FR
  • Cyber stabilité
  • Secops
  • Gestion des risques
  • Transformation numérique
  • Souveraineté numérique
  • Cybercriminalité
  • Industrie et OT
  • Fraude
  • Identité numérique
  • Cyber +
    • EUCS en pratique : promesse d’harmonisation européenne ou casse-tête de souveraineté

    EUCS en pratique : promesse d’harmonisation européenne ou casse-tête de souveraineté

    Écrit par
    Gabriela Belaïd
    03.11.25
    Souveraineté numérique Transformation numérique
    11
    MIN
    EUCS en pratique : promesse d’harmonisation européenne ou casse-tête de souveraineté
    EUCS en pratique : promesse d’harmonisation européenne ou casse-tête de souveraineté
    EUCS en pratique : promesse d’harmonisation européenne ou casse-tête de souveraineté
    Image Stratégie nationale cyber : comme un avion sans aile ?  
    Cybersécurité
    17.02.26 Cybersécurité
    Prochain article
    Stratégie nationale cyber : comme un avion sans aile ?  
    Lire
    06
    MIN
    Image BPCE va privilégier le réseau CB pour Apple Pay
    Souveraineté numérique
    17.02.26 Souveraineté numérique
    Prochain article
    BPCE va privilégier le réseau CB pour Apple Pay
    Lire
    02
    MIN
    Image Mistral AI investit 1,2 milliard d’euros dans un centre de données en Suède
    Souveraineté numérique
    13.02.26 Souveraineté numérique
    Prochain article
    Mistral AI investit 1,2 milliard d’euros dans un centre de données en Suède
    Lire
    01
    MIN
    Image Libérer la compétitivité : repenser l’investissement en cybersécurité en Europe
    Cybersécurité
    06.02.26 Cybersécurité
    Prochain article
    Libérer la compétitivité : repenser l’investissement en cybersécurité en Europe
    Lire
    07
    MIN
    Cinq ans après son lancement, le schéma européen de certification de cybersécurité pour le cloud (EUCS) cristallise toutes les ambitions – et toutes les contradictions – de l’Europe numérique.

    Cela fait près de cinq ans que l’ENISA pilote la conception du schéma européen de certification de cybersécurité pour les services cloud, dit EUCS. L’ambition initiale est simple à formuler et complexe à concrétiser : définir des critères communs et des niveaux d’assurance partagés pour qu’un service cloud certifié dans un État membre soit reconnu dans toute l’UE (mutual recognition). En pratique, EUCS s’appuie largement sur des référentiels internationaux (ISO 27001/27017/27018, bonnes pratiques industrielles), avec des niveaux d’assurance « Basic », « Substantial » et « High ». L’objectif : améliorer la sécurité, la lisibilité du marché, et fluidifier les achats au-delà des frontières nationales.

    C’est quoi, l’EUCS ?

    L’EUCS  (European Union Cybersecurity Certification Scheme for Cloud Services) est le schéma européen de certification cybersécurité destiné aux services cloud. Il vise à fixer un socle commun d’exigences et des niveaux d’assurance (Basic, Substantial, High) pour qu’un service certifié dans un État membre soit reconnu dans toute l’UE (reconnaissance mutuelle). Le projet est piloté par l’ENISA dans le cadre du Cybersecurity Act. 

    Concrètement, EUCS apporte un vocabulaire commun, des contrôles audités, et des exigences de transparence (ex. localisation des données, sous-traitance, juridictions applicables, modalités d’audit) afin d’aider acheteurs publics/privés à comparer et sélectionner des offres cloud plus sûres.  

    Pourquoi, comment… et où en est-on aujourd’hui (actualité 2025) ?

    • Pourquoi ? 

    Harmoniser la cybersécurité des services cloud à l’échelle européenne. Harmoniser un marché encore fragmenté, élever le niveau de sécurité, et réduire le coût de la multi-certification pour les fournisseurs européens. 

