La cybersécurité européenne passera par la très attendue directive EUCS. Elle aura pour mission de planter un cadre commun et les bases pour un marché numérique unique sécurisé. Problème, ce schéma est décrié par plusieurs pays, dont la France. La CNIL avait pointé plusieurs problèmes en juillet. La Commission Supérieure du Numérique et des Postes et le Cigref lui emboitent le pas.
Face à l’explosion du cloud et des cas d’usage, l’Europe travaille depuis longtemps un schéma commun. Il doit assurer un cadre définissant la cybersécurité par paliers, permettant notamment de réserver certains usages aux plus élevés. Toutes les données sont concernées, aussi bien personnelles que les autres, dans tous les degrés de sensibilité.
L’European Union Cybersecurity Scheme for Cloud Services, ou EUCS, est la concrétisation de ce travail de règlementation. À terme, il supplantera les règlementations nationales, dont SecNumCloud en France, créé par l’ANSSI. Trois niveaux de sécurité sont proposés : Basic, Substantial et High. Très logiquement, plus on grimpe dans les niveaux, plus les exigences sont grandes.
Cependant, dans une version précédente du texte, un quatrième niveau était présent. Nommé High+, il reprenait dans les grandes lignes la version 3.2 de SecNumCloud. Avec, en son sein, une exigence spécifique : l’imperméabilité aux lois extraterritoriales. C’est ce point qui fait débat depuis.
L’immunité extraterritoriale au cœur de la polémique
La version 3.2 du label SecNumCloud intègre les conclusions de l’arrêt Schrems II de la Cour de justice européenne. Ainsi, pour qu’une structure prétende au précieux sésame, elle ne doit s’adresser qu’à des prestataires européens. Ceci, pour éviter que les lois d’autres pays entrent en jeu.
Sans les nommer directement, les États-Unis sont le premier exemple. La Section 702 de la loi FISA et d’autres textes permettent au renseignement de piocher dans les données détenues par les entreprises de nationalité américaine. Et ce, quel que soit l’emplacement de leurs serveurs. Un effacement des frontières géographiques contre lequel s’était notamment battu Microsoft. Sans succès.
À l’échelle européenne, l’essence de SecNumCloud 3.2 s’est retrouvée dans le niveau High+. Ce dernier a provoqué cependant de nombreux soubresauts géopolitiques. Et pour cause : des critères techniques et juridiques d’immunité des services cloud aux législations non européennes et à portée extraterritoriale ont été pris comme une mesure ciblée par les États-Unis.