Le Cigref défend l’immunité aux lois étrangères de la certification cloud de l’UE

Adopté en mars 2019 par l’Union européenne, le Cybersecurity Act a notamment mis en place un cadre de certification de cybersécurité, visant une harmonisation au niveau européen, via un référentiel défini par l’ENISA.

Le règlement s’appuie sur trois niveaux de certification :

• élémentaire, pour les produits non-critiques ;
• substantiel, pour les produits présentant un risque médian ;
• élevé, pour les produits critiques.

Des groupes de travail planchent actuellement sur la définition de ces trois niveaux d’exigence, mais la question-clé des lois extraterritoriales ralentit leur élaboration.

Le Cigref et son homologue allemand VOICE ont récemment demandé, via une lettre ouverte envoyée au commissaire à la concurrence, Thierry Breton, l’inclusion d’une immunité aux lois extraterritoriales pour le niveau « élevé » de certification.

« Nous estimons que la mise en oeuvre d’un schéma de certification ambitieux découle de l’esprit du Cybersecurity Act dont l’objectif est d’instaurer un cadre règlementaire harmonisé garantissant la protection et la sécurité des systèmes d’information et des données sur le territoire de l’Union européenne », écrivent-ils.

Le Cigref prend l’exemple des niveaux de certification de Gaia-X : les entreprises étrangères y sont autorisées, mais elles n’ont aucune garantie d’obtenir le plus haut niveau de certification, puisque « le niveau 3 des labels de Gaia-X prévoit explicitement l’immunité aux législations non européennes à portée extraterritoriales ».

Le Cigref insiste sur le fait que cette immunité n’est pas problématique « au regard du droit de la concurrence et des traités internationaux dès lors qu’il existe des alternatives avec les niveaux basiques et substantiel », puisque la majorité des cas d’usage seront traités à ces deux niveaux.