Dans un récent communiqué, la Commission nationale de l’informatique et des libertés (CNIL) a exprimé de vives préoccupations concernant les négociations en cours sur l’EUCS, le futur référentiel européen de cybersécurité pour les fournisseurs de cloud. L’autorité française insiste sur la réintroduction des critères d’immunité aux lois extraterritoriales, une mesure qui exclurait les trois géants américains du secteur : AWS, Azure et Google Cloud.
La CNIL souligne l’importance de la protection des droits et libertés fondamentaux des citoyens européens. Selon un avis publié le 19 juillet, le projet de certification européenne du cloud, l’« European Union Cybersecurity Certification Scheme for Cloud Services » (EUCS), dans sa forme actuelle, ne protégerait pas suffisamment les données sensibles des citoyens contre l’accès par des autorités étrangères. Cela inclut les données des ministères et les informations de santé, entre autres.
Le but initial de l’EUCS était de créer un ensemble de normes pour protéger ces données des intrusions étrangères et des cyberattaques. Les fournisseurs de cloud traitant ou stockant ce type de données devraient obtenir la certification EUCS pour garantir la sécurité de ces informations.
Depuis 2020, les 27 États de l’Union européenne peinent à s’entendre sur cette certification, prévue par le règlement européen sur la cybersécurité, aussi connu sous le nom de Cybersecurity Act. Certains pays, dont la France, insistent pour que le niveau le plus élevé de l’EUCS exclue toute interférence étrangère. Cela implique une immunité aux lois extraterritoriales américaines telles que la FISA et le Cloud Act, qui obligent les entreprises américaines à partager leurs données avec les agences de renseignement.
La suppression de cette immunité dans la dernière version négociée de l’EUCS a suscité de vives critiques de la part de la CNIL. Sans cette protection, les données sensibles des citoyens européens seraient exposées, mettant en danger leurs droits et libertés fondamentaux.
La CNIL avertit que l’absence de critères d’immunité pose des problèmes juridiques, économiques, technologiques et industriels. Sans cette condition, les administrations et entreprises européennes pourraient choisir des fournisseurs soumis à des lois extraterritoriales, nuisant ainsi à l’essor des acteurs européens du cloud. La CNIL note que cette situation représente une occasion manquée pour ces entreprises de renforcer leur position sur le marché.
William Méauzoone, cofondateur de Leviia, soutient cette position. Il estime que des critères stricts d’immunité et de souveraineté sont nécessaires pour protéger les données sensibles et stimuler l’innovation et la compétitivité des entreprises françaises dans le secteur du cloud.
La CNIL souligne également les implications juridiques de la suppression de l’immunité. Actuellement, en France, la certification SecNumCloud impose cette immunité pour les données sensibles. Une certification européenne sans cette exigence pourrait contraindre la France à revoir ses standards à la baisse, ce qui serait problématique pour la protection des données régaliennes et de santé.
Source : CNIL
C'est officiel, Iliad publiera le 24 mars ses résultats annuels et ceux du quatrième trimestre…
Une intrusion détectée tardivement a permis l’accès à des données personnelles chez Sumsub, acteur clé…
Pensée pour réorganiser l’audiovisuel public autour d’une holding unique, la réforme portée depuis plusieurs années…
La CNIL a mis en demeure SFR de se conformer aux règles encadrant le dépôt…
Avec ce un bonus de 100 Go offerts chaque mois pendant quatre mois, cette opération…
Après une période de due diligence menée à un rythme inédit, le trio Orange, Free…