Comme aucune autre réunion n’est prévue, la certification risque d’être encore davantage retardée.
Les garanties de protection des données dans le système de certification européen prévu pour les services cloud, EUCS, doivent être améliorées, a déclaré la CNIL, l’organisme français de surveillance de la vie privée, dans un communiqué publié vendredi soir (19 juillet).
Ces inquiétudes s’ajoutent aux doutes du gouvernement français sur le projet attendu depuis longtemps, qui vise à garantir que les packages TIC vendus sur le marché de l’UE soient protégés contre les cyberattaques, mais qui a été entaché de retards.
« Dans son état actuel, le système européen de certification des services cloud ne permet plus aux fournisseurs de démontrer qu’ils protègent les données stockées contre l’accès d’une puissance étrangère », a déclaré l’autorité française de protection des données, établissant un contraste avec le système national français.
« La CNIL demande que le niveau de protection des données personnelles dans cette certification soit renforcé en réintroduisant de telles garanties », ajoute-t-elle.
La CNIL estime que pour les informations les plus sensibles – concernant les soins de santé, la criminalité ou les enfants – les données hébergées dans l’UE ne devraient pas être exposées à un risque d’accès non autorisé par des autorités extérieures au bloc.
Impasse
Au cours des dernières années, les exigences de souveraineté de l’EUCS sont devenues une bataille politique.
La Commission européenne a demandé à l’Enisa, l’agence européenne de cybersécurité, de préparer la certification en décembre 2019, en tant que législation secondaire dans le cadre de la loi sur la cybersécurité.
Lors de la négociation du projet de règles, la France a tenté d’exclure les entreprises de cloud non européennes de l’exploitation des systèmes les plus sécurisés.
Cela aurait rapproché les plans de l’UE de son propre certificat cloud national SecNumCloud, mais aurait également un impact significatif étant donné que les principaux fournisseurs – dont AWS et Microsoft – sont tous américains.
La proposition française a été fortement contestée par plusieurs pays de l’UE et par l’industrie, qui l’ont perçue comme une mesure protectionniste, et aucun accord n’a été conclu depuis.
Le groupe européen de certification de cybersécurité, un groupe d’experts composé de représentants des autorités nationales de certification de cybersécurité, attend toujours que la Commission lui fournisse des orientations sur la question de savoir si les États membres peuvent ajouter des règles de souveraineté supplémentaires à celles de l’UE, et il semble qu’ils devront peut-être attendre un peu plus longtemps.
La réunion pour préparer le projet de texte, initialement prévue à la mi-juillet, n’a pas eu lieu, a indiqué à L’Observatoire de l’Europe un porte-parole de la Commission, et aucune nouvelle réunion n’est actuellement prévue.
Si les experts donnent leur feu vert, la Commission lancera une consultation publique avant de publier son acte d’exécution, qui entrera en vigueur après 18 mois supplémentaires. Le retard actuel rend peu probable un accord dans le cadre du mandat de la Commission actuelle, qui expire fin octobre.
Des deux autres certificats proposés depuis 2019, un seul a été approuvé, sur les produits TIC de base ; un autre sur la 5G est toujours en cours.