Pour l’heure, le paysage en la matière est fragmenté : si la France est dotée de la certification la plus exigeante (SecNum Cloud), les autres Etats ont également leur propre mécanisme de certification cloud, dont le niveau d’exigence n’est pas équivalent. Ainsi, une entreprise américaine comme Zoom Video Communications Inc. a pu obtenir la certification ENS, qui est la certification espagnole, ou encore l’attestation C5, délivrée par l’Allemagne, mais ne bénéficie pas de l’exigeante certification SecNum Cloud.
Afin de remédier à cette fragmentation, l’agence de l’Union européenne pour la cybersécurité (ENISA) a pour projet de faire naître une certification cloud au niveau européen, afin que les acteurs certifiés puissent garantir un haut niveau de cybersécurité qui soit similaire sur tout le territoire de l’Union européenne.
Dans la foulée du Cyber Act 2020, l’agence s’est donc attelée à la construction de ce projet européen de certification. Au-delà du renforcement de la cybersécurité dans le domaine du cloud, un autre objectif - cher à l’Union européenne - s’illustre au travers de ce projet : la souveraineté digitale. Jusqu’ici, les tentatives de mettre sur pied un cloud dit souverain ont toutes échoué. Le projet Gaia-X, dont l’aboutissement semble s’éloigner, en est une illustration récente. Mais c’était sans compter sur la ténacité de certains acteurs de l’Union européenne, notamment la Commission européenne qui a insisté pour inclure des exigences de souveraineté dans ce projet de certification.
Ce projet de certification présente plusieurs niveaux d’assurance (I), le dernier niveau comprenant un objectif de souveraineté qui divise (II).
1. Les différents niveaux d’assurance du projet européen de certification cloud.
Le projet de certification définit trois niveaux de certification possibles, comportant des conditions différentes selon le niveau de sécurité exigé. Les trois niveaux d’assurance sont les suivants : le niveau basique (basic), le niveau substantiel (substantial) et le niveau élevé (high).
Ces différents niveaux sont classés graduellement en fonction du risque encouru :
- Le niveau d’assurance basique est destiné à minimiser les risques fondamentaux connus d’incidents de cyberattaques
- Le niveau d’assurance substantiel est destiné à minimiser les risques connus de cybersécurité, ainsi que le risque d’incidents et de cyberattaques menées par des acteurs disposant de compétences et de ressources limitées
- Le niveau d’assurance élevé est destiné à minimiser le risque de cyberattaques de pointe menées par des acteurs disposant de compétences et de ressources importantes.
Le niveau d’assurance élevé, qui est le plus exigeant des trois, est lui-même subdivisé en deux niveaux distincts. Il s’agit des niveaux CS-EL3 (« catégorie 3 » ou « élevé ») et CS-EL4 (« catégorie 4 » ou « élevé+ »).
Pour la catégorie 3, l’EUCS prévoit l’obligation pour le prestataire d’offrir au moins une option contractuelle dans laquelle tous les lieux de stockage et de traitement des données se situent dans l’Union européenne.
La catégorie 4, plus stricte, va plus loin en exigeant du prestataire que toutes les activités de traitement des données aient lieu dans l’Union européenne, à moins que les clients n’acceptent certaines exceptions limitées. Les fournisseurs de services cloud devront dans ce cas dresser la liste de toutes les activités d’assistance réalisées en dehors de l’Europe.
De plus, dans les deux cas, pour construire et maintenir leur infrastructure numérique, les fournisseurs de services cloud ne devront faire appel qu’à un fournisseur de services de confiance basé dans un pays de l’Union.
Ces exigences expliquent l’assimilation du plus haut niveau de sécurité assuré par cette certification européenne avec la certification française en vigueur. En effet, le référentiel français actuel, permettant d’obtenir la certification SecNum Cloud, dans sa version 3.2 en date du 8 mars 2022, prévoit dans son point 19.2 « Localisation de données » que (i) le prestataire doit stocker et traiter les données du commanditaire au sein de l’Union Européenne, que (ii) les opérations d’administration et de supervision du service doivent être réalisées depuis l’Union Européenne, et que (iii) le prestataire doit stocker et traiter les données techniques au sein de l’Union Européenne.
