L’Union européenne vient de dessiner les contours de nouvelles règles de cybersécurité comme l’indique Reuters ! En vertu de ce projet de régulation, les mastodontes technologiques hors UE, notamment Amazon, Google et Microsoft devront s’associer à une entreprise locale pour obtenir le précieux label de cybersécurité de l’UE destiné à traiter les données sensibles. Qui plus est, dans le cadre de cette collaboration, ces géants ne pourront détenir qu’une minorité des parts. Autre critère de taille : seuls les employés basés dans l’Union et ayant subi des contrôles spécifiques pourraient accéder aux données européennes. Une démarche qui confirme l’intention de l’UE de renforcer sa gouvernance en matière de données. Décryptage !
La réglementation européenne insiste sur une gestion « locale » des services de cloud
Le dernier projet émanant de l’agence de cybersécurité de l’UE, ENISA, entend frapper un grand coup : les services de cloud devront être opérés et entretenus depuis l’Union européenne. En outre, toutes les données des clients de ces services doivent être stockées et traitées au sein de l’UE. Et en cas de conflit, ce sont les lois européennes qui prévaudront sur celles des fournisseurs de services de cloud hors UE.
Ce projet s’inscrit dans le cadre d’un schéma de certification de l’UE (EUCS) visant à garantir la cybersécurité des services de cloud, et influencera également la manière dont les entreprises et les gouvernements du bloc choisiront leurs prestataires. Pendant ce temps, la France fait bande à part avec sa certification SecNumCloud…
Cela dit, ces nouvelles dispositions, mettant en avant les préoccupations de l’UE face aux ingérences des Etats hors UE, risquent de susciter des critiques, en particulier de la part des géants technologiques américains, inquiets d’être marginalisés sur le marché européen.
Big Tech et la montée de l’IA poussent la réglementation de l’UE à se renforcer en matière de cloud
Face à l’ambition croissante des géants technologiques, tels que Big Tech, de conquérir le marché du cloud gouvernemental, et à l’explosion potentielle de l’intelligence artificielle suite au succès d’OpenAI’s ChatGPT, l’UE prépare des régulations plus strictes pour les services de cloud. Selon un document récent, seules les entreprises basées dans l’UE pourront exploiter des services de cloud certifiés, sans qu’une entité hors UE n’ait de contrôle effectif sur le fournisseur de services de cloud. Cette mesure vise à minimiser les risques d’ingérence par des puissances non membres de l’UE.
Le document stipule : « Les entreprises dont le siège social ou les quartiers généraux ne sont pas situés dans un Etat membre de l’UE ne peuvent, ni directement ni indirectement, détenir un contrôle effectif, qu’il soit positif ou négatif, du fournisseur de services de cloud demandant la certification d’un service de cloud ». Ce renforcement de la régulation concernera les données personnelles et non personnelles sensibles, dont une violation pourrait porter atteinte à l’ordre public, à la sécurité publique, à la vie humaine, à la santé ou à la protection de la propriété intellectuelle.
A en croire les estimations des experts du sujet, cette nouvelle ébauche de réglementation pourrait fragmenter le marché unique de l’UE, puisque chaque pays aura toute latitude pour appliquer les exigences comme bon lui semble. La Chambre de commerce des Etats-Unis avait auparavant exprimé ses réserves, considérant que cette démarche plaçait les entreprises américaines dans une position désavantageuse. Pour sa part, l’UE défend ces mesures comme essentielles à la protection des droits sur les données et de la vie privée de ses citoyens.