Gouvernance

À son tour, la CNIL tire la sonnette d’alarme sur les lacunes de l’EUCS

Par Thierry Derouet, publié le 14 août 2024

Alors que la Commission européenne s’apprête à finaliser le Schéma Européen de Certification en Cybersécurité pour les Services Cloud (EUCS), dans un communiqué publié fin juillet, la CNIL exprime de vives inquiétudes. La CNIL appelle à une révision urgente pour réintroduire des critères de protection renforcés.

En juin dernier, l’Europe numérique retenait son souffle. La Commission européenne devait enfin trancher sur l’EUCS (European Union Cybersecurity Certification Scheme for Cloud Services), un schéma de certification censé unifier les normes de sécurité à travers l’Union. L’enjeu : remplacer des certifications nationales bien établies, telles que SecNumCloud en France ou C5 en Allemagne. Pourtant, malgré l’urgence, l’UE n’a toujours pas donné son feu vert, laissant le projet controversé dans un flou inquiétant.

La CNIL, dans une posture de défenseur inflexible des droits numériques, n’a pas tardé à réagir. La version finale de l’EUCS, loin de rassurer, fait l’impasse sur la souveraineté des données, n’imposant aucune obligation aux fournisseurs de cloud pour protéger les données sensibles contre les lois extra-européennes. Un silence assourdissant qui, selon la CNIL, expose les citoyens européens à des risques considérables.

Un projet criblé de lacunes

Mais la question brûlante demeure : pourquoi l’ENISA, l’Agence de l’Union européenne pour la cybersécurité, a-t-elle sciemment choisi d’ignorer la nécessité d’inclure des critères de protection contre les législations extra-européennes, même pour les niveaux de certification les plus élevés ? L’ENISA est habilitée à donner un avis technique contre un risque dit de « cybersécurité ». Or, ici, le risque n’est pas seulement technique, il est avant tout politique, voire géopolitique, comme l’a souligné à plusieurs reprises le délégué général du Cigref, Henri d’Agrain, qui invite nos dirigeants à « ne plus confondre la résilience des systèmes d’information, destinée à assurer la disponibilité et l’intégrité des données, avec le système juridique nécessaire pour garantir la confidentialité des informations au plus haut niveau requis, c’est-à-dire européen ». Il va jusqu’à se demander : « Pour qui travaillent les gouvernements ? »

Cette négligence est d’autant plus flagrante que les données hébergées par des entreprises sous juridiction extra-européenne, comme les États-Unis, peuvent être contraintes par la loi à être divulguées aux autorités de ces pays. Pour la CNIL, ce risque, bien que faible pour les données non sensibles, est inacceptable pour des informations aussi critiques que les données de santé ou celles concernant les mineurs. « Une protection renforcée est impérative pour ces données, qui ne doivent en aucun cas être exposées au bon vouloir d’États tiers », avertit la CNIL avec fermeté.

La souveraineté européenne sur la sellette

Ce manque de garanties ne relève pas seulement d’une simple faille technique, mais d’un véritable abandon de la souveraineté numérique européenne. « L’absence de critères d’immunité constitue une menace juridique, économique et technologique majeure », martèle la CNIL. En clair, l’EUCS, tel qu’il est conçu, ne fournit pas aux entreprises européennes le cadre sécurisé nécessaire pour protéger les droits fondamentaux des citoyens. Pire encore, il freine le développement d’une offre cloud européenne robuste, pourtant cruciale pour le déploiement de l’intelligence artificielle et l’accès à la commande publique. « Sans ces critères, l’EUCS reste une coquille vide qui risque d’exposer les projets les plus sensibles des États membres », assène la CNIL.

Un appel à l’action immédiat

Face à ces enjeux colossaux, la CNIL sonne l’alarme : il est impératif que l’Union européenne établisse un cadre de certification qui renforce la confiance des utilisateurs tout en protégeant les droits fondamentaux des citoyens dans un environnement numérique de plus en plus hostile. Elle recommande également de « recourir à un prestataire exclusivement soumis au droit européen et offrant le niveau de protection adéquat ».

La commande publique : un terrain miné

Enfin, la CNIL pointe du doigt un autre paradoxe : l’EUCS, tel qu’il est, complique l’accès à la commande publique pour les fournisseurs européens, alors même que des programmes comme FedRAMP aux États-Unis offrent à leurs entreprises un avantage concurrentiel significatif. « L’EUCS va à l’encontre de la loi française du 21 mai dernier, dite loi SREN, qui impose des critères de sécurité stricts pour les services cloud traitant des données sensibles », observe la CNIL. En d’autres termes, l’EUCS, loin de protéger, expose les entreprises européennes à un flou juridique dangereux. Avec une question assez simple : en cas de litige, qui prévaudra ? L’EUCS ou les lois nationales, comme la loi SREN en France ? L’absence d’harmonisation entre les normes européennes et les législations nationales pourrait bien mener à une cacophonie juridique dévastatrice pour la souveraineté numérique du continent.


La Commission européenne, préoccupée par d’autres urgences

Dans sa déclaration de candidature, la présidente réélue s’était davantage inquiétée des ingérences russes et chinoises dans les pays de l’Union européenne, induites par la guerre en Ukraine. Elle avait alors proposé un « Bouclier Européen de la Démocratie ».

Pour Ursula von der Leyen « Il est urgent de doter l’Union européenne d’outils performants de cyberdéfense, d’imposer la transparence des financements étrangers dans notre vie publique comme une règle commune, mais aussi de garantir un cadre informationnel fiable ». Elle avait ajouté : « Pour cela, l’Union doit soutenir le journalisme indépendant, continuer à faire respecter les règles aux géants du numérique et encourager toujours davantage les programmes d’éducation aux médias ».

Entamant son second mandat, la présidente avait également appelé à l’unification des marchés financiers européens. Elle souhaitait la mise en place de mécanismes pour encourager les financements privés au sein de l’UE, notamment pour que les entreprises du numérique locales restent européennes. Elle avait également annoncé la création d’un fonds européen de compétitivité en affirmant que « Les startups européennes ne devraient pas avoir besoin de se tourner vers les États-Unis ou l’Asie pour financer leur expansion ».

Ursula von der Leyen en affirmant que « l’avenir de notre prospérité doit être fabriqué en Europe » doit dorénavant le prouver. Et réviser l’EUCS comme le suggère la CNIL en considérant que la question n’est plus technique mais bel et bien (géo) politique.


À LIRE AUSSI :

Dans l'actualité

Verified by MonsterInsights