Make this article seo compatible,Let there be subheadings for the article, be in french, create at least 700 words
Un projet de système de certification de cybersécurité pour les services cloud, vu par EURACTIV, a déplacé l’exigence excluant les entreprises non européennes dans une nouvelle sous-catégorie.
Le programme européen de services cloud est une certification volontaire en vertu de la loi européenne sur la cybersécurité qui pourrait devenir obligatoire pour les nombreuses entités jugées essentielles ou importantes en vertu de la directive révisée sur la sécurité des réseaux et de l’information (NIS2).
L’année dernière, une version divulguée du programme a généré un contrecoup important en raison de son inclusion d’exigences de souveraineté qui auraient effectivement exclu les entreprises étrangères d’une grande partie du marché européen du cloud.
Depuis lors, le schéma est tombé sous le radar alors que deux camps d’États membres européens se sont affrontés tranquillement.
En janvier, EURACTIV a révélé sur papier d’option signalant une tentative de médiation entre les Pays-Bas, leader de la faction de l’open market, et la France, qui a fait pression pour les critères de souveraineté via son commissaire, Thierry Breton.
Enfin, la Commission européenne a sorti du tiroir le projet fourni par l’ENISA, l’agence de cybersécurité de l’UE, et l’a partagé avec les membres du groupe européen de certification de la cybersécurité lundi 8 mai.
Le groupe technique discutera du projet le 26 mai à Athènes en marge de la conférence de l’ENISA sur la certification de la cybersécurité.
Le projet, daté de mai 2023, maintient les exigences de souveraineté « pour fournir certaines garanties quant à l’indépendance vis-à-vis du droit non européen », mais impose les exigences les plus strictes à une nouvelle sous-catégorie.
La loi sur la cybersécurité prévoit trois niveaux d’assurance : « de base », « substantiel » et « élevé ». L’idée initiale était de placer les exigences de souveraineté au plus haut niveau. Cependant, le document d’option a lancé l’idée de créer une catégorie « élevé + », qui semble être restée.
Contrôle
La différence la plus significative entre les niveaux ‘élevé’ et ‘élevé+’ concerne le contrôle légal sur l’entreprise cloud.
‘High+’ exige que le service cloud soit « exploité uniquement par des entreprises basées dans l’UE, sans qu’aucune entité extérieure à l’UE n’ait un contrôle effectif sur le CSP [cloud service provider]pour atténuer le risque que des pouvoirs d’ingérence non européens sapent les réglementations, les normes et les valeurs de l’UE.
Le siège social et le siège mondial de la société de cloud computing devraient être établis dans un pays de l’UE. Les fournisseurs de cloud ne doivent pas non plus être soumis, directement ou indirectement, au contrôle effectif d’entreprises étrangères.
Le contrôle effectif est défini par le règlement de l’UE sur le contrôle des concentrations entre entreprises. Elle désigne une relation constituée par des droits, des contrats ou tout autre moyen pouvant conférer la possibilité d’exercer directement ou indirectement une influence déterminante.
Primauté du droit de l’UE
Des garanties supplémentaires ont été introduites pour mettre les données de l’UE hors de portée des juridictions de pays tiers dont les lois d’application extraterritoriale pourraient entrer en conflit avec le droit de l’UE ou le droit national d’un État membre.
Pour tous les niveaux d’assurance, le projet de certification exige que les contrats soient régis par le droit d’un pays de l’UE, et seuls les cours, tribunaux et organes d’arbitrage de l’UE seraient compétents pour les litiges liés au contrat.
Le niveau d’assurance « élevé » exige que les services en nuage incluent les risques liés à la législation non communautaire avec application extraterritoriale dans leur évaluation globale des risques, couvrant au moins l’accès potentiel aux informations commercialement sensibles et aux secrets commerciaux dans les données des clients ou des données dérivées.
En outre, les fournisseurs de cloud devraient informer leurs clients de tout risque résiduel et fournir toutes les informations pertinentes à la demande des clients pour leur permettre d’effectuer leur propre évaluation des risques.
Le régime oblige également le prestataire de services à inclure dans le contrat avec le client qu’il ne prendra en considération que les demandes d’enquête émises en vertu du droit de l’UE ou du droit national d’un État membre.
L’exigence supplémentaire pour le niveau « élevé + » oblige les fournisseurs à mettre en place des mesures techniques et organisationnelles pour s’assurer que les demandes d’enquête provenant d’autres juridictions ne sont pas prises en compte.
Localisation des données
Des mesures de localisation des données sont requises pour le niveau d’assurance « élevé » et supérieur, couvrant l’ensemble du cycle de vie de la relation avec les fournisseurs de cloud, de l’avant-vente et des opérations à la maintenance et à la sortie.
Pour le niveau d’assurance « élevé », les fournisseurs de cloud devraient inclure au moins une option dans leurs contrats pour localiser toutes les activités de traitement de données dans l’UE.
« High+ » va encore plus loin en exigeant que toutes les activités de traitement des données aient lieu dans l’UE, à moins que les clients n’acceptent certaines exceptions limitées. Les fournisseurs de cloud devraient répertorier toutes les activités de support réalisées en dehors de l’Europe.
Dans les deux cas, pour construire et entretenir leur infrastructure numérique, les entreprises du cloud ne devraient compter que sur un fournisseur de services de confiance basé dans un pays de l’UE.
Contrôles internes
Tant pour le ‘high’ que pour le ‘high+’, des garde-fous spécifiques ont été mis en place pour les échanges entre le service cloud et ses salariés ou ses fournisseurs.
Le projet exige que l’employé ayant un accès direct ou indirect aux données client, y compris via des opérations de support, soit situé dans l’UE et soit soumis à une sélection spéciale ou soit supervisé par un employé basé dans l’UE qui a passé un examen approprié.
En cas d’accès supervisé, l’accès devrait se faire à l’aide d’une solution sécurisée permettant au superviseur d’autoriser ou d’interdire des actions individuelles et de demander des explications en temps réel.
[Edited by Nathalie Weatherald]