En outre, la Commission européenne a demandé à l’ENISA d’ajouter au sein de l’EUCS des exigences en matière d’immunité, de sorte que les fournisseurs de service cloud seraient tenus de démontrer leur immunité juridique vis-à-vis des juridictions étrangères.
Toutes ces exigences démontrent le désir pour certains acteurs, dont la Commission européenne, d’inclure des garanties ayant vocation à permettre la création d’un véritable cloud souverain qui serait à l’abris des interventions des autorités d’Etats tiers. Au regard du marché en matière de prestataires de services cloud, dominé par les acteurs américains (Amazon détient 32% des parts de marché, Microsoft 22% et Google 11%) [1], et au regard de la réglementation existante outre Atlantique (notamment le Cloud act qui permet aux autorités de contraindre les fournisseurs de services établis sur le territoire des Etats-Unis de fournir les données stockées sur leurs serveurs, qu’ils soient situés sur le territoire des Etats-Unis ou dans des pays étrangers), ces exigences ont été perçues comme le reflet d’un certain anti-américanisme.
De fait, avec l’imposition de telles conditions, les acteurs américains, soumis au droit américain et donc tenus de se conformer aux exigences du Cloud act, se retrouvent exclus du plus haut niveau d’assurance de la certification européenne.
2. Un objectif de souveraineté qui divise.
A l’échelle internationale, les principaux fournisseurs de services cloud (Amazon, Microsoft et Google), sont montés au créneau pour exprimer leur opposition à l’instauration de telles exigences. Par ailleurs, le centre européen pour l’économie politique internationale a publié en mars 2023 un rapport appelant l’ENISA ainsi que la Commission européenne à abandonner les exigences liées à l’immunité en matière de droit étranger. Ce rapport souligne que de telles exigences risqueraient d’ouvrir une boîte de Pandore qui aboutirait à imposer des exigences d’établissements locaux pour l’industrie du digital, menant à l’exclusion des entreprises étrangères du marché de la fourniture de services cloud. Il est toutefois nécessaire de préciser que ce rapport a été commandé par la CCIA (Computer and Communications Industry Association) qui a pour activité le lobbying, et qui compte parmi ses membres des entreprises telles que Google et Amazon.
A l’échelle européenne, l’EUCS est devenu le berceau d’oppositions farouches entre plusieurs « camps » ayant à cœur des visions différentes. Si certains Etats, tels que les Pays-Bas, le Danemark, la Grèce, l’Irlande ou encore la Suède, soutiennent l’idée d’un marché libre qui doit être ouvert à tous les acteurs, d’autres, dont l’Italie, l’Espagne, et la France en chef de file, poussent pour faire adopter ces exigences destinées à renforcer la souveraineté.
Par ailleurs, en novembre 2021, le Comité européen de la protection des données a pris position en publiant une lettre en faveur de nouvelles mesures de localisation des données, citant l’arrêt « Schrems II » rendu par la Cour de justice de l’Union européenne en 2020, dans lequel la Cour requérait un renforcement des garanties concernant le transfert de données à caractère personnel de l’Europe vers les États-Unis. Néanmoins, au regard de la nouvelle décision d’adéquation adoptée en juillet 2023 par la Commission européenne pour les Etats-Unis (Data Privacy Framework), qui a vocation à remédier aux préoccupations soulevées par la Cour dans cet arrêt, cet argument sera désormais plus difficile à faire valoir.
En somme, ce projet de certification donne lieu à d’âpres débats quant aux exigences destinées à entériner l’existence d’un cloud souverain, divisant ainsi au sein même de l’Union européenne.
De plus, sur un plan commercial, certaines voix s’élèvent contre ce projet car elles relèvent que de telles exigences violeraient certaines réglementations internationales en refusant aux fournisseurs de services cloud plus compétitifs un traitement équitable et non discriminatoire. Deux ensembles de règles, promulgués par l’Organisation mondiale du commerce, régissent la prestation transfrontalière de services : l’Accord sur les marchés publics (AMP), qui traite spécifiquement des acquisitions gouvernementales, et l’Accord général sur le commerce des services (AGCS), qui s’applique de manière plus générale.
L’AMP exige que tout État partie traite les entreprises étrangères fournissant des services de cloud computing à des entités gouvernementales sur une base transfrontalière de manière qui ne soit pas moins favorable que pour les fournisseurs établis localement.
L’AGCS contient des engagements similaires, prévoyant que « chaque Membre accordera immédiatement et sans condition aux services et fournisseurs de services de tout autre Membre un traitement non moins favorable que celui qu’il accorde aux services similaires et fournisseurs de services similaires de tout autre pays ».
Pour certaines associations professionnelles du secteur, l’EUCS en l’état serait donc probablement incompatible avec ces obligations.
Enfin, pour certains, la conséquence à long terme de l’EUCS pourrait être un affaiblissement du niveau de cybersécurité au sein de l’Union européenne. L’argument est le suivant : l’EUCS réduirait la capacité des entreprises européennes à accéder à des services de cybersécurité de haute qualité et diminuerait ainsi la capacité de l’Europe à être compétitive au niveau mondial dans de nombreux secteurs. En effet, certains ont pu arguer que la compétitivité et la cybersécurité européennes seraient considérablement compromises si l’EUCS était adopté, car les fournisseurs de services cloud étrangers ne seraient pas en mesure d’obtenir les niveaux de certification « élevé » et « élevé+ ».
Cette absence de certification aux niveaux « élevé » et « élevé+ » pourrait avoir comme conséquence l’exclusion de ces fournisseurs de marchés publics mais également d’opportunités commerciales avec des organisations considérées comme des infrastructures critiques. En conséquence, les gouvernements européens ainsi que les entités européennes critiques seraient contraints de faire appel à des fournisseurs européens, moins à même de répondre aux exigences en matière de cybersécurité et de résilience.
Bien que ce projet de certification soit présenté comme une certification que les entreprises pourront demander, sur la base du volontariat, afin de démontrer le haut niveau de cybersécurité assuré par leurs services, certains acteurs craignent que cette certification ne deviennent in fine obligatoire pour les entreprises considérées comme des entités essentielles ou importantes dans le cadre de la directive NIS 2 (Network and Information Systems) qui entrera en application en 2024. D’autres craignent que, en pratique, les entreprises faisant appel aux prestataires de services cloud n’intègrent le plus haut niveau d’assurance de cette certification comme condition préalable dans les processus de passation des marchés, la transformant dès lors en prérequis qui exclurait les acteurs américains.
Conclusion.
L’EUCS peut être vu comme une opportunité d’homogénéiser les exigences en matière de cybersécurité sur le territoire de l’Union européenne et comme une opportunité pour stimuler la croissance et le renforcement des fournisseurs de services cloud européens.
Toutefois, en poursuivant cet objectif de souveraineté, les institutions européennes risquent de soumettre les gouvernements européens ainsi que les entités européennes critiques à des services moins performants et d’imposer, à moyen terme, des coûts substantiels aux utilisateurs de ces fournisseurs.
Si ce projet de certification à l’échelle européenne est l’occasion de renforcer la souveraineté de l’Union européenne en la matière, prendre une telle direction pourrait amener à réduire le niveau de cybersécurité, ce qui serait contreproductif par rapport à l’objectif initial de cette certification. A l’heure actuelle, au vu du temps et des ressources nécessaires pour développer un service aussi performant que ceux développés par les géants américains, il n’existe pas de fournisseur européen offrant des niveaux de services équivalents.
Au regard des nombreux désaccords internes à l’Union européenne sur la question, et des risques de violation de réglementations internationales et de baisse du niveau de cybersécurité, le cloud souverain ne semble être, pour l’heure, qu’une utopie.
