Le dernier projet de loi EUCS rédigé par l'ENISA, l'agence européenne chargée de la cybersécurité, concerne un système de certification européen garantissant la cybersécurité du cloud, mais surtout, accroissant les exigences de souveraineté des données des gouvernements et des entreprises de l'Union européenne. Les désaccords sur cette question primordiale sont très vifs entre l’UE et les Etats-Unis mais aussi entre des pays européens. En janvier 2023, Euractiv, réseau de médias spécialisés sur l’UE a mentionné une tentative de médiation entre les Pays-Bas, apôtre de la liberté complète de marché et la France qui fait pression pour des critères plus stricts de souveraineté via le Commissaire européen au marché intérieur Thierry Breton.
Le projet EUCS daté de mai 2023, maintient les exigences en matière de souveraineté "afin de fournir certaines garanties quant à l'indépendance vis-à-vis du droit extra communautaire". Mais le point central du texte reste l’imposition d’exigences plus strictes aux acteurs du cloud extracommunautaires qui détiennent des données critiques et sensibles. Outre les 3 catégories de niveau sécurité, basique, substantiel et élevé, le document inclut un degré supplémentaire Elevé +.
Ce niveau exige que le service en nuage soit exploité uniquement par des entreprises basées dans l'UE, sans qu'aucune entité extérieure à l'UE ne puisse exercer un contrôle effectif sur le prestataire de cloud.
A ce jour, les hyperscalers Amazon, Google et Microsoft et d'autres fournisseurs de services Cloud n'appartenant pas à l'Union européenne et qui souhaitent obtenir un label de cybersécurité de l'UE pour traiter des données sensibles ne peuvent le faire que par le biais d’un partenariat avec un fournisseur de cloud, certifié SecNumCloud en France par l’ANSSI. Sentant le vent du boulet, Amazon a présenté fin 2022 l’option XKS pour l’hébergement des clés de chiffrement dans le cloud, détenues exclusivement par le client, comme une garantie absolue contre la curiosité de la NSA et de la CIA.
Le but : une meilleure cybersécurité mais surtout une réelle souveraineté
Pour tous les niveaux de confidentialité et de sécurité, le projet de certification exige que les contrats soient régis par le droit d'un pays de l'UE et que seuls les cours, tribunaux et organismes d'arbitrage de l'UE soient compétents pour les litiges liés au contrat. Une mesure qui n’est pas du goût des hyperscalers.En outre, les fournisseurs de services en nuage devront informer leurs clients de tout risque annexe et fournir toutes les informations demandées par les clients pour leur permettre d’évaluer eux-mêmes les risques.
Le projet EUCS obligerait également le fournisseur de services à inclure dans le contrat conclu avec le client qu'il n'examine que les demandes d'enquête émises en vertu du droit de l'UE ou du droit national d'un État membre. Une contestation frontale avec les dispositions du Patriot Act et du Cloud Act américains, même si elle est enrobée par l’inimitable jargon légal des institutions européennes.
Des acteurs du cloud en Europe et en France se positionnent en tant qu’opérateurs souverains tels Scaleway ou Cloud Temple, pionnier du cloud de confiance SecNumCloud.