Cloud : les syndicats mondiaux inquiets de la future certification européenne

Dans une lettre ouverte publiée le 1er décembre 2022, treize associations d’opérateurs mondiaux de cloud, venus des États-Unis, d’Amérique latine, du Japon et du Royaume-Uni (dont Amazon, Microsoft et Google), s’inquiètent de la distorsion de concurrence que pourrait induire le futur schéma de certification cloud européen (EUCS).

L’ENISA élabore actuellement cet EUCS, construit sur le modèle du SecNumCloud français, à partir de plusieurs critères, notamment la cyberprotection des données, leur hébergement et traitement dans l’Union européenne, et leur robustesse à l’extra-territorialité des lois étrangères (en particulier du Cloud Act américain).

« Les exigences de l’EUCS sont apparemment conçues pour garantir que les fournisseurs non européens ne puissent pas accéder au marché de l’UE sur un pied d’égalité, empêchant ainsi les industries et les gouvernements européens de bénéficier pleinement des offres de ces fournisseurs mondiaux », détaillent les signataires.

« Chaque acteur du marché doit avoir une chance équitable de concourir sur la base de ses mérites, indépendamment de la localisation de son siège social, de la nationalité de ses actionnaires ou des membres de son conseil d’administration », ajoute Alexandre Roure, de la Computer & Communications Industry Association, une des signataires.

Réagissant à ces critiques, l’ENISA a rappelé que l’EUCS comporterait trois niveaux, et que seul le plus sécurisé appliquerait une préférence européenne.

« Le niveau le plus élevé est destiné à n’être applicable qu’à un petit nombre de cas d’utilisation exigeant le plus haut niveau de sécurité (par exemple, les applications gouvernementales hautement sensibles et les applications d’infrastructure hautement critiques), pour lesquels un certain niveau d’indépendance vis-à-vis des lois non européennes devra être assuré », précise l’ENISA.