Quelques grands fournisseurs et utilisateurs de cloud européens ne sont pas ravis des projets belgo/européens visant à assouplir les règles en matière de sécurité des données. Cela présente des risques, mais cela leur inflige également plus de concurrence.
Dans une lettre ouverte, diverses entreprises, dont Proximus, Airbus, OVH, Sopra Steria, Orange, EDF, Capgemini et Deutsche Telekom, demandent que l’Europe reconsidère le système de certification de cybersécurité des services cloud (EUCS en abrégé). Cette classification devrait aider les entreprises et les pouvoirs publics à choisir le fournisseur approprié pour le traitement ou le stockage de leurs données.
Les signataires affirment que la version la plus récente de ce projet est beaucoup plus flexible, facilitant ainsi la prise en considération de fournisseurs américains ou chinois. Ils craignent que cela ne crée un risque d’accès illégal aux données sur la base de lois étrangères.
En collaboration avec une entreprise européenne
Dans les versions précédentes, l’EUCS était beaucoup plus strict et obligeait une entreprise américaine à proposer ses services par le biais d’une coentreprise ou d’une étroite collaboration avec une entreprise européenne. Dans l’état actuel des choses, tel ne devrait pas être le cas. Mais des pays comme les Etats-Unis disposent également de lois qui leur permettent de consulter les données de leurs propres acteurs, ce qui pourrait signifier que les données d’entreprises ou d’institutions européennes détenues ou traitées par un acteur américain puissent être potentiellement consultées par les autorités américaines.
Outre la crainte d’un accès illégal aux données, les signataires appellent aussi à davantage de cohérence sur l’ensemble du marché européen. Dans sa version la plus récente, le CCB (Centre pour la Cybersécurité Belgique) plaiderait en faveur d’une définition des exigences au niveau national. Mais cela pourrait conduire à une fragmentation.
La version actuelle serait également jugée insuffisamment transparente. Surtout parce que les signataires craignent que les entreprises suivent aveuglément l’EUCS et se contentent donc du ‘niveau le plus élevé’, sans prendre conscience que cela permettrait encore et toujours à un gouvernement étranger de consulter leurs données.
Moins de règles, plus de concurrence américaine
Il y a évidemment aussi un argument qui n’est pas mentionné dans la lettre. Une législation européenne plus stricte rendrait beaucoup plus difficile la vie des acteurs du cloud non-européens tels qu’Amazon, Google, Microsoft ou Oracle pour desservir notre marché.
Cela donnerait aux fournisseurs télécoms et cloud européens une plus grande marge de manœuvre pour proposer leurs services ou pour conclure un partenariat commercial avec ces acteurs externes. Même si leurs arguments sont justifiés, leur opposition intègre aussi des intérêts financiers.
Les discussions autour de l’EUCS se poursuivront cette semaine. L’intention est que le cadre soit entériné d’ici l’automne.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici