Juridique

Le cadre européen de souveraineté du cloud ? Un parfum de SecNumCloud

Les commissaires Henna Virkkunen (souveraineté technologie) et Dan Jørgensen (Energie et logement), lors de l’annonce du package souveraineté de l’UE, comprenant le règlement sur le développement du Cloud et de l’IA. (Photo : D.R.)

En plus d'une politique industrielle, le Cloud and AI Development Act européen porte un schéma de certification des cloud. Qui reprend certains principes de l'approche française sur l'immunité aux lois extraterritoriales.

PublicitéEn début d'année, le marché français du cloud labellisé SecNumCloud voyait ses espoirs d'une extension à l'Europe de la certification hexagonale déçus ; la révision du Cybersecurity Act (CSA 2) faisait l'impasse sur la protection contre les lois extraterritoriales. Aujourd'hui, les acteurs certifiés entrevoient une lumière au bout du tunnel, avec le Cloud and AI Development Act (CADA), projet de règlement dévoilé par la Commission européenne la semaine dernière.

Si le texte porte d'abord sur le développement des marchés du cloud et de l'IA en Europe, avec la volonté de tripler la capacité de l'Union en datacenters d'ici à 2030 et de parvenir à l'autonomie en la matière d'ici à 2035 (pour un coût estimé de 200 Md€), le règlement comprend aussi un cadre de souveraineté pour les offres cloud à destination du secteur public au sein des 27. Ce « framework de souveraineté » se décline sur quatre niveaux et prévoit une certification des offres à l'échelle de l'Union, au prix d'un audit indépendant accordant son visa au fournisseur. Le dispositif est placé sous le contrôle d'une autorité compétente au sein de chaque pays membre, à la manière de l'Anssi supervisant le dispositif SecNumCloud en France. « Le fond de la proposition ne cache pas son inspiration française, analyse Julie Latawiec, directrice des affaires publiques de Cloud Temple, fournisseur de cloud dont le IaaS et le PaaS sont certifiés en France. On y retrouve la logique de la loi SREN, l'architecture du SecNumCloud, la doctrine sur la souveraineté numérique que la France porte depuis plusieurs années ».

Pas de réelle préférence européenne

Ces 4 niveaux, du plus standard au plus sensible, qui sont décrits dans une annexe au règlement, prennent en compte la cybersécurité, mais se focalisent surtout sur les risques liés aux législations extraterritoriales - notamment américaines - en matière de confidentialité des données et de continuité de service. Ainsi, dès le niveau 2, le prestataire doit prouver que son personnel et celui de ses sous-traitants opérant le service sont bien situés dans l'Union, que les données des donneurs d'ordre, y compris les logs et metadonnées, ne sortent pas du continent, et en particulier ne viennent pas nourrir un modèle d'IA non-européen. Ou encore que le prestataire fournisse la liste des composants logiciels exploités (SBOM) au sein de ses services cloud. Mais ce sont les niveaux 3 et 4 qui se montrent les plus exigeants, imposant par exemple que le personnel du prestataire chargé des opérations, y compris celui de ses sous-traitants, est « composé de citoyens de l'Union », titulaires, le cas échéant, « de l'habilitation de sécurité nationale requise, délivrée par un État membre, pour la manipulation d'informations classifiées ».

PublicitéLe schéma de certification n'instaure toutefois pas de réelle préférence européenne, se contentant d'introduire un critère de valeur ajoutée créée au sein de l'Union dans l'évaluation des offres - contrairement à SecNumCloud qui exige que les prestataires soient contrôlés par des actionnaires européens. En revanche, comme le label français, le schéma européen, dans ses niveaux 3 et 4, impose six conditions cumulatives à respecter par les prestataires, parmi lesquelles l'absence de législation d'accès aux données dans le pays d'origine du prestataire qui contreviendrait aux textes européens en matière de confidentialité des données ou de possibilité pour un pays tiers ou une entité d'un pays tiers d'interrompre le service.

Registre des prestataires labellisés

« La charge de la preuve a changé de camp, explique le directeur général de CloudTemple, Sébastien Lescop. Hier, c'était au fournisseur européen de justifier sa légitimité. Demain, ce sera au fournisseur non-européen de prouver qu'il échappe aux lois extraterritoriales. » Et de noter la cohérence retrouvée des textes européens, après un CSA2 qui se désintéressait des risques liés aux législations de pays tiers : « souveraineté et cybersécurité sont deux objets juridiques distincts et complémentaires, non substituables. On peut être parfaitement sécurisé et totalement dépendant. Se dire souverain ne suffira plus. Il faudra le prouver, audit à l'appui », souligne le dirigeant.

Même si le cadre de souveraineté vise avant tout l'achat public, Henri d'Agrain, le délégué général du Cigref, salue, lui aussi, les « avancées » de ce projet de règlement. En particulier le besoin pour les fournisseurs souhaitant vendre des services auprès du secteur public de se faire auditer au regard d'un certain nombre de critères stricts définis par la Commission. « Et cette dernière va maintenir un registre central des fournisseurs ayant obtenu un label, registre qui sera ouvert aux entreprises », souligne le délégué de l'association réunissant les DSI de grandes organisations françaises, qui note également la possibilité pour toute organisation, publique ou privée, de se tourner vers la justice européenne pour obtenir des dommages d'un prestataire ne se conformant pas aux obligations présentes dans le schéma de souveraineté.

Mesures « discriminatoires », pour le lobby de le tech US

Dès la sortie du CADA, le CCIA Europe, lobby des grands industriels IT d'outre Atlantique (AWS, Google, Cloudflare, Apple, Meta...) n'a pas manqué de s'étrangler, dénonçant des mesures « discriminatoires », qui vont pousser les donneurs d'ordre à se tourner vers une sélection beaucoup plus restreinte de services numériques. « Les niveaux de souveraineté 3 et 4 ne sont pas de modestes garanties, écrit le groupe de pression. Ce sont des exigences de fermeture du marché déguisées en seuils réglementaires. »

Article 18 : la porte de service pour les hyperscalers ?

Alors, le signe d'une réelle inflexion ? Dans son analyse, CloudTemple souligne quelques angles morts du texte, qui doit encore être discuté au Conseil européen et au Parlement. En particulier l'article 18, qui prévoit un mécanisme dérogatoire permettant à un fournisseur d'un pays tiers d'accéder au niveau 3 de certification pour peu que la Commission reconnaisse ce pays comme équivalent en termes d'exigence. Une porte ouverte à des négociations diplomatiques au plus haut niveau entre Bruxelles et Washington ? « Un cadre solide sur le papier, mais facile à contourner dans la pratique, serait pire que pas de cadre », résume Sébastien Lescop, qui craint de voir l'article 18 se transformer en « porte de service par laquelle reviennent ceux que le texte prétend laisser dehors ».

Pour Henri d'Agrain, « ce sera la Commission qui désignera les pays qui ne respectent pas ses critères ». En clair, même si les États-Unis ne se conforment d'évidence pas aux conditions posées par le framework - du fait de leurs textes sur l'accès aux données (comme la section 702 du Foreign Intelligence Surveillance Act) ou des sanctions unilatérales qu'ils peuvent prendre -, l'Europe reste évidemment sous la menace des pressions diplomatiques de son allié américain, qui ne manquera pas défendre les intérêts de ses industriels du cloud. Et les devises qu'ils ramènent à l'économie américaine.