Dans un récent communiqué, la Commission nationale de l’informatique et des libertés (CNIL) a exprimé de vives préoccupations concernant les négociations en cours sur l’EUCS, le futur référentiel européen de cybersécurité pour les fournisseurs de cloud. L’autorité française insiste sur la réintroduction des critères d’immunité aux lois extraterritoriales, une mesure qui exclurait les trois géants américains du secteur : AWS, Azure et Google Cloud.
La CNIL souligne l’importance de la protection des droits et libertés fondamentaux des citoyens européens. Selon un avis publié le 19 juillet, le projet de certification européenne du cloud, l’« European Union Cybersecurity Certification Scheme for Cloud Services » (EUCS), dans sa forme actuelle, ne protégerait pas suffisamment les données sensibles des citoyens contre l’accès par des autorités étrangères. Cela inclut les données des ministères et les informations de santé, entre autres.
Le but initial de l’EUCS était de créer un ensemble de normes pour protéger ces données des intrusions étrangères et des cyberattaques. Les fournisseurs de cloud traitant ou stockant ce type de données devraient obtenir la certification EUCS pour garantir la sécurité de ces informations.
Depuis 2020, les 27 États de l’Union européenne peinent à s’entendre sur cette certification, prévue par le règlement européen sur la cybersécurité, aussi connu sous le nom de Cybersecurity Act. Certains pays, dont la France, insistent pour que le niveau le plus élevé de l’EUCS exclue toute interférence étrangère. Cela implique une immunité aux lois extraterritoriales américaines telles que la FISA et le Cloud Act, qui obligent les entreprises américaines à partager leurs données avec les agences de renseignement.
La suppression de cette immunité dans la dernière version négociée de l’EUCS a suscité de vives critiques de la part de la CNIL. Sans cette protection, les données sensibles des citoyens européens seraient exposées, mettant en danger leurs droits et libertés fondamentaux.
La CNIL avertit que l’absence de critères d’immunité pose des problèmes juridiques, économiques, technologiques et industriels. Sans cette condition, les administrations et entreprises européennes pourraient choisir des fournisseurs soumis à des lois extraterritoriales, nuisant ainsi à l’essor des acteurs européens du cloud. La CNIL note que cette situation représente une occasion manquée pour ces entreprises de renforcer leur position sur le marché.
William Méauzoone, cofondateur de Leviia, soutient cette position. Il estime que des critères stricts d’immunité et de souveraineté sont nécessaires pour protéger les données sensibles et stimuler l’innovation et la compétitivité des entreprises françaises dans le secteur du cloud.
La CNIL souligne également les implications juridiques de la suppression de l’immunité. Actuellement, en France, la certification SecNumCloud impose cette immunité pour les données sensibles. Une certification européenne sans cette exigence pourrait contraindre la France à revoir ses standards à la baisse, ce qui serait problématique pour la protection des données régaliennes et de santé.
Source : CNIL
Après le départ soudain de CANAL+ et de ses chaînes payantes de la TNT, Paris…
Plus de 16 millions de Français seraient exposés sur le dark web à travers un…
La qualité HD+ débarque sur l'application TV d'Orange disponible sur les téléviseurs connectés. Une amélioration…
L'offre sans TV ni téléphonie de Bouygues Telecom est désormais proposée avec sa nouvelle box…
C’est parti pour les nouveautés de la semaine ! Nous faisons un point sur les…
Si DAZN diffusera gratuitement l'intégralité de la Coupe du monde des clubs de foot cet…