    L’EUCS répond à un enjeu majeur pour l’Europe : établir un cadre commun de confiance pour la cybersécurité du cloud. Aujourd’hui, chaque État membre applique ses propres règles et niveaux d’exigence, rendant la comparaison et la reconnaissance des certifications complexes. Le schéma européen vise à harmoniser ces pratiques, en fixant un standard unique qui permette à un service cloud certifié dans un pays d’être reconnu dans toute l’Union européenne.

    Au-delà de la simplification réglementaire, l’EUCS a une ambition stratégique : renforcer la souveraineté numérique européenne. En offrant une évaluation claire et partagée du niveau de sécurité des prestataires, elle aide les entreprises, les administrations et les organismes publics à choisir leurs fournisseurs en toute transparence, sur la base de critères techniques, éthiques et juridiques communs.

    L’EUCS devra chercher à restaurer la confiance dans l’adoption du cloud, notamment pour les acteurs manipulant des données sensibles (santé, finance, éducation, services publics) :  en encourageant l’innovation sécurisée, en garantissant que les nouvelles solutions numériques respectent des exigences de cybersécurité robustes, vérifiées et auditées.

    Dans un contexte où la cybercriminalité s’intensifie et où les données circulent massivement entre pays, l’EUCS doit constituer un outil de protection collective en établissant une base commune de résilience et de transparence, facilitant la coopération entre États membres et favorisant la convergence des réglementations.

    En d’autres termes, l’EUCS n’est pas qu’un cadre technique et normatif : c’est un instrument de confiance et de souveraineté, pensé pour accompagner la transformation, la sécurité et la souveraineté numérique européenne de manière sûre, lisible et durable.

    • Comment ? 

    L’EUCS repose sur une approche structurée, progressive et auditable. Il définit un ensemble de critères techniques, organisationnels et juridiques destinés à évaluer le niveau de sécurité d’un service cloud. Ces exigences s’appuient sur les bonnes pratiques internationales (notamment ISO/IEC 27001, 27017 et 27018), mais y ajoutent une dimension européenne : la reconnaissance mutuelle des certifications entre États membres.

    Concrètement, le schéma introduit trois niveaux d’assurance – Basic, Substantial et High – correspondant à des degrés croissants de maîtrise du risque.

    • Le niveau Basic vise les services courants, pour lesquels les menaces sont limitées.
    • Le niveau Substantial concerne les prestataires qui démontrent une réelle capacité à protéger leurs clients contre des attaques ciblées.
    • Le niveau High, le plus exigeant, s’adresse aux opérateurs traitant des données critiques, avec des mécanismes de sécurité avancés et des audits renforcés.

    Chaque fournisseur de services cloud devra prouver sa conformité à ces exigences à travers un audit indépendant mené par un organisme de certification accrédité, reconnu à l’échelle européenne. Une fois certifié, le service bénéficie d’une reconnaissance automatique dans l’ensemble de l’Union, ce qui simplifie la mise sur le marché et renforce la confiance des clients.

    L’EUCS introduit également un principe clé : la transparence. Les prestataires certifiés doivent publier des informations précises sur la localisation des données, la chaîne de sous-traitance, les juridictions applicables et le droit d’audit des clients. EUCS valorise la capacité à démontrer et documenter (preuves auditables, tableaux de transparence à jour). Ce dispositif vise à donner aux entreprises la visibilité nécessaire pour mesurer les risques de souveraineté et de conformité avant de confier leurs données.

    En pratique, cette approche combine rigueur technique et clarté réglementaire : elle unifie les standards européens tout en laissant une marge d’adaptation aux réalités de chaque secteur. En d’autres termes, l’EUCS ne crée pas un nouveau carcan, mais un cadre commun de confiance, pensé pour évoluer avec les technologies, les usages et les menaces.

    • Où en est-on en 2025 ?

    Politiquement, le dossier avance… à tout petits pas depuis 2019. 

    Début 2025, 23 organisations industrielles ont demandé à la Commission d’adopter rapidement le projet actualisé d’EUCS, jugé plus « technique » et donc plus acceptable pour les géants du cloud américains (AWS, Microsoft, Google). À l’inverse, de grands acteurs européens (Deutsche Telekom, Airbus, Orange…) avaient dénoncé au printemps 2024 la suppression des exigences de « souveraineté » dans les versions récentes du texte. Résultat : une pression contradictoire sur la Commission, entre partisans d’une adoption rapide et défenseurs d’un cliquet juridique contre l’extraterritorialité (Cloud Act, FISA, etc.)

