La Cnil critique l’EUCS, le projet de règlement européen sur le cloud

La Cnil a publié, le 19 juillet 2024, un avis très critique sur le projet de certification européenne pour les services de cloud (EUCS), en raison de son absence d’immunité aux lois extra-territoriales. Les négociations en cours sur le texte ont conduit à l’abandon de ce critère, notamment sous la pression de l’Allemagne et des Pays-Bas, et contre l’avis de la France.

Or, une société européenne qui confie ses données à des opérateurs de cloud américains est soumise au droit des États-Unis, en particulier au Cloud Act. Cette loi permet aux autorités américaines d’accéder, en cas d’enquête pénale, à toute donnée hébergée par une entreprise américaine, même située hors des États-Unis.

La Cnil estime certes que « ce risque est le plus souvent considéré comme limité, en particulier pour des données non sensibles confiées à des prestataires relevant de « pays adéquats » en termes de protection des données personnelles ». La Commission européenne a justement classé, le 10 juillet 2023, les États-Unis parmi ces « pays adéquats ».

Pour autant, selon la Cnil, « une protection renforcée s’impose pour les traitements de données les plus sensibles (par exemple de grandes bases de données de santé, de données d’infractions ou encore de données relatives à des mineurs) ». Le référentiel SecNumCloud de l’Anssi répond à ses exigences, puisqu’il intègre un critère d’immunité aux lois extra-territoriales. Un opérateur avec cette certification garantit une protection des données de tout accès par des autorités étrangères.

Concernant le projet de règlement européen, la Cnil juge, plus généralement, que « l’absence de niveau incluant des critères « d’immunité » pose problème sur le plan juridique, économique, technologique et industriel ». Une certification EUCS plus contraignante stimulerait notamment l’émergence d’opérateurs européens de cloud, renforçant ainsi la souveraineté numérique de l’UE.