La nouvelle version du Cybersecurity Act 2 rebat les cartes de la protection des données en Europe et suscite de vives inquiétudes. En abandonnant les critères de souveraineté pour la certification des services cloud (EUCS), la Commission européenne expose les données sensibles des entreprises et des citoyens à des lois extraterritoriales, notamment américaines. Cette décision marque un tournant majeur pour l’autonomie stratégique du continent.
Qu’est-ce que le Cybersecurity Act 2 change pour le cloud en Europe ?
La révision du Cybersecurity Act 2 modifie en profondeur le schéma de certification cloud européen (EUCS). Elle élimine les exigences de souveraineté juridique qui visaient à protéger les données hébergées en Europe contre l’application de lois non-européennes. Désormais, la certification se concentrera quasi exclusivement sur les aspects techniques de la cybersécurité.
Ce changement n’est pas anodin. Il signifie qu’un service cloud pourra obtenir le plus haut niveau de certification européen tout en étant soumis à des législations étrangères. L’immunité juridique, pierre angulaire d’un cloud de confiance, est ainsi mise de côté au profit d’une approche purement technique.
Pourquoi la souveraineté du cloud européen est-elle menacée ?
La menace principale provient de l’exposition directe aux lois extraterritoriales américaines. Sans les critères de souveraineté dans l’EUCS, les données confiées à des fournisseurs américains, même stockées sur le sol européen, ne sont plus à l’abri de réglementations comme :
- Le Cloud Act, qui autorise les agences américaines à exiger l’accès aux données stockées par les entreprises US, où que ce soit dans le monde.
- Le Patriot Act et FISA, qui permettent des programmes de surveillance à grande échelle pour des raisons de sécurité nationale.
Pour les entreprises européennes, notamment les Opérateurs d’Importance Vitale (OIV), le risque est critique. Leurs informations stratégiques, commerciales ou R&D pourraient être légalement consultées par des entités non-européennes, sans recours possible. La cybersécurité est donc un enjeu majeur dans ce contexte, d’autant plus que l’Europe se retrouve face à des accusations de protectionnisme.
Quel est l’impact sur la certification française SecNumCloud ?
Cette décision est un revers majeur pour la France et son label SecNumCloud. La version 3.2 de cette certification offrait justement le plus haut niveau de garantie en intégrant une immunité contre les lois extraterritoriales. C’était son principal différentiant et un argument de poids pour un cloud souverain.
À terme, l’EUCS doit remplacer les certifications nationales. En affaiblissant les exigences de souveraineté, Bruxelles rend de fait caduque une partie de la proposition de valeur du SecNumCloud, créant une incertitude pour tout l’écosystème français du cloud de confiance. Les enjeux de cybersécurité en France sont donc accrus.
Comment les hyperscalers américains perçoivent-ils cette décision ?
Les géants américains du cloud, représentés par le lobby CCIA (qui compte parmi ses membres Google et Amazon), ont accueilli cette nouvelle avec une grande satisfaction. Ils se félicitent ouvertement de la suppression des restrictions de “souveraineté”, qu’ils jugeaient “discriminatoires”.
Cette victoire pour les hyperscalers américains leur ouvre grand les portes du marché européen des données sensibles. Ils peuvent désormais viser les plus hautes certifications sans avoir à modifier la structure juridique de leur entreprise ou à garantir une protection contre le Cloud Act. Cela s’inscrit dans une tendance plus large où la cybersécurité évolue rapidement.
Quelles garanties subsistent face aux ingérences étrangères ?
À défaut de souveraineté, le Cybersecurity Act 2 introduit un autre levier pour limiter les dépendances stratégiques : l’exclusion des fournisseurs de pays tiers jugés “à haut risque”. Cette mesure vise à sécuriser les chaînes d’approvisionnement critiques, comme celles des réseaux 5G.
Bruxelles reconnaît que la sécurité ne dépend plus seulement de la robustesse technique, mais aussi des risques d’ingérences étrangères. Si cette clause semble cibler implicitement des acteurs chinois comme Huawei ou ZTE, la définition de “pays à haut risque” reste à clarifier. Un flou qui, dans le contexte géopolitique actuel, pourrait réserver des surprises. Les rapports sur les cybersecurity threats en Europe sont essentiels pour comprendre ces enjeux.
