Les 27 Etat-membres doivent se réunir en début de semaine prochaine pour statuer sur la dernière version du projet EUCS. (Crédit Photo : NakNakNak/Pixabay)
Plusieurs fournisseurs, opérateurs, organisations professionnelles et entreprises se mobilisent sur EUCS. La dernière version du projet du schéma de certification des services cloud écarterait le critère de sécurité juridique pour les données les plus sensibles. Les Etats-membres doivent se réunir en début de semaine prochaine pour trancher.
La mèche a été allumée en début de semaine par Guillaume Poupard sur LinkedIn. Dans une tribune intitulée « Vers des jours encore plus sombres pour l'Europe du numérique ? », le directeur général adjoint de Docaposte et ancien patron de l'Anssi, est revenu sur des échos médiatiques prêtant à l'UE la volonté de ne plus garder le critère juridique pour le schéma de certification des services cloud (EUCS) pour les données les plus sensibles. Le responsable a été rejoint cette semaine par deux lettres ouvertes avec le même accent de colère.
La première est signée par Airbus, OVHCloud, Orange, Capgemini, Sopra Steria, Dassault Systèmes... Au total 18 sociétés oeuvrant dans 13 pays européens ont fermement critiqué la dernière version d'EUCS supprimant le critère de sécurité juridique. Celui-ci obligeait les fournisseurs étrangers de créer une co-entreprise ou à coopérer avec une entreprise européenne s'ils veulent obtenir le niveau le plus élevé du schéma. Ils demandent donc la réintégration de cette clause pour limiter l'impact des lois extra-territoriales notamment le Cloud Act et le FISA américains, mais également la réglementation chinoise.
Le Cigref s'en mêle aussi sur fonds de lobby intense
Ce groupe a été rejoint par le Cigref qui hausse également le ton. Regroupant les DSI des grandes entreprises françaises, l'association rappelle que le texte d'origine devait proposer « des garanties d'immunité aux législations non-européennes à portée extraterritoriale pour les données et leurs traitements associés ». Elle constate que la dernière version du texte s'éloigne de cette orientation et réclame à la Commission européenne de clarifier la position sur ce sujet loin des pressions, en particulier des fournisseurs américains.
Depuis le début, deux positions s'affrontent au sein de l'UE. Celle de la France qui pousse à une certification de type SecNumCloud (qui comprend un volet juridique) pour le niveau le plus élevé de certification. Par contre d'autres pays souhaitent des critères moins élevés, pour différentes raisons comme le résume Guillaume Poupard, « certains ne veulent surtout pas prendre le risque de réduire leurs rentrées fiscales, d'autres sont prêts à tout pour continuer à vendre des voitures de luxe ou importer du GNL, beaucoup ont pour priorité - légitime - leur protection militaire par l'OTAN dans un contexte géopolitique particulièrement tendu ». Les 27 pays de l'UE doivent se réunir le 15 avril pour discuter du sujet de l'EUCS et prendre une décision qui pourrait avoir de lourdes conséquences pour le marché du cloud et en particulier pour le secteur public en France.
Suivez-nous