Limites de l’EUCS pour les services du Cloud selon la CNIL

Actualité Cybersécurité

La certification EUCS est l’équivalent européen de notre actuelle qualification SecNumCloud, qui évalue le niveau de sécurité des fournisseurs de Cloud en France.

Encore en projet, ce texte de loi devrait être adopté prochainement. Mais certains pays de l’UE ne sont pas tout à fait d’accord avec ce projet.

En France, la CNIL a récemment souligné les limites de ce projet de certification. 

Limites de l’EUCS pour les services du Cloud selon la CNIL

Quel est le contexte du projet de certification européenne pour les services de cloud (EUCS) ?

Depuis mai 2018, les entreprises doivent se mettre en conformité avec le règlement général sur la protection des données (RGPD) et assurer la protection des données personnelles de leurs utilisateurs.

Avec son projet de certification EUCS (certification européenne pour les services de cloud), l’Union Européenne cherche à compléter le RGPD en fournissant un cadre relatif à l’indépendance et la souveraineté numérique, des sujets sensibles alors que les GAFAM et la Chine mettent en place des politiques protectionnistes. 

Ce projet, porté par l’ENISA (l’Agence de l’Union européenne pour la cybersécurité) devrait entrer en vigueur en 2024. Le certification EUCS devrait se substituer aux certifications nationales, notamment SecNumCloud en France, C5 en Allemagne, et ENS en Espagne. 

Voir aussi notre article sur l’importance de l’automatisation dans les entreprises pour découvrir comment elle peut améliorer l’efficacité opérationnelle.

En quoi consiste la certification EUCS ?

L’objectif du projet de certification EUCS est de créer une certification cloud qui permettra d’évaluer la sécurité des fournisseurs Cloud à l’échelle européenne. Ainsi, l’UE espère renforcer les exigences en matière de sécurité du Cloud et compléter le RGPD sur le sujet de la protection des données. 

En l’état actuel des choses, trois niveaux de certifications seraient possibles :

  • Niveau basique 
  • Niveau substantiel 
  • Niveau élevé (divisé en deux sous-niveaux, High et High+)

Qu'est-ce que la qualification SecNumCloud ?

En France, cette mission est actuellement assurée par l’ANSSI (l’Agence nationale de la sécurité des systèmes d’information), qui décerne la qualification SecNumCloud aux fournisseurs de Cloud respectant des critères de sécurité de haut niveau (techniques, juridiques et opérationnels). La France est considérée comme une pionnière au niveau européen sur les questions de protection des données et de souveraineté numérique. Sa certification SecNumCloud a d’ailleurs inspiré le projet de certification EUCS de l’Union Européenne.

La qualification SecNumCloud garantit plusieurs choses. Tout d’abord, elle garantit la solidité de la solution Cloud face aux cyberattaques les plus courantes. Elle certifie également la rigueur de la formalisation des processus et méthodes du fournisseur de service Cloud. Cette qualification permet de renforcer la confiance entre les prestataires de service et les tiers. Elle garantit par ailleurs, chose importante, la protection du service Cloud vis-à-vis du droit extra-européen.

Voir aussi notre article sur la relation entre l’IA et le Cloud Computing.

 

L'avis de la CNIL sur la certification EUCS

D’après la CNIL, l’adoption de la certification EUCS serait un retour en arrière par rapport aux garanties apportées par la qualification SecNumCloud en vigueur actuellement. En effet, selon l’autorité administrative indépendante, le projet de texte ne comporte plus de critères d’immunité aux lois extra-territoriales. Ces critères ont été abandonnés à la suite de négociations, contre l’avis de la France et sous la pression de pays comme l’Allemagne et les Pays-Bas. 

Cela implique une moindre protection des données sensibles européennes contre un accès par un Etat tiers. Par exemple, une société européenne qui confie ses données à des opérateurs de Cloud américains sera soumise au droit des Etats-Unis, notamment le Cloud Act, une loi qui permet aux autorités américaines d’accéder à ces données en cas d’enquête pénale. 

D’après la CNIL, ce risque est considéré comme limité, mais une protection renforcée s’impose tout de même pour les données les plus sensibles, comme les données financières ou de santé. Or, le projet de certification EUCS ne prend pas en compte ce risque d’accès à des données sensibles par des autorités internationales, même au niveau de certification le plus élevé… 

Cette carence juridique pose problèmes à plusieurs titres. Celui de la protection des donnés, mais aussi celui du développement du Cloud européen. Pour la CNIL, elle constituera certainement un frein à l’externalisation dans le Cloud des projets les plus sensibles. 

Pour ces raisons, la CNIL appelle à “l’inclusion, à titre optionnel, de critères d’immunité aux lois extra-européennes”. 

NOS ACTUALITÉS