Ce retard donne à la Commission le temps de fournir des orientations sur la manière dont les États membres peuvent ajouter leurs propres exigences.
Une décision très controversée sur l’opportunité de mettre en place un système de certification volontaire pour les services cloud (EUCS) a été repoussée à la mi-juillet, ont déclaré à L’Observatoire de l’Europe deux sources européennes.
Le système devrait être utilisé par les entreprises pour démontrer que les solutions TIC certifiées offrent le niveau de protection en matière de cybersécurité approprié pour le marché de l’UE, mais il s’est transformé en une bataille politique sur les exigences de souveraineté. Ce retard rend plus improbable un accord dans le cadre du mandat de cette commission von der Leyen.
L’EUCS a été retiré de la réunion d’aujourd’hui (18 juin) du groupe de travail de l’ENISA – l’agence européenne de cybersécurité – car la Commission européenne n’a pas encore fourni aux experts des conseils sur la manière dont les États membres peuvent ajouter leurs propres exigences, notamment en matière de souveraineté.
Cela a encore retardé l’impasse actuelle : la Commission a demandé à l’Enisa de préparer la certification dès décembre 2019.
La question est devenue l’objet d’un débat politique alors que la France a tenté d’introduire des exigences de souveraineté dans le texte visant à exclure les entreprises cloud non européennes de l’éligibilité aux options de sécurité les plus élevées, pour le faire ressembler à son propre certificat cloud SecNumCloud.
Cette proposition a rencontré une forte résistance de la part de plusieurs pays de l’UE et de l’industrie, la considérant comme une mesure protectionniste, et aucun accord n’a été conclu depuis.
Clarification juridique
La Belgique – qui préside les réunions ministérielles au premier semestre 2024 – a tenté de résoudre les problèmes politiques en proposant de séparer la souveraineté des exigences fonctionnelles.
Sa proposition, soutenue par la plupart des États membres, « permettrait pleinement aux fournisseurs de cloud computing non européens d’être certifiés au plus haut niveau et d’avoir un accès complet au marché de l’UE, permettant ainsi la concurrence dans tous les appels d’offres pour lesquels la certification « Élevée » pourrait être rendue obligatoire. sans préjudice d’éventuelles exigences supplémentaires en matière de souveraineté nationale pour certaines entités.
En avril, la France a demandé au Conseil des éclaircissements juridiques sur le projet en cours. Le pays souhaitait savoir quel impact son adoption pourrait avoir sur l’avenir des régimes nationaux. Le Conseil a déclaré qu’il ne pouvait pas commenter les travaux du groupe d’experts techniques créé par la Commission.
Après l’adoption formelle par le groupe de travail de l’Enisa, d’autres obstacles doivent être franchis.
La Commission devra ensuite publier un acte d’exécution, qui sera soumis à une consultation publique de quatre semaines avant d’être formellement approuvé. Même après l’entrée en vigueur du programme après l’été, les dispositions ne s’appliqueront que 18 mois après l’accord.
Sur les deux autres certificats proposés depuis 2019, un seul a été approuvé, sur les produits TIC de base ; un autre sur la 5G est toujours en cours.
