La directive DEE / EED pour l’efficacité énergétique
Les datacenters sont directement concernés par la nouvelle version de la directive européenne sur l'efficacité énergétique (en français DEE, pour Directive sur l’efficacité énergétique, ou EED en anglais, pour Energy Efficiency Directive) a été adoptée par le Conseil de l’Union européenne le 25 juillet 2023 et officiellement publiée au Journal officiel de l’Union européenne le 20 septembre 2023.La directive européenne DEE/EED prévoit que les nouvelles installations ou les rénovations substantielles de datacenters d’une puissance totale supérieure à 1 MW devront valoriser la chaleur fatale, à travers par exemple un réseau de chaleur, sauf en cas d’impossibilité technique ou économique. La chaleur fatale correspond à l’énergie thermique indirectement produite par les serveurs et autres équipements présents dans le centre de données.
Les datacenters d’une puissance supérieure à 500 kW sont par ailleurs dans l’obligation de fournir annuellement des informations sur leur performance énergétique au public et ce, depuis le mois de mai 2024. Ces données couvrent notamment la superficie, la puissance installée, la consommation d’énergie et l’utilisation de la chaleur fatale.
Il est intéressant de noter que les membres du Climate Neutral Data Center Pact (CNDCP), organisation professionnelle qui regroupe 90 % des opérateurs de datacenters européens, se sont engagés auprès de la Commission européenne à limiter leur consommation d’eau à 400 ml d’eau par kWh informatique consommé, d’ici 2040.
Le référentiel SecNumCloud au cœur des enjeux de souveraineté
Autre enjeu majeur pour les acteurs spécialisés dans les centres de données : la souveraineté numérique, qui soulève des préoccupations tant au niveau national qu'international. Un certain nombre de lois extra-européennes, comme le Cloud Act ou le FISA (Foreign Intelligence Surveillance Act), peuvent en effet faire peser des risques sur les données hébergées au sein de datacenters utilisant des solutions fournies par des acteurs américains.En France, le référentiel SecNumCloud - élaboré en 2016 par l’ANSSI - permet la qualification de prestataires de services cloud, quelle que soit leur spécialisation : SaaS (Software-as-a-Service), PaaS (Plateform-as-a-Service) et IaaS (Infrastructure-as-a-Service). Il propose un ensemble de règles de sécurité à suivre garantissant un haut niveau d’exigence d’un point de vue technique et opérationnel.
Dans sa version 3.2, publiée en mars 2022, ce référentiel respecte les exigences européennes relatives à la protection des données personnelles. Il se conforme aux suites de l’arrêt « Schrems II » de la Cour de justice de l’Union européenne. Cet arrêt a rappelé l’exigence de garantir une protection équivalente à celle offerte par le règlement général sur la protection des données (RGPD) quand des données personnelles de citoyens européens sont transférées hors de l’Union européenne. Le référentiel permet également de répondre aux exigences de la doctrine « Cloud au centre » de l’État qui impose aux administrations le recours à des solutions hautement sécurisées pour l’hébergement de données sensibles.
Notons que la décision de la Cnil d’autoriser l’hébergement sur le cloud de Microsoft d'un entrepôt de données de santé (EMC2) suscite de nombreuses inquiétudes quant aux risques d'application des lois américaines à portée extra-territoriale (Cloud Act, FISA / Foreign Intelligence Surveillance Act…). L’EMC2 est un projet européen mené par l’Agence européenne des médicaments (EMA). Il prévoit d’utiliser le traitement automatisé des données pour faire avancer la recherche pharmaco-épidémiologique.
NIS 2 : un renforcement des exigences de sécurité
La directive « Sécurité des réseaux et de l’information », dite « NIS 1 » (Network and Information System Security), qui date de 2016, va se transformer en NIS 2 au deuxième semestre 2024. Afin de faire face à des pirates toujours plus efficaces, elle élargit son périmètre d’action et intègre un mécanisme de proportionnalité distinguant deux catégories d’entités régulées en fonction de leur niveau de criticité : les entités essentielles (EE) et les entités importantes (EI).NIS 2 étend également le nombre de secteurs concernés. Alors que la directive NIS 1 concernait 19 secteurs d’activité, NIS 2 en englobe 35, dont l’industrie, l’agroalimentaire, la fabrication et la gestion des déchets. Les entreprises ciblées sont celles employant plus de 50 salariés et dont le chiffre d’affaires dépasse le million d’euros.
NIS 2 renforce par ailleurs les sanctions qui pourront être infligées aux entités ne respectant pas ses règles. Les amendes pourront atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les EE, et 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial pour les EI.
La CSRD pour mettre en valeur l’information extra-financière
La directive européenne CSRD (Corporate Sustainability Reporting Directive), applicable depuis le 1er janvier 2024, définit de nouvelles obligations de reporting extra-financier pour les grandes entreprises et les PME cotées en bourse. Elle succède à la directive sur la publication d'informations non financières (2014) et a pour objectif d’harmoniser le reporting extra-financier des entreprises européennes.Les données de l'entreprise qui rentrent dans le périmètre de la directive CSRD sont ses données ESG (Environnement, Social et Gouvernance) :
- Données environnementales : atténuation et adaptation au changement climatique, biodiversité, utilisation des ressources naturelles…
- Données sociales : égalité des chances, conditions de travail et respect des droits de l'homme et des libertés fondamentales…
- Gouvernance : rôle des organes d'administration, activités de lobbying, gestion des relations avec les partenaires commerciaux…
Par Damien DESANTI, Président Fondateur de PHOCEA DC