Dans une lettre ouverte adressée aux États membres et datée du 11 avril, 18 sociétés européennes, parmi lesquelles Airbus, Capgemini, Dassault Systèmes, EDF et OVHcloud, critiquent sans ménagement la dernière version du schéma de certification de cybersécurité à l’échelle de l’UE, dénommé 'EUCS' ('EU cloud certification scheme').
Dans les faits, ce projet européen doit permettre de renforcer la sécurité des données personnelles au sein de l'UE et garantir la souveraineté des États dans le traitement des données des utilisateurs. Trois niveaux de sécurité sont détaillés pour les données, selon leur usage et leur degré de sensibilité.
Dans sa version de départ, 'EUCS' devait imposer une sécurité juridique pour lutter contre le transfert des données les plus sensibles hors d'Europe et, potentiellement, vers des gouvernements ou géants du web étrangers.
Cependant, la dernière version du texte, datée du 22 mars, revient complètement sur cette sécurité et supprime le critère juridique qui obligeait les fournisseurs étrangers à créer une co-entreprise ou à coopérer avec une entreprise européenne pour obtenir le niveau le plus élevé du schéma dès lors que ceux-ci auraient à stocker et à traiter les données sensibles de clients situés dans l'UE.
18 sociétés ont signé la lettre ouverte qui dénonce la suppression de ce critère de sécurité juridique et appellent « les États membres à rejeter toute proposition » qui n’inclurait pas des dispositions garantissant la souveraineté des États européens.
Les signataires rappellent que la protection des données sensibles des utilisateurs est une question cruciale, notamment pour contrecarrer l'extraterritorialité de plusieurs lois étrangères, en citant la loi chinoise sur le renseignement national et le Cloud Act américain.
Ils soulignent également qu'en l'état, ce schéma européen de certification de cybersécurité est en contradiction avec le règlement sur les données ('Data Act') (EUROPE 13211/19), qui interdit l’accès illégal des gouvernements étrangers aux données non personnelles.
Le Cigref, qui regroupe les directions numériques des grandes entreprises françaises, s'est joint aux critiques le 11 avril, en adressant lui aussi une lettre à la présidente de la Commmission.
« Dans sa dernière version, le projet d’EUCS semble s’éloigner de son objectif essentiel de garantir un niveau élevé de sécurité et d’immunité contre les législations extraterritoriales non européennes », détaille la lettre, dénonçant une « situation inacceptable », qui va à l’encontre « de l’ambition d’autonomie stratégique et technologique de l’Union européenne ».
Les experts nationaux des Vingt-Sept se sont réunis lundi 15 avril pour se pencher sur la dernière version du texte. Si la France est partisane d'une certification plus stricte, ce n'est pas le cas de tous les autres États membres.
L'EUCS découle de la loi européenne sur la cybersécurité, qui demande à l'ENISA (Agence européenne pour la cybersécurité) d'élaborer un système de certification à l'échelle de l'UE pour réglementer les fournisseurs de services d'informatique dématérialisés ('cloud').
Voir la lettre du Cigref : https://aeur.eu/f/bsf (Isalia Stieffatre)