06/09
La CNIL s’inquiète des négociations européennes sur l’EUCS : Un enjeu de souveraineté et de sécurité des données
Dans un récent communiqué, la Commission nationale de l’informatique et des libertés (CNIL) a exprimé de vives préoccupations concernant les négociations en cours sur l’EUCS, le futur référentiel européen de cybersécurité pour les fournisseurs de cloud. L’autorité française insiste sur la réintroduction des critères d’immunité aux lois extraterritoriales, une mesure qui exclurait les trois géants américains du secteur : AWS, Azure et Google Cloud.
La CNIL souligne l’importance de la protection des droits et libertés fondamentaux des citoyens européens. Selon un avis publié le 19 juillet, le projet de certification européenne du cloud, l’« European Union Cybersecurity Certification Scheme for Cloud Services » (EUCS), dans sa forme actuelle, ne protégerait pas suffisamment les données sensibles des citoyens contre l’accès par des autorités étrangères. Cela inclut les données des ministères et les informations de santé, entre autres.
Un référentiel pour 27 pays
Le but initial de l’EUCS était de créer un ensemble de normes pour protéger ces données des intrusions étrangères et des cyberattaques. Les fournisseurs de cloud traitant ou stockant ce type de données devraient obtenir la certification EUCS pour garantir la sécurité de ces informations.
Le débat sur l’immunité aux lois extraterritoriales
Depuis 2020, les 27 États de l’Union européenne peinent à s’entendre sur cette certification, prévue par le règlement européen sur la cybersécurité, aussi connu sous le nom de Cybersecurity Act. Certains pays, dont la France, insistent pour que le niveau le plus élevé de l’EUCS exclue toute interférence étrangère. Cela implique une immunité aux lois extraterritoriales américaines telles que la FISA et le Cloud Act, qui obligent les entreprises américaines à partager leurs données avec les agences de renseignement.
La suppression de cette immunité dans la dernière version négociée de l’EUCS a suscité de vives critiques de la part de la CNIL. Sans cette protection, les données sensibles des citoyens européens seraient exposées, mettant en danger leurs droits et libertés fondamentaux.
Conséquences juridiques, économiques, technologiques et industrielles
La CNIL avertit que l’absence de critères d’immunité pose des problèmes juridiques, économiques, technologiques et industriels. Sans cette condition, les administrations et entreprises européennes pourraient choisir des fournisseurs soumis à des lois extraterritoriales, nuisant ainsi à l’essor des acteurs européens du cloud. La CNIL note que cette situation représente une occasion manquée pour ces entreprises de renforcer leur position sur le marché.
William Méauzoone, cofondateur de Leviia, soutient cette position. Il estime que des critères stricts d’immunité et de souveraineté sont nécessaires pour protéger les données sensibles et stimuler l’innovation et la compétitivité des entreprises françaises dans le secteur du cloud.
Problèmes juridiques en perspective
La CNIL souligne également les implications juridiques de la suppression de l’immunité. Actuellement, en France, la certification SecNumCloud impose cette immunité pour les données sensibles. Une certification européenne sans cette exigence pourrait contraindre la France à revoir ses standards à la baisse, ce qui serait problématique pour la protection des données régaliennes et de santé.
Source : CNIL