Make this article seo compatible,Let there be subheadings for the article, be in french, create at least 700 words
Les députés français et l’agence européenne de cybersécurité ENISA devraient prendre des décisions historiques sur la cybersécurité dans le cloud les 10 et 15 avril.au milieu de préoccupations d’espionnage et de fragmentation du marché européen du cloud.
Les députés français voteront un projet de loi global sur le numérique (SREN), comprenant des dispositions spécifiques sur la souveraineté du cloud, clôturant un processus législatif d’un an.
Peu de temps après, le groupe de travail dédié de l’ENISA (ECCG) se réunira pour approuver le système européen de certification de cybersécurité (EUCS), qui vise à harmoniser les certifications nationales du cloud.
Dans les deux documents, les exigences en matière de souveraineté du cloud ont été controversées.
Ces dispositions, également appelées exigences d’immunité aux lois extraterritoriales, auraient donné un avantage aux fournisseurs de cloud de l’UE.
Les défenseurs du libre marché les ont interprétés comme une mesure protectionniste préjudiciable à l’économie de l’UE, tandis que certains fournisseurs de services cloud et multinationales de l’UE considèrent ces exigences comme cruciales pour protéger l’industrie naissante de l’UE contre l’espionnage.
Alors que le législateur français et l’ENISA ont décidé de ne pas inclure les exigences de détention de capital dans leurs documents respectifs, la France devrait les mettre en œuvre ultérieurement par décret.
Le dernier projet de compromis de l’ENISA, daté du 22 mars et consulté par Euractiv, a remplacé les exigences de souveraineté par des dispositions de transparence obligatoires, comprenant des informations sur le lieu de stockage et les méthodes de traitement des données.
« Ces règles de transparence pourraient devenir une manière déguisée d’admettre des exigences de souveraineté », a déclaré à Euractiv Pascal Kerneis, directeur général du Forum européen des services, une organisation d’entreprises qui milite en faveur du libre-échange.
Dans une lettre ouverte datée de novembre 2023 et adressée à l’ENISA, 19 entreprises ont soutenu des « critères explicites et transparents » au niveau de l’UE, qui pourraient inclure les critères d’immunité.
Ils ont en outre souligné l’importance d’un « système au niveau européen » pour éviter « la fragmentation entre les États membres ».
Les signataires comprenaient les fournisseurs de cloud OVHcloud, Oodrive, NumSpot, 3DS Outscale, Cloud Temple et les utilisateurs de cloud Airbus, Deutsche Telekom, Orange et EDF.
Le débat sur la souveraineté
Les sénateurs français ont souhaité inscrire dans la loi les exigences de souveraineté les plus controversées : celles relatives à la propriété du capital.
Ils ont proposé de copier-coller les exigences de détention de capital fixées dans la certification cloud la plus sécurisée de France, développée par l’agence de cybersécurité ANSSI, SecNumCloud 3.2.
Les fournisseurs de services cloud « détenus individuellement à plus de 24 % et collectivement à plus de 39 % » en dehors de l’UE ne seraient pas autorisés à traiter les données des institutions publiques.
Des exigences similaires ont été discutées entre les 27 agences de cybersécurité et l’ENISA lors de la négociation du système de certification cloud EUCS, un processus qui a débuté en 2020.
Même si aucun des deux documents ne devrait inclure de dispositions sur la souveraineté, les exigences en matière de détention de capital devraient être fixées par décret du Conseil d’État français dans les six mois suivant l’entrée en vigueur de la loi SREN.
Les partisans des dispositions sur l’immunité considèrent qu’il s’agit d’un moyen important de protéger les entreprises et les gouvernements de l’UE contre le Foreign Intelligence Surveillance Act et le Cloud Act des États-Unis. Ces deux législations américaines donnent aux agences de sécurité nationale américaines une latitude pour accéder aux données de tiers traitées par des entités américaines.
« Il existe des données particulièrement sensibles qui, en tant que telles, ne doivent pas être […] être confié à n’importe quelle entreprise », a déclaré mardi la sénatrice centriste française Catherine Morin-Desailly.
Mais les opposants ne sont pas d’accord. Ces exigences « exigent que le siège social des entreprises soit situé en Europe, ce qui est sans précédent et complètement contraire à ce que fait l’UE », a déclaré Kerneis.
Prochaines étapes
Une fois que l’ENISA aura validé l’EUCS, la Commission européenne publiera un acte d’exécution en vertu de la loi sur la cybersécurité, faisant du système un cadre commun de l’UE que tous les États membres pourront utiliser volontairement.
Les États membres peuvent adopter des lois nationales rendant le système obligatoire pour un ensemble de données spécifique – tout comme le fait la loi SREN pour les données de santé ou de sécurité nationale.
[Edited by Alice Taylor]