Cloud : l’Union européenne réduit légèrement ses critères de souveraineté

L’Union européenne a mis à jour, le 20 novembre 2023, son projet de schéma européen de certification des services cloud, l’EUCS. N’ayant pas obtenu de consensus sur la version d’août 2023, Bruxelles a assoupli les critères de souveraineté pour les troisième et quatrième niveau (« élevé » et « élevé + ») du référentiel, qui en compte 4.

Cette nouvelle version réduit ainsi légèrement l’exigence de localisation européenne des fournisseurs de cloud certifiés « élevé + ». Elle leur laisse l’alternative de mettre en place « des mesures techniques, organisationnelles et juridiques efficaces » qui « empêchent les entreprises non européennes liées au fournisseur de cloud d’exercer une influence décisive sur les décisions relatives aux demandes d’enquête ».

Cette disposition vise explicitement à garantir que « les fournisseurs de cloud étrangers de confiance remplissant d’autres conditions [qu’une localisation européenne stricte, NDLR] puissent être certifiés ». Plusieurs autres modifications de l’EUCS tendent à atténuer, aux niveaux « élevé » et « élevé + », l’obligation « d’imperméabilité » à l’extraterritorialité des lois étrangères, en particulier du Cloud Act américain.

Concernant la localisation des données, les fournisseurs de cloud certifiés au niveau « élevé » devront désormais disposer d’au moins un data center dans l’Union européenne. Pour obtenir le niveau « élevé + », tous les data centers devront toujours se trouver dans l’UE.

Reste à savoir si ces concessions seront suffisantes pour rallier les pays, menés par les Pays-Bas et l’Allemagne, opposés à des critères de souveraineté trop drastiques. Le temps presse : les Vingt-Sept doivent adopter l’EUCS avant la fin de la mandature en cours, en 2024.