Quel avenir pour le cloud et l'indépendance technologique de l'Europe ? C'est ce qui se joue actuellement à Bruxelles lors des négociations sur l'EUCS (European Union Cybersecurity Certification Scheme for Cloud Services), la loi qui va définir les exigences, en matière de cybersécurité, entre les différents membres de l'UE dans le cloud.

Or, fin décembre, Washington a prorogé le Foreign intelligence surveillance act (FISA), sa grande loi autorisant ses services de renseignement à récupérer des données des entreprises non-américaines au nom de la sécurité nationale. Avec une extension de son champ d'application et du principe d'extraterritorialité sur les données.

Une inspiration française au service de l'autonomie européenne

Cette décision est en contradiction avec l'émergence des valeurs européennes dans l'espace numérique, et l'UE semble avoir du mal à présenter une réponse forte et convergente. C'est ce qu'illustrent les débats actuels autour de la certification européenne sur le cloud : l'EUCS. La création d'un référentiel cloud de haut niveau est un sujet bien connu en France, avec ces dernières années, une prise de conscience de l'importance de disposer pour ses activités les plus sensibles d'outils de protection numérique de haut niveau. Avec SecNumCloud, la France s'est ainsi positionnée en fer de lance de la sécurité et de la souveraineté numérique.

Ce référentiel a pour but de marquer un engagement fort pour assurer la résilience de l'espace numérique. Il a logiquement été l'une des sources d'inspiration dans la mise en œuvre d'un équivalent européen : l'EUCS (European Union Cybersecurity Certification Scheme for Cloud Services).

Les débats qui se tenaient depuis de longs mois semblaient aboutir à une certification à plusieurs niveaux, dont les plus exigeants, inspirés notamment des propositions françaises, prévoyaient jusqu'à il y a peu, une localisation européenne des fournisseurs de cloud. Ceci en vue de choisir notamment notre niveau de sécurité sur les données, à l'abri des législations extra-européennes, et de faire émerger des clouds sur le continent réduisant notre dépendance économique.

C'est pourtant cette exigence qui est aujourd'hui remise en question par certains de nos partenaires européens, alors même qu'elle devrait être la pierre angulaire de la politique européenne pour un numérique de confiance, c'est-à-dire, préservant une autonomie numérique durable en Europe.

Trouver l'équilibre entre innovation et protection

Cette direction prise par l'UE fait suite à d'autres décisions controversées telles que le Data Privacy Framework, signé avant l'été 2023 par la Commission Européenne. Accord déjà remis en cause par l'avocat autrichien Max Schrems, à l'origine de l'invalidation des précédents accords transatlantiques sur l'exploitation des données des Européens.

Tout ceci interroge sur la réelle volonté politique de lutter pour la protection des données les plus sensibles de nos entreprises et de nos concitoyens. L'EUCS ne devait-il pas incarner au contraire une nouvelle brique ambitieuse d'un marché numérique européen souverain aux règles harmonisées, et protégé de la concurrence déséquilibrée vis-à-vis d'acteurs extra-européens ? Alors pourquoi ce recul ?

L'EUCS a pourtant la capacité d'apporter une réponse équilibrée entre protection et innovation. Le choix d'un cloud souverain européen ne saurait en effet être la réponse à tous les besoins qui existent aujourd'hui dans notre économie fortement numérisée. Nos recettes de cuisines familiales par exemple, aussi secrètes soient-elles, ne nécessitent pas le même niveau de protection que nos données de santé.

Or, EUCS offre une grille de lecture commune avec ses 4 niveaux de certifications (de "basic" à "high+"), avec des niveaux de sécurité adaptés à tous les usages, de la donnée la plus sensible à la moins sensible. Elle permet à tous de se repérer dans les différentes offres de cloud existantes, pour choisir celles offrant le niveau de sécurité le(s) plus adapté(s) à ses besoins.

La France doit défendre une position plus forte

Alors que Bruno Le Maire déclarait en 2022 vouloir continuer de combattre l'extraterritorialité américaine, au nom de notre autonomie, de notre sécurité et de notre culture, la France doit donc transformer ses paroles en actes et se positionner clairement à Bruxelles dans le débat en cours.

Il y a urgence à agir coordonnés, alors que les propositions aujourd'hui sur la table affaibliraient les garanties de transparence et de souveraineté à l'instar de ce que soulignait notre Ministre de l'Economie, ainsi que notre nouveau Ministre de l'Europe Jean-Noël Barrot, alors en charge du numérique.

En supprimant les exigences autour de la localisation des données dans les niveaux les plus élevés de la certification, l'Europe se couperait définitivement de la possibilité de rester autonome, et de voir émerger une industrie européenne du cloud et de la confiance. Elle risquerait de s'enfermer un peu plus dans une dépendance technologique et économique aux GAFAM, positionnant ainsi ses données les plus sensibles à portée du droit extraterritorial.

Les industriels français du cloud appellent le Gouvernement mais également les décideurs européens à s'engager pleinement pour un EUCS exigeant et protecteur. Cette certification représente un moment décisif dans l'affirmation d'une ambition européenne en matière de numérique, de gestion et de protection des données, et de souveraineté. Il s'agit de faire exister un destin de l'UE dans une économie numérique aujourd'hui très déséquilibrée, en conservant une ambition d'autonomie, dans l'optique de construire un avenir commun où chacun pourra choisir la sécurité à laquelle il est en droit d'aspirer.