Cloud : l’UE présente six scénarios de garantie de souveraineté
![Image [EUCS :] des entreprises européennes s’opposent à l’exclusion du critère de souveraineté](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-europe-institutions-2-2024-885x690.jpg)
![Image [DMA :] la Commission européenne va enquêter sur Alphabet, Apple et Meta](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-europe-institutions-2024-885x690.jpg)
![Image [Atos / Eviden :] Airbus jette (à nouveau) l’éponge](https://incyber.org//wp-content/uploads/2023/09/incyber-news-cybersecurity-money-bank-885x690.jpg)
Ils doivent aider à finaliser la norme EUCS dans le cadre du Cybersecurity Act
Les instances européennes ont élaboré, le 23 janvier 2023, un « document conjoint » officieux, portant sur les exigences de souveraineté de l’European Cybersecurity Certification Scheme for Cloud Services (EUCS). Ce système européen de certification des fournisseurs cloud est en cours d’élaboration dans le cadre du Cybersecurity Act.
Le document présente six scénarios sur la façon d’intégrer dans la nomenclature de l’EUCS l’exigence de maintenir certaines données hors de portée des juridictions étrangères.
L’EUCS compte pour l’heure trois niveaux de sûreté : « basique », « substantiel », « élevé ». Le niveau « élevé » pourrait devenir obligatoire pour les secteurs critiques. Doit-il pour autant impliquer une garantie de souveraineté, à l’image du SecNumCloud français ?
La France, l’Espagne ou l’Italie défendent la position du commissaire au Marché intérieur, Thierry Breton, en faveur de cette « souveraineté technologique ». Un groupe de petits pays, mené par les Pays-Bas, y est opposé. Ces six propositions doivent alimenter les débats pour finaliser cette nomenclature.
La première proposition consisterait à appliquer les exigences de souveraineté au niveau « élevé », et à séparer en deux le niveau « substantiel ». L’un des deux équivaudrait alors au niveau « élevé », mais sans les exigences d’immunité. Seconde option : ajouter un quatrième niveau « élevé + », incluant les contraintes de souveraineté.
Troisième proposition : créer des profils d’extension avec des critères de souveraineté, indépendamment des niveaux de garantie. La quatrième option intégrerait deux profils d’extension de ce genre, mais spécifiques au niveau « élevé » et « substantiel ».
La cinquième option ne toucherait pas à la certification actuelle. Mais elle ajouterait, hors du champ de l’EUCS, un mécanisme d’évaluation des fournisseurs de cloud non-européens. Enfin, la sixième déporterait les exigences de souveraineté vers une future législation européenne, là encore en dehors de la certification actuelle.