    Côté régulateurs, la CNIL a publiquement exprimé, en juillet 2024, ses inquiétudes : dans sa forme actuelle, l’EUCS ne permet plus de démontrer une protection contre l’accès par des autorités étrangères, contrairement à la qualification française SecNumCloud. Elle appelle à réintroduire ces garanties. Des analyses et prises de position d’associations professionnelles prolongent ce constat, pointant la disparition des clauses de souveraineté au profit d’exigences de transparence comme la tribune de Guillaume Poupard en avril 2024 DGA de Docaposte et ex DG de l’ANSSI  « Vers des jours encore plus sombres pour l’Europe du numérique ? », dénonçait ce renoncement.

    Plusieurs initiatives privées et collectives militent pour un niveau “High+” ou équivalent, c’est-à-dire un palier additionnel intégrant des garde-fous juridiques contre les lois extra-UE. La lettre ouverte du 14 mars 2025 adressée à la Commission européenne, entreprises, experts et associations appellent à renforcer le projet EUCS en y réintégrant un niveau de certification élevé, garantissant une réelle protection contre les lois extraterritoriales non européennes. Leur crainte : qu’en l’absence de ce niveau renforcé, l’Europe se contente d’un cadre harmonisé, mais dépourvu des garanties nécessaires pour protéger ses données les plus sensibles et assurer sa souveraineté numérique.

    Le point de friction : la souveraineté juridique

    Le cœur du blocage n’est pas tant technique que juridico-politique : comment concilier un marché intérieur harmonisé avec la volonté de certains États (France en tête) de prévenir l’accès légal non-européen aux données ? En France, la réponse actuelle s’appelle SecNumCloud v3.2, qui intègre des exigences d’“immunité” (par ex. l’article 19.6) visant à neutraliser l’effet de lois extraterritoriales. Cette spécificité explique la montée des demandes de qualification et son usage par l’État (doctrine « Cloud au centre).

    À l’échelle européenne, les versions récentes d’EUCS ont épuré ces clauses de souveraineté pour revenir à un tronc commun de critères de sécurité et de transparence (localisation, sous-traitance, juridictions applicables, droit d’audit, etc.). Les utilisateurs gagneraient en lisibilité, mais perdent une garantie juridique contre la pression de lois non-UE.

    Pourquoi on n’avance pas ?

    • Divergences politiques : consensus sur l’objectif (harmonisation), désaccord sur la méthode (faut-il intégrer des barrières juridiques type « souveraineté » au niveau européen ?). Les versions 2024 ont retiré ces clauses, déclenchant des lettres opposées (pro-adoption rapide vs pro-souveraineté). 
    • Compétence partagée “cybersécurité vs protection des données” : l’ENISA rappelle que l’EUCS n’est pas destiné à couvrir la conformité RGPD ; d’où la tentation de renvoyer la souveraineté aux contrats/appels d’offres, ce que critiquent les autorités comme la CNIL. 
    • Pragmatisme marché : des acheteurs publics continuent de privilégier des offres non-EUCS/« hyperscalers » pour des raisons d’écosystème/coûts, pendant que d’autres pays durcissent (cf. Pays-Bas). 

    Perspectives 

    L’actualité récente confirme que le schéma EUCS peine toujours à sortir du blocage : en juin 2024, l’adoption attendue du texte a été repoussée à mi-juillet, car la Commission et les États membres n’ont pas encore tranché la question des « exigences de souveraineté » (notamment localisation des données et contrôle juridique) qui font l’objet d’un vif débat. 

    Cela montre bien que, en pratique, l’EUCS incarne à la fois une promesse d’harmonisation européenne — mise en place d’un standard commun de cybersécurité pour les services cloud — et un casse-tête de souveraineté pour l’Europe. D’une part, le cadre technique proposé (avec niveaux Basic / Substantial / High) est prêt à offrir plus de transparence, plus de comparabilité et un accès marché simplifié pour les fournisseurs certifiés. D’autre part, l’absence à ce jour d’un niveau « High+ » ou d’une version incluant des garanties juridiques fortes contre les lois extraterritoriales (comme certains acteurs nationaux l’exigent) laisse persister un risque : celui que l’Europe mette en place un bon label technique mais sans les garde-fous souveraineté que certains estiment indispensables pour ses données critiques.

    Pour les entreprises, les acheteurs et les fournisseurs, cela signifie qu’il faut anticiper les deux faces du miroir :

    • Se préparer à utiliser (ou obtenir) la certification EUCS comme un socle de confiance commun (audit indépendant, transparence, reconnaissance UE).
    • Mais rester vigilants et contractuellement exigeants sur les clauses complémentaires (localisation, accessibilité, juridiction, droit d’audit) tant que le volet souveraineté ne sera pas pleinement clarifié.

    Ainsi, l’EUCS est bien plus qu’un simple référentiel technique : il signe l’ambition d’une Europe numérique plus autonome, tout en illustrant la difficulté politique à concilier libre marché, interopérabilité globale et protection souveraine des données.

    .

    Conclusion 

    Après cinq ans de débats, de versions successives et de communiqués prudents, l’EUCS n’a toujours pas franchi le cap de la décision finale. C’est à croire que le premier service certifié « haute sécurité » sera… le processus de négociation lui-même.
    Entre les États membres qui redoutent une perte de souveraineté, les industriels qui plaident pour la simplification, et les institutions qui jonglent entre ambition et diplomatie, le schéma européen ressemble à un nuage sans météo : on sait qu’il est là, mais personne ne peut dire quand il se dissipera.
    Ironie du sort, c’est au nom de la « résilience européenne » qu’on repousse sans cesse son adoption — une résilience administrative, sans doute, mais pas encore numérique.

    La balle est désormais dans le camp des pouvoirs publics européens : s’ils doivent choisir entre rapidité d’implémentation et renforcement souverain, ou trouver un équilibre pragmatique intégrant les deux

    Gabriela Belaïd
    03.11.25
    Continuer ma lecture
    1
    18.11.21 Gestion des risques
    Atos et Nvidia lancent un laboratoire de recherche en IA
    Lire
    01
    MIN
    2
    26.12.24 Transformation numérique
    La Cnil sanctionne Kaspr d’une amende de 240 000 euros pour extraction de données illégale
    Lire
    02
    MIN
    3
    12.03.25 Cybersécurité
    Un partenariat gagnant – gagnant
    Lire
    05
    MIN
    4
    03.07.25 Transformation numérique
    Gouvernance des données dans le contexte de l’IA, de la conformité et de la sécurité
    Lire
    08
    MIN
    Image Stratégie nationale cyber : comme un avion sans aile ?  
    Cybersécurité
    17.02.26 Cybersécurité
    Prochain article
    Stratégie nationale cyber : comme un avion sans aile ?  
    Lire
    06
    MIN
    Image BPCE va privilégier le réseau CB pour Apple Pay
    Souveraineté numérique
    17.02.26 Souveraineté numérique
    Prochain article
    BPCE va privilégier le réseau CB pour Apple Pay
    Lire
    02
    MIN
    Image Mistral AI investit 1,2 milliard d’euros dans un centre de données en Suède
    Souveraineté numérique
    13.02.26 Souveraineté numérique
    Prochain article
    Mistral AI investit 1,2 milliard d’euros dans un centre de données en Suède
    Lire
    01
    MIN
    Image Libérer la compétitivité : repenser l’investissement en cybersécurité en Europe
    Cybersécurité
    06.02.26 Cybersécurité
    Prochain article
    Libérer la compétitivité : repenser l’investissement en cybersécurité en Europe
    Lire
    07
    MIN
    Restez informés en temps réel
    S'inscrire à
    la newsletter
    En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
    Restez informés en temps réel
    S'inscrire à
    la newsletter
    En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.