, sur X (Twitter).

L’autorité française anticipe que le texte de l’EUCS va être réétudié dès que la « nouvelle » Commission sera constituée. Le vote concernant l’EUCS devait avoir lieu à la fin du mois de juin, après un report réclamé par la France.

La Commission européenne préoccupée par la guerre en Ukraine

Dans sa déclaration de candidature, la présidente réélue s’est davantage inquiétée des ingérences russes et chinoises dans les pays de l’Union européenne, induites par la guerre en Ukraine. Et de proposer un « Bouclier Européen de la Démocratie ».

« Il est urgent de doter l’Union européenne d’outils performants de cyberdéfense, d’imposer la transparence des financements étrangers de notre vie publique comme une règle commune, mais aussi de garantir un cadre informationnel fiable », affirme Ursula von der Leyen. « Pour cela, l’Union doit soutenir le journalisme indépendant, continuer à faire respecter les règles aux géants du numérique et encourager toujours davantage les programmes d’éducation aux médias ».

La présidente qui entame son second mandat a également appelé à l’unification des marchés financiers européens. Elle souhaite la mise en place de mécanismes pour encourager les financements privés en UE, entre autres pour que les entreprises du numérique locales restent européennes. Elle a également annoncé un fonds européen de compétitivité.

« Les startups européennes ne devraient pas avoir besoin de se tourner vers les États-Unis ou l’Asie pour financer leur expansion », lance-t-elle.

« […] Ainsi, de l’IA aux technologies propres, l’avenir de notre prospérité doit être fabriqué en Europe ».

Pour approfondir sur Réglementations et Souveraineté