La mèche a été allumée en début de semaine par Guillaume Poupard sur LinkedIn. Dans une tribune intitulée « Vers des jours encore plus sombres pour l’Europe du numérique ? », le directeur général adjoint de Docaposte et ancien patron de l’Anssi, est revenu sur des échos médiatiques prêtant à l’UE la volonté de ne plus garder le critère juridique pour le schéma de certification des services cloud (EUCS) pour les données les plus sensibles. Le responsable a été rejoint cette semaine par deux lettres ouvertes avec le même accent de colère.
La première est signée par Airbus, OVHCloud, Orange, Capgemini, Sopra Steria, Dassault Systèmes… Au total 18 sociétés œuvrant dans 13 pays européens ont fermement critiqué la dernière version d’EUCS supprimant le critère de sécurité juridique. Celui-ci obligeait les fournisseurs étrangers de créer une co-entreprise ou à coopérer avec une entreprise européenne s’ils veulent obtenir le niveau le plus élevé du schéma. Ils demandent donc la réintégration de cette clause pour limiter l’impact des lois extra-territoriales notamment le Cloud Act et le FISA américains, mais également la réglementation chinoise.
Le Cigref s’en mêle aussi sur fonds de lobby intense
Ce groupe a été rejoint par le Cigref qui hausse également le ton. Regroupant les DSI des grandes entreprises françaises, l’association rappelle que le texte d’origine devait proposer « des garanties d’immunité aux législations non-européennes à portée extraterritoriale pour les données et leurs traitements associés ». Elle constate que la dernière version du texte s’éloigne de cette orientation et réclame à la Commission européenne de clarifier la position sur ce sujet loin des pressions, en particulier des fournisseurs américains.
Depuis le début, deux positions s’affrontent au sein de l’UE. Celle de la France qui pousse à une certification de type SecNumCloud (qui comprend un volet juridique) pour le niveau le plus élevé de certification. Par contre d’autres pays souhaitent des critères moins élevés, pour différentes raisons comme le résume Guillaume Poupard, « certains ne veulent surtout pas prendre le risque de réduire leurs rentrées fiscales, d’autres sont prêts à tout pour continuer à vendre des voitures de luxe ou importer du GNL, beaucoup ont pour priorité – légitime – leur protection militaire par l’OTAN dans un contexte géopolitique particulièrement tendu ». Les 27 pays de l’UE doivent se réunir le 15 avril pour discuter du sujet de l’EUCS et prendre une décision qui pourrait avoir de lourdes conséquences pour le marché du cloud et en particulier pour le secteur public en France.
Poupard est un hypocrite. Il a créé une insécurité juridique forte lorsqu'il était à l'ANSSI en couplant des critères qui n'avaient rien à voir avec la sécurité informatique (ceux de souveraineté) à une spécification (SecNumCloud) qui était à la base une certification de sécurité. En mélangeant protectionisme et sécurité, il a créé un gloubi boulga que nombre d'autres pays européens trouvent à juste titre bien indigeste.
Signaler un abusEUCS dans sa version de plus haut niveau reprend SecNumcloud mais depuis trois ans le débat fait rage à l'ENISA sur l'obsession française d'insérer dans un standard de sécurité des critères de territorialité/souveraineté. Pour certains, on ne doit pas mélanger sécurité et souveraineté. Pour d'autres états, qui n'ont aucune industrie IT à protéger et qui accueillent en masse des datacenters d'hyperscalers, la bataille contre l'idée même de souveraineté et contre le critère de confiance dans EUCS est simplement le fait de la soumission au lobby des acteurs US du cloud.
La solution serait pourtant simple pour mettre tout le monde d'accord. Avoir d'un côté des règles de sécurité (SecNumcloud, EUCS) et de l'autre des règles claires d'achat interdisant explicitement aux entreprises sensibles (OSE et OIV) et aux administrations de consommer des services délivrés par des acteurs soumis au Cloud ou au Patriot Act. Ces dernière pourraient par exemple être incorporée dans la directive européenne sur les OIV et chaque état pourrait aussi décider de sa politique en matière de souveraineté pour ses propres données.
Une telle séparation de la sécurité et de la souveraineté, aurait le mérite de la clarté et éviterait de repousser un peu plus un standard qui se fait attendre.