Chargement en cours
Informatique

Souveraineté numérique : la France échoue à imposer son label cloud à l’Europe

Diplomatie-Bruxelles-Européenne

Le bras de fer entre Paris et Bruxelles sur la souveraineté numérique vient de connaître un nouveau rebondissement. Alors que la Commission européenne révise sa législation sur la cybersécurité, la France se retrouve dans une impasse diplomatique concernant sa certification phare pour les services cloud.

Un revers diplomatique pour Paris sur la souveraineté numérique

La Direction générale des entreprises (DGE) a officiellement confirmé la perte des arbitrages à Bruxelles concernant un SecNumCloud européen. Depuis plusieurs années, Paris multiplie les initiatives pour que sa certification soit reconnue au sein de l’Union.

Cette certification française combine des critères techniques de cybersécurité et, depuis 2022, l’immunité aux législations extraterritoriales. L’objectif était de la matérialiser dans un niveau « High+ » du schéma de certification EUCS (European Union Cybersecurity Certification Scheme for Cloud Services).

Le CSA2 fait l’impasse sur la certification des clouds

Le 20 janvier dernier, la Commission a dévoilé une révision de sa directive sur la cybersécurité de 2019, baptisée CSA2. L’objectif affiché vise à renforcer la résilience et la cybersécurité du continent, notamment via une certification sur les produits et services technologiques.

Problème majeur du point de vue français : le texte ne contient aucune garantie contre les lois extraterritoriales. Le CSA2 ignore complètement un mécanisme de certification des clouds (EUCS) et se concentre exclusivement sur les risques cyber liés à la supply chain technologique via une certification appelée ECCF (European cybersecurity certification framework).

Pas de trace du niveau High+ dans le nouveau texte

L’EUCS n’apparaît nulle part dans le document, pas plus que le fameux niveau High+. Cette absence marque un échec diplomatique pour la France qui avait mené un lobbying actif pour intégrer l’immunité des clouds aux législations extraterritoriales dans les priorités de Bruxelles.

Des experts partagés sur cette absence stratégique

Alain Bouillé, délégué général du Cesin, analyse cette situation : « Il était prévu que ce texte parle de cloud de confiance. Compte tenu du contexte, peut-être faut-il y voir un refus d’obstacle de l’Union faute d’une position commune ». Il poursuit : « Ce texte ressemble à un anachronisme, à un point divergent qui ne remet pas en cause la ligne directrice générale. »

Arnaud Martin, vice-président du Cesin, tempère : « Sur ces sujets, on assiste en ce moment plutôt à un alignement politique, entre la France et de l’Allemagne en particulier. »

L’Allemagne suit une voie différente

Avec son cloud « souverain » AWS, Berlin apporte une réponse différente de la France sur la question de la souveraineté numérique, ce qui complique l’émergence d’une position commune au niveau européen.

Les acteurs français du cloud déçus mais soulagés

Les douze sociétés françaises déjà labellisées SecNumCloud ou en cours de labellisation affichent leur déception. L’absence de traduction européenne ne leur permettra pas de mutualiser les investissements liés à leur certification.

Toutefois, le risque que l’absence de traduction menace la légalité du SecNumCloud en France est écarté à ce stade. Le CSA2 laisse les États membres libres de s’organiser sur ce sujet.

Le scénario catastrophe évité de justesse

Une source au fait des négociations, sous couvert d’anonymat, explique : « Le risque n°1 aurait été de voir un texte instaurant un mécanisme de protection vis-à-vis des lois extraterritoriales différent du schéma SecNumCloud. Cette dernière aurait alors été rendue caduque, y compris en France. »

Jean Coumaros, PDG de Bleu, confirme cette analyse : « Pour Bleu, le meilleur scénario serait bien sûr l’adoption d’un niveau EUCS High+ pour l’ensemble de l’UE. En l’absence d’un tel scénario, l’important pour nous est que l’on puisse continuer d’appliquer le référentiel SecNumCloud en France. »

Un débat loin d’être clos à Bruxelles

Fin mars, la Commission devrait présenter un package de législations sur la souveraineté technologique, abordant les semi-conducteurs, l’open source, l’IA et le cloud. Le débat sur ces sujets reste donc ouvert à Bruxelles.

Cloud Temple met en garde contre le manque de lisibilité d’un cadre législatif abordant séparément sujets juridiques et sujets techniques : « La dépendance juridique et l’exposition aux lois extraterritoriales ne sont pas des débats idéologiques : ce sont des facteurs de sécurité concrets, au même titre qu’une vulnérabilité logicielle, explique la société. Les séparer artificiellement du risque technique complique la décision des dirigeants et des acheteurs publics. »

Silence radio de la DGE et de l’Anssi

Ni la DGE ni l’Anssi n’ont souhaité communiquer d’éléments complémentaires sur ce dossier sensible.

Le CSA2 introduit la notion de fournisseurs à haut risque

Le nouveau texte instaure un mécanisme visant à écarter de toute certification cyber européenne les fournisseurs à haut risque. Ces entités proviendraient de pays posant des questions en matière de cybersécurité ou seraient contrôlées par des individus de ces pays.

Cette disposition inquiète le CCIA Europe (lobby des industriels IT américains). Le ministère chinois des Affaires étrangères a même exprimé sa « vive préoccupation » contre cette mesure, qu’il considère comme du protectionnisme inefficace.
Julien Giraud

Il suit de près l’évolution des outils d’intelligence artificielle et des innovations numériques. Spécialisé dans les usages concrets de l’IA, il teste, compare et explique les solutions qui transforment la productivité, la création de contenu et l’automatisation au quotidien.

Voir tous les articles

Articles similaires

Laisser un commentaire

À ne pas manquer