La lettre ouverte envoyée par le Président du Cigref, Jean-Claude Laroche à la Présidente de la Commission européenne, Ursula Von Der Leyen, témoigne de l’inquiétude des grandes entreprises françaises sur la souveraineté numérique. La pomme de discorde est le projet EUCS (European Union Cybersecurity Certification Scheme for Cloud Services), applicable en 2024 et qui porte sur des enjeux complexes, politiques, commerciaux et technologiques. Ce texte européen intègre, en partie, la certification française SecNumCloud sur la sécurité des fournisseurs de services cloud délivré par l’ANSSI aux prestataires qui répondent à un niveau très élevé de sécurité numérique.
L’objectif d’harmonisation des différentes législations des 27 pays européens dans ce domaine est louable mais l’EUCS comporte aussi un volet sur la souveraineté du cloud européen qui est contesté par plusieurs pays dont les Pays-Bas, le Danemark, la Grèce, l’Irlande ou la Suède. Ils soutiennent la vision d’un marché libre et ouvert à l’international versus l’Italie, la France et l’Espagne qui mettent en avant l’impératif de souveraineté des données. Encore faut-il noter, en France, des entorses à ces vertueux principes telles le Health Data Hub, hébergé sur Azure de Microsoft et qui stocke de nombreuses
données de santé.
Des enjeux complexes qui mêlent le marché, la cybersécurité et la souveraineté
Le volet souveraineté du texte EUCS ne passe pas non plus auprès d’Amazon, Microsoft ou Google, c’est le moins qu’on puisse dire. Rappelons que ces trois sociétés possèdent 65 % du marché du cloud en Europe avec 32 % pour Aws d’Amazon, 22 % pour Azure de Microsoft et 11 % pour GCP de Google. Ces grands acteurs ont répliqué via le lobby CCIA (Computer and Communications Industry Association) en appelant la Commission européenne à abandonner les exigences liées à l’immunité en matière de droit étranger au nom de la concurrence. Ce n’est guère surprenant car les Etats-Unis, au nom des principes d’extraterritorialité du Cloud ACT oblige les prestataires américains de cloud à fournir, pour diverses raisons, les données dont ils disposent, où qu’ils se trouvent dans le monde.Autre motif de contestation peu convainquant, le fait que la compétitivité et la cybersécurité européennes seraient considérablement compromises si l’EUCS était en vigueur car les prestataires de cloud étrangers ne seraient pas en mesure d’obtenir les niveaux de certification les plus exigeants.
Alors que le projet de cloud souverain Gaia-X semble sérieusement enlisé, la confidentialité des données sensibles de notre continent serait sérieusement entamée dans le texte EUCS amputé de son volet de souveraineté face aux demandes américaines et aux pays européens qui privilégient le marché plutôt que la protection des données numériques.
Tel est la position de Jean-Claude Laroche, Pdt du Cigref, qui met en avant la position des grands entreprises françaises face aux exigences américaines : « Les pressions exercées, tant par l’industrie technologique américaine que par certaines interventions diplomatiques, laissent à penser que l’EUCS pourrait être dégradé, privant ainsi les entreprises et les administrations publiques européennes d’un outil indispensable pour protéger la confidentialité de leurs données à l’encontre des ingérences d’acteurs non européens. »