Les instances européennes ont récemment dévoilé un « document commun » de travail portant sur l’intégration des principes de souveraineté européenne dans la certification des fournisseurs de cloud. Quelle place aura l’immunité aux lois extraterritoriales dans la future nomenclature ? Sera-t-elle imposée à tous les secteurs critiques, comme avec le SecNumCloud français, ou des aménagements seront-ils trouvés ?
Dans le cadre de son Cybersecurity Act, les experts de l’Union européenne planchent actuellement sur l’élaboration d’un schéma de certification des fournisseurs de cloud. Baptisé Cybersecurity Certification Scheme for Cloud Services (ou EUCS), il doit permettre d’identifier le niveau de sécurité des différentes offres cloud proposées dans l’Union européenne.
Intégrer le critère de souveraineté dans la certification de sécurité des fournisseurs de cloud : pour ou contre ?
Dans ce cadre, l’EUCS s’appuie sur trois niveaux de certification : basique, substantiel et élevé. Mais il n’inclue pas pour l’heure de critère de souveraineté, en particulier de localisation européenne des serveurs et d’immunité des données stockées aux lois étrangères, notamment les lois extraterritoriales comme le CLOUD Act états-unien. Et ce, alors même que les fournisseurs US dominent outrageusement le marché.
Cette question divise fortement l’Union européenne, et elle est cruciale, car un niveau EUCS « élevé » pourrait bien devenir obligatoire pour les secteurs jugés critiques, comme l’énergie, les banques et la finance, peut-être le secteur public ou médical.
La Commission européenne, par la voix de son commissaire au Marché intérieur Thierry Breton, s’est vigoureusement positionné pour l’inclusion de ce critère de souveraineté dans l’EUCS. Plusieurs autres États au fort poids économiques et démographiques, France, Italie et Espagne, se sont alignés sur cette position.
En quête d’un consensus, un package de six scénarios d’intégration de la souveraineté à l’EUCS
L’un des modèles de l’EUCS est d’ailleurs le SecNumCloud français, qui intègre pleinement la « souveraineté technologique » pour son plus haut niveau de certification, indispensable pour les secteurs critiques.
Mais plusieurs « petits » pays, menés par les Pays-Bas, sont opposés à l’ajout d’un tel critère, craignant qu’il limite trop fortement le choix d’un fournisseur de cloud, et implique une explosion des coûts (voire une impossibilité à trouver une solution, les opérateurs souverains étant actuellement peu nombreux dans l’Union européenne).
Ces dernières semaines, les deux camps ont négocié pour tenter de trouver un indispensable compromis. Ce 23 janvier 2023, les instances européennes ont rédigé un « document conjoint » officieux sur le sujet, qu’Euractiv a pu obtenir. Il n’est pas le fruit d’un consensus, mais il présente six voies pour intégrer les critères de souveraineté dans l’EUCS, et doit aider à nourrir les débats et discussions.
Ajouter un niveau à la nomenclature de l’EUCS
Ces six scénarios se divisent globalement en trois familles. Les deux premiers proposent en effet d’ajouter un niveau à la nomenclature de l’EUCS. Le scénario 1 intégrerait le critère de souveraineté dans le niveau « élevé », et scinderait en deux le niveau « substantiel » : sa version la plus sécurisée correspondant dans les grandes lignes au niveau « élevé », mais sans les critères de souveraineté. Le scénario 2 ajouterait un niveau « élevé + » avec les critères de souveraineté, réservés aux usages critiques.
La première solution a l’avantage de conserver les exigences initiales de l’EUCS, de rester comparable à d’autres systèmes (comme le SecNumCloud) et de tirer les exigences vers le haut. La deuxième serait plus ciblée et plus claire, indiquant précisément le niveau de sécurité de chaque offre cloud.
Ces deux solutions auraient toutefois le défaut de proposer un champ d’application trop large et imprécis, en particulier si le niveau « élevé » devient obligatoire. Elles pourraient ne pas être cohérente avec le Cybersecurity Act, et poseraient des problèmes de marché, les fournisseurs de cloud souverains n’étant pas assez nombreux.
Ajouter des « profils d’extension » dédiés à la souveraineté
Les scénarios 3 et 4 proposent une autre approche : conserver la nomenclature actuelle, mais ajouter des « profils d’extension », contenant les critères de souveraineté. La proposition 3 veut rendre ces profils indépendants du niveau de sécurité, la proposition 4 élaborer deux profils précis, l’un correspondant au niveau « substantiel », l’autre au niveau « élevé ».
Le scénario 3 serait le plus souple, celui qui s’adapterait le mieux à chaque client. Il offrirait un avantage aux fournisseurs européens, en permettant d’appliquer un critère de souveraineté à tous les niveaux de garantie. Il risquerait toutefois de manquer de clarté.
Le scénario 4 aurait cette clarté, mais il risque de manquer de flexibilité et d’imprécision. Globalement, les scénarios 3 et 4 pourraient manquer de cohérence avec les autres règlements, se heurter à la nature obligatoire du niveau « élevé », et poser de nombreux défis juridiques.
Traiter la question de la souveraineté en dehors de la certification EUCS
Les scénarios 5 et 6 proposent, d’une certaine façon, de botter en touche, en faisant de la souveraineté une question à régler en dehors de l’EUCS. Ils auraient donc le grand avantage de simplifier l’adoption de l’EUCS, centré désormais sur les seuls critères de sécurité, et le grand inconvénient de ralentir encore l’adoption d’une certification cloud complète.
Le scénario 5 propose d’élaborer un mécanisme d’évaluation européen de fiabilité pour les opérateurs et les fournisseurs de services cloud non européens, obligatoire pour rentrer sur le marché européen. Plus flexible, cette approche pourrait toutefois se heurter à une faible robustesse à l’épreuve du temps et à sa compatibilité problématique avec les accords commerciaux en cours.
Le scénario 6 consiste à créer une réglementation européenne dédiée à la souveraineté : elle aurait l’avantage d’y inclure un débat politique, de proposer une approche très flexible et assez robuste, mais pourrait prendre un temps infini, alors que la question est déjà d’une actualité brûlante.