La Commission européenne a lancé trois initiatives réglementaires pour admettre le transfert de données à destination des États-Unis depuis 2015. Ces régulations, connues sous les noms de Safe Harbor, Privacy Shield et Data Privacy Framework, étaient censées fournir un niveau de protection adéquat pour les données ainsi que donner aux sociétés de l’Union européenne le feu vert pour envoyer leurs informations vers les États-Unis sans procédures additionnelles.
Néanmoins, les deux premières de ces ententes ont été rejetés respectivement en 2015 et en 2020 par la Cour de justice de l’Union européenne (CJUE). La CJUE a affirmé que ces règlements étaient en infraction avec les droits à la confidentialité des citoyens européens, en raison des menaces potentielles que les lois extraterritoriales américaines imposent. Malgré ceci, la Commission a produit un troisième règlement, le Data Privacy Framework, en 2023, qui est actuellement en phase d’examen par la CJUE.
Dans l’intervalle, les législations américaines sur l’extraterritorialité se sont renforcées. Pour illustrer, le 24 avril, le président Biden a ratifié l’extension et l’élargissement de la section 702 du Foreign Intelligence Surveillance Act (FISA). Ce dernier autorise les agences de renseignement américaines à collecter des données numériques d’individus non-américains, en masse et sans mandat, en considérant cela comme un défi national de sécurité au même titre que la lutte contre le terrorisme. Grâce à cette loi et un marché du cloud européen contrôlé par les Gafam (Google, Amazon, Facebook, Apple, et Microsoft) à hauteur de plus de 70%, les États-Unis ont accru leur possibilité d’accéder aux données sensibles et stratégiques des entreprises et institutions européennes.
Dans cet environnement, la protection des fournisseurs de services cloud est devenue cruciale. C’est pour cette raison que l’Agence nationale de la sécurité des systèmes d’information (Anssi), l’autorité française en charge de la sécurité et de la défense des systèmes d’information, a mis en place en 2016 la norme SecNumCloud. Sa dernière version comporte des critères de souveraineté et de défense contre les lois hors de l’Europe.
Ces critères assurent que le prestataire de services cloud et les informations qu’il gère ne puissent être soumis à des lois non européennes, permettant donc à l’Etat d’énoncer sa politique et de limiter l’utilisation des administrations par les Gafam.
C’est de cette manière qu’a surgi l’idée de faire évoluer cette norme SecNumCloud française à un niveau européen, dans une norme appelée Schéma de certification de la cybersécurité de l’Union européenne pour les services cloud (EUCS). C’est une opportunité de définir le futur de la sécurité du cloud en Europe et d’uniformiser les critères de sécurité des données entre ses pays membres.
Il reste 59.21% de cet article, le reste est réservé aux abonnés.