Make this article seo compatible,Let there be subheadings for the article, be in french, create at least 700 wordsUn nouveau projet de système européen de services cloud, vu par Euractiv, a été diffusé avant une réunion du groupe européen de certification de cybersécurité lundi 20 novembre, avec quelques ajustements sur les exigences controversées de souveraineté. Le système cloud s’est révélé extrêmement controversé alors que la Commission européenne, sous l’impulsion du commissaire français Thierry Breton, s’est efforcée d’introduire des exigences de souveraineté à la suite du SecNumCloud français qui empêcheraient les sociétés cloud non européennes de se qualifier pour les niveaux de sécurité les plus élevés. Bien que la certification soit volontaire en vertu de la loi européenne sur la cybersécurité, elle pourrait devenir obligatoire pour des milliers d’entités considérées comme essentielles ou importantes pour l’économie européenne en vertu de la directive révisée sur la sécurité des réseaux et de l’information (NIS2). La proposition a suscité de fortes réticences de la part de plusieurs pays de l’UE et d’une partie considérable du secteur, qui y voient une mesure protectionniste visant à exclure les hyperscalers américains d’une grande partie du marché européen. En mai, Euractiv a révélé qu’un compromis entre les deux camps, celui dirigé par la France qui prône la souveraineté du cloud d’une part et le camp libéral dirigé par les Pays-Bas et avec le soutien croissant de l’Allemagne, était recherché via une approche à plusieurs niveaux. Alors que la loi sur la cybersécurité ne prévoyait que trois niveaux d’assurance – de base, substantielle et élevée – un nouveau niveau, « élevé+ », a été introduit avec l’essentiel des exigences de souveraineté. Une version révisée du projet a été diffusée en août, mais n’a toujours pas réussi à convaincre les pays de l’UE les plus réticents. Ce nouveau projet doit être considéré comme une nouvelle tentative dans ce sens, dans la mesure où les exigences de souveraineté ont été encore atténuées. Il reste à voir si ce compromis aboutira ou si la Commission ira de l’avant avec l’adoption du système, car le temps presse pour adopter le système avant la fin du mandat. Les représentants nationaux auront la possibilité d’adopter ou de rejeter l’intégralité du texte. Notion de contrôle Un aspect crucial des exigences de souveraineté a été de savoir dans quelle mesure la filiale européenne d’un fournisseur de cloud peut être considérée comme sous le contrôle de la société mère ou du groupe. L’exigence selon laquelle les fournisseurs de services cloud doivent être exploités uniquement par des sociétés basées dans l’UE sans entité non européenne exerçant un contrôle effectif a été légèrement assouplie pour le niveau d’assurance high+. Le nouveau texte ajoute notamment la possibilité de démontrer qu’elles ont mis en place des mesures techniques, organisationnelles et juridiques efficaces qui empêchent les entreprises non européennes liées au fournisseur de cloud d’exercer une influence décisive sur les décisions liées aux demandes d’enquête. Sur ce point, un espace réservé indique que cette option vise à garantir que « les fournisseurs de cloud étrangers de confiance remplissant d’autres exigences puissent être certifiés ». Le même espace réservé est présent sous le niveau d’assurance élevé, ce qui suggère que cette exigence pourrait être étendue à ce niveau. Localisation des données Des exigences en matière de localisation ont également été introduites pour un niveau d’assurance élevé, exigeant que les fournisseurs de services cloud disposent d’au moins un emplacement dédié dans l’Union. Concernant le niveau d’assurance high+, l’obligation de disposer de tous les sites référencés dans l’UE reste intacte. Primauté du droit européen Les exigences concernant la primauté du droit de l’UE ont été modifiées pour les deux niveaux d’assurance, élevé et élevé+, supprimant l’idée qu’elles s’appliqueraient à toutes les données de compte liées à la relation contractuelle, y compris la prévente, la maintenance, l’exploitation et la sortie. La disposition sur ce que les fournisseurs de services cloud doivent inclure dans l’évaluation des risques liés à l’application extraterritoriale de lois non européennes a été rendue moins prescriptive, tandis que le principe selon lequel les relations contractuelles doivent relever de la juridiction d’un pays de l’UE a été maintenu. Des orientations supplémentaires doivent être fournies aux utilisateurs du cloud sur les risques liés à l’utilisation du service cloud, notamment en ce qui concerne le risque d’accès illégal aux données et aux données dérivées, y compris les données commerciales commercialement sensibles, confidentielles et exclusives. Besoins en personnel Les exigences pour les employés des services cloud ayant un accès direct ou indirect aux données ont été atténuées pour le niveau d’assurance élevé. Les membres du personnel et leurs superviseurs devront toujours se soumettre à « un examen approprié » et être basés dans l’UE. Cependant, l’idée selon laquelle la maintenance d’un composant fonctionnel devrait également être enregistrée et surveillée a été abandonnée. Accords internationaux Une spécification a été introduite indiquant que le système ne doit pas être interprété comme empêchant l’application de toute obligation prévue par le droit de l’UE de se conformer à une enquête ou à d’autres demandes d’accès aux données reconnues en vertu d’accords internationaux tels qu’un traité d’entraide judiciaire avec un pays tiers. Données sensibles Une définition des données a été ajoutée, conforme à celle de la loi sur les marchés numériques, ainsi que des catégories de données sensibles, c’est-à-dire des données personnelles ou non personnelles dont la divulgation pourrait nuire à l’ordre public, à la sécurité, à la santé ou à l’exercice de fonctions gouvernementales essentielles. . Exigences spécifiques au secteur Le nouveau texte précise que le niveau d’assurance élevé doit « être également adapté aux services cloud conçus pour répondre à des exigences sectorielles spécifiques aux opérations mondiales », donnant l’exemple du secteur bancaire et financier. [Edited by Nathalie Weatherald] En savoir plus avec EURACTIV !function(f,b,e,v,n,t,s) if(f.fbq)return;n=f.fbq=function()n.callMethod? n.callMethod.apply(n,arguments):n.queue.push(arguments); if(!f._fbq)f._fbq=n;n.push=n;n.loaded=!0;n.version=’2.0′; n.queue=[];t=b.createElement(e);t.async=!0; t.src=v;s=b.getElementsByTagName(e)[0]; s.parentNode.insertBefore(t,s)(window, document,’script’, ‘https://connect.facebook.net/en_US/fbevents.js’); fbq(‘init’, ‘307743630704587’); fbq(‘track’, ‘PageView’);
Source link -57