Cloud

Cloud et protection des données sensibles en Europe : de nouvelles mesures en perspective

Photo by Nathy dog on Unsplash

Deux initiatives récentes témoignent d’un changement de cap concernant le Cloud et les données sensibles en Europe. L’Agence de cybersécurité de l’Union européenne (Enisa) travaille actuellement sur un système de certification qui imposerait aux fournisseurs étrangers, en particulier américains, de s’associer avec des acteurs européens. De son côté, le député Philippe Latombe a déposé un amendement dans la Loi de Programmation Militaire (LPM) allant dans la même direction.

Ces deux développements, bien que coïncidents, abordent la question du recours au Cloud pour le traitement des données sensibles, en mettant l’accent sur le rôle joué par les acteurs étrangers, notamment américains. L’objectif de l’Enisa est de mettre en place un système de labellisation similaire à SecNumCloud, visant à renforcer la protection des données des gouvernements et des entreprises des États membres de l’Union européenne, selon les informations de Reuters.

(Ads)

Une exigence de partenariat avec un acteur européen

Selon le texte en préparation consulté par Reuters, l’Enisa envisage d’imposer aux fournisseurs de Cloud non européens de former une coentreprise avec un acteur basé dans l’Union européenne afin d’obtenir ce label de certification. Dans cette coentreprise, les hyperscalers étrangers ne pourraient détenir qu’une participation minoritaire. De plus, tout employé ayant accès aux données de l’Union européenne devrait résider dans l’un des 27 pays membres et être soumis à des contrôles spécifiques pour pouvoir traiter ces données.

La société majoritaire dans cette entreprise commune devrait être exploitée et gérée depuis l’Union européenne, et toutes les données des clients devraient y être stockées et traitées. Selon le projet de proposition, les lois européennes prévaudraient logiquement sur les réglementations d’autres pays.

Il semblerait d’ailleurs que les acteurs américains sentent la chose arriver puisque plusieurs partenariats commencent d’ores et déjà à se dessiner :

Partenariat entre Google Cloud Platform et THALES pour créer S3NS
(Ads)

Un cadre réglementaire en évolution, y compris en France

Le député Philippe Latombe, accompagné d’autres élus, vient de déposer un amendement dans le cadre de l’étude de la Loi de Programmation Militaire (LPM) qui va dans le même sens que les propositions de l’Enisa. Le texte précise que les traitements sensibles « doivent être opérés exclusivement par une ou plusieurs entités dont le siège statutaire, l’administration centrale ou le principal établissement sont établis au sein d’un État membre de l’Union européenne« .

L’amendement ajoute même que ces traitements ne doivent pas être confiés à « une société dont le capital social et les droits de vote sont, directement ou indirectement, détenus individuellement à plus de 24 % et collectivement à plus de 39 %, par des entités tierces possédant leur siège statutaire, administration centrale ou principal établissement en dehors de l’Union européenne« . Ces règles précises visent à réduire la dépendance des Européens vis-à-vis des hyperscalers américains (AWS, Google et Microsoft), qui ont représenté 72 % des dépenses Cloud en Europe en 2022, selon une étude. Il est indéniable que ces sociétés vont intensifier leurs activités de lobbying pour contrer ces deux propositions, comme le craint d’ailleurs le député Latombe dans un communiqué.

Ces deux actions, menées à la fois par l’Enisa et par le député Latombe, reflètent une préoccupation croissante quant à la protection des données sensibles dans le Cloud et à la dépendance excessive aux fournisseurs étrangers, en particulier américains. Alors que l’Enisa travaille sur un système de labellisation visant à garantir que les fournisseurs de Cloud non européens s’associent avec des acteurs européens, l’amendement proposé dans la LPM vise à limiter les partenariats avec des sociétés dont le contrôle est exercé par des entités non européennes. Ces mesures cherchent à renforcer la souveraineté numérique de l’Union européenne et à assurer une protection adéquate des données sensibles.

Il est clair que ces propositions entraîneront des changements significatifs dans le paysage du Cloud en Europe, notamment en ce qui concerne les acteurs américains tels qu’AWS, Google et Microsoft. Ces entreprises devront s’adapter aux nouvelles exigences réglementaires et trouver des solutions pour répondre aux préoccupations de protection des données et de souveraineté numérique des pays européens. Le débat sur l’équilibre entre la sécurité des données sensibles et la libre concurrence sur le marché du Cloud ne fait que commencer, et il est probable que de nouvelles mesures seront prises dans les mois à venir pour renforcer la position de l’Union européenne dans ce domaine crucial.

Share
Published by
thibault

Recent Posts

La version finale de Windows Server 2025 est disponible

La version finale de Windows Server 2025 est disponible Windows Server 2025 est désormais disponible…

5 heures ago

L’IA, le nouveau copilote des développeurs : une productivité démultipliée

Locaux Google France à Paris Introduction L'intelligence artificielle révolutionne tous les secteurs, et le développement…

1 jour ago

Microsoft va renforcer la sécurité dans Entra ID en rendant le MFA obligatoire

Microsoft va renforcer la sécurité dans Entra ID en rendant le MFA obligatoire Renforcement de…

2 jours ago

Teams fait peau neuve : conversations et équipes fusionnent pour une expérience simplifiée

Teams fait peau neuve : conversations et équipes fusionnent pour une expérience simplifiée 31 octobre…

3 jours ago

La synchronisation des Passkeys par Google, la fin des mots de passe ?

La synchronisation des Passkeys par Google, vers la fin des mots de passe ? Google…

1 semaine ago

Cloud Sovereignty: A crucial issue for businesses

cloud sovereignty Why Cloud Sovereignty is important? In today's increasingly digital world, cloud sovereignty has…

1 semaine ago