L’Union européenne envisage d’élargir le champ d’application des règles de labellisation en matière de cybersécurité, qui toucheraient non seulement Amazon, Google d’Alphabet et Microsoft, mais aussi les banques et les compagnies aériennes, selon le dernier projet de règlement. Cette initiative de l’UE intervient alors que les géants de la technologie cherchent à se positionner sur le marché gouvernemental du cloud pour stimuler leur croissance dans les années à venir, tandis qu’un potentiel essor de l’intelligence artificielle après le succès viral de ChatGPT d’OpenAI pourrait également stimuler la demande de services cloud.
Le dernier projet de l’agence de cybersécurité de l’UE, l’ENISA, concerne un système de certification de l’UE (EUCS) qui garantit la cybersécurité des services cloud et détermine comment les gouvernements et les entreprises de l’UE choisissent un fournisseur pour leurs activités. Le document conserve les principales dispositions des versions précédentes, telles que l’exigence pour les géants de la technologie américaine de créer une coentreprise avec une entreprise basée dans l’UE pour obtenir le label de cybersécurité de l’UE.
Une autre disposition stipule que le service cloud doit être exploité et maintenu depuis l’UE, tandis que toutes les données des clients du service cloud doivent être stockées et traitées dans l’UE, les lois de l’UE prévalant sur les lois non-UE concernant le fournisseur de services cloud. Ces obligations s’appliquent au niveau de sécurité le plus élevé, dont il en existe quatre. Le dernier projet prévoit la possibilité d’étendre ces exigences strictes au troisième niveau de sécurité le plus élevé.
Les pays de l’UE examinent actuellement le dernier projet, après quoi la Commission européenne adoptera un schéma final. Le groupe de lobbying technologique CCIA a déclaré que l’élargissement du champ d’application affecterait un plus grand nombre d’industries. “Peut-être la partie la plus frappante de ce nouveau projet est que l’ENISA suggère maintenant que les exigences discriminatoires à l’encontre des fournisseurs de cloud étrangers pourraient également être étendues aux niveaux d’assurance inférieurs”, a déclaré Alexandre Roure, directeur des politiques publiques de CCIA Europe. “Cela inclurait les banques, mais aussi les compagnies aériennes, les entreprises de services publics et les secteurs fortement réglementés”, a-t-il ajouté.
La Fédération bancaire européenne (EBF), ainsi que le Groupe des banques d’épargne européennes (ESBG), l’Association pour les marchés financiers en Europe (AