Recevez chaque jour toute l'actualité du numérique

x

Le Cigref appelle l'UE à inscrire l'immunité aux lois étrangères dans le schéma de certification cloud

Le Cigref et VOICE, son homologue allemand, souhaitent que le niveau le plus élevé du schéma de certification du cloud intègre l'immunité aux lois étrangères, en particulier celles des Etats-Unis avec le CLOUD Act. Ils viennent d'adresser une lettre en ce sens au commissaire européen Thierry Breton. 
Twitter Facebook Linkedin Flipboard Email
×

Le Cigref appelle l'UE à inscrire l'immunité aux lois étrangères dans le schéma de certification cloud
Le Cigref appelle l'UE à inscrire l'immunité aux lois étrangères dans le schéma de certification cloud © Numérique.gouv.fr

Le Cigref, qui se présente comme l'association des grandes entreprises et administrations publiques françaises souhaitant promouvoir le numérique, et son homologue allemand VOICE ont adressé une lettre au commissaire Thierry Breton sur la nécessité d'inclure l'immunité aux lois extraterritoriales dans le niveau le plus élevé du futur schéma de certification du cloud
 

Trois niveaux de certification

Adopté le 12 mars 2019, c'est le Cybersecurity Act (CSA) qui a créé un cadre de certification de cybersécurité pour harmoniser à l'échelle européenne les méthodes d'évaluation et les différents niveaux d'assurance de la certification. Il s'agit de garantir la robustesse d'un produit selon un référentiel adopté préalablement par l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA).

Le règlement définit trois niveaux : le niveau élémentaire pour les produits non critiques destinés au grand public, le niveau substantiel qui cible le risque médian et le niveau élevé pour les solutions pour lesquelles il existe un risque d'attaques impliquant des compétences ou des ressources significatives.

"Nous estimons que la mise en oeuvre d’un schéma de certification ambitieux découle de l’esprit du Cybersecurity Act dont l’objectif est d’instaurer un cadre règlementaire harmonisé garantissant la protection et la sécurité des systèmes d’information et des données sur le territoire de l’Union européenne", écrivent le Cigref et VOICE dans leur lettre.

Ils citent l'éternel problématique de l'invalidation du Privacy Shield par la Cour de justice de l'Union européenne, ce texte qui autorisait les transferts de données vers les Etats-Unis reconnaissant que le droit américain reconnaissait le même niveau de garantie que le Règlement général sur la protection des données (RGPD). "L'Union européenne doit assumer dans toutes ses dimensions les conséquences [de cette décision]", déclarent-ils.

Prendre exemple sur le système de Gaia-X

Le Cigref prend l'exemple du système de labellisation des services développés dans le cadre de Gaia-X, association dont il fait partie. Pour rappel, cette structure regroupe des entreprises européennes et étrangères. Ces dernières n'ont aucune garantie d'être répertoriées dans le catalogue de Gaia-X, précisait Bernard Duverneuil, le vice-président du Cigref.

En effet, "le niveau 3 des labels de Gaia-X prévoit explicitement l'immunité aux législations non européennes à portée extraterritoriales", rappelle le Cigref. Il ajoute que les analyses menées montrent que cette exigence ne présente pas de risque "au regard du droit de la concurrence et des traités internationales dès lors qu'il existe des alternatives avec les niveaux basiques et substantiel". La fin de cette phrase a toute son importance car le Cigref ne veut pas interdire toute offre étrangère en Europe. 

"Nous sommes convaincus que l’essentiel des cas d’usage des utilisateurs européens sera, quant à lui, nécessairement couvert par les niveaux basique et substantiel du schéma européen de certification des services cloud", écrivent les auteurs de la lettre. En d'autres termes, seules les données considérées comme "sensibles" devraient être hébergées par des acteurs non soumis aux lois étrangères. Il reste à définir cette notion. 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.