Cloud et protection des données sensibles en Europe : de nouvelles mesures en perspective

Deux initiatives récentes témoignent d’un changement de cap concernant le Cloud et les données sensibles en Europe. L’Agence de cybersécurité de l’Union européenne (Enisa) travaille actuellement sur un système de certification qui imposerait aux fournisseurs étrangers, en particulier américains, de s’associer avec des acteurs européens. De son côté, le député Philippe Latombe a déposé un amendement dans la Loi de Programmation Militaire (LPM) allant dans la même direction.

Ces deux développements, bien que coïncidents, abordent la question du recours au Cloud pour le traitement des données sensibles, en mettant l’accent sur le rôle joué par les acteurs étrangers, notamment américains. L’objectif de l’Enisa est de mettre en place un système de labellisation similaire à SecNumCloud, visant à renforcer la protection des données des gouvernements et des entreprises des États membres de l’Union européenne, selon les informations de Reuters.

Une exigence de partenariat avec un acteur européen

Selon le texte en préparation consulté par Reuters, l’Enisa envisage d’imposer aux fournisseurs de Cloud non européens de former une coentreprise avec un acteur basé dans l’Union européenne afin d’obtenir ce label de certification. Dans cette coentreprise, les hyperscalers étrangers ne pourraient détenir qu’une participation minoritaire. De plus, tout employé ayant accès aux données de l’Union européenne devrait résider dans l’un des 27 pays membres et être soumis à des contrôles spécifiques pour pouvoir traiter ces données.

La société majoritaire dans cette entreprise commune devrait être exploitée et gérée depuis l’Union européenne, et toutes les données des clients devraient y être stockées et traitées. Selon le projet de proposition, les lois européennes prévaudraient logiquement sur les réglementations d’autres pays.

Il semblerait d’ailleurs que les acteurs américains sentent la chose arriver puisque plusieurs partenariats commencent d’ores et déjà à se dessiner :

• Bleu, le Cloud de confiance de Microsoft avec Orange et Capgemini
• S3NS : l’alternative née du partenariat entre Google Cloud Platform et THALES
• Du côté de AWS, il ne restait plus grand monde et il semblerait que quelque-chose se prépare avec Atos

Un cadre réglementaire en évolution, y compris en France

Le député Philippe Latombe, accompagné d’autres élus, vient de déposer un amendement dans le cadre de l’étude de la Loi de Programmation Militaire (LPM) qui va dans le même sens que les propositions de l’Enisa. Le texte précise que les traitements sensibles « doivent être opérés exclusivement par une ou plusieurs entités dont le siège statutaire, l’administration centrale ou le principal établissement sont établis au sein d’un État membre de l’Union européenne« .

L’amendement ajoute même que ces traitements ne doivent pas être confiés à « une société dont le capital social et les droits de vote sont, directement ou indirectement, détenus individuellement à plus de 24 % et collectivement à plus de 39 %, par des entités tierces possédant leur siège statutaire, administration centrale ou principal établissement en dehors de l’Union européenne« . Ces règles précises visent à réduire la dépendance des Européens vis-à-vis des hyperscalers américains (AWS, Google et Microsoft), qui ont représenté 72 % des dépenses Cloud en Europe en 2022, selon une étude. Il est indéniable que ces sociétés vont intensifier leurs activités de lobbying pour contrer ces deux propositions, comme le craint d’ailleurs le député Latombe dans un communiqué.

Ces deux actions, menées à la fois par l’Enisa et par le député Latombe, reflètent une préoccupation croissante quant à la protection des données sensibles dans le Cloud et à la dépendance excessive aux fournisseurs étrangers, en particulier américains. Alors que l’Enisa travaille sur un système de labellisation visant à garantir que les fournisseurs de Cloud non européens s’associent avec des acteurs européens, l’amendement proposé dans la LPM vise à limiter les partenariats avec des sociétés dont le contrôle est exercé par des entités non européennes. Ces mesures cherchent à renforcer la souveraineté numérique de l’Union européenne et à assurer une protection adéquate des données sensibles.

Il est clair que ces propositions entraîneront des changements significatifs dans le paysage du Cloud en Europe, notamment en ce qui concerne les acteurs américains tels qu’AWS, Google et Microsoft. Ces entreprises devront s’adapter aux nouvelles exigences réglementaires et trouver des solutions pour répondre aux préoccupations de protection des données et de souveraineté numérique des pays européens. Le débat sur l’équilibre entre la sécurité des données sensibles et la libre concurrence sur le marché du Cloud ne fait que commencer, et il est probable que de nouvelles mesures seront prises dans les mois à venir pour renforcer la position de l’Union européenne dans ce domaine crucial.

• Source d’origine : Données sensibles : bientôt une réglementation pour imposer des co-entreprises aux cloud américains ? article par : Jacques Cheminat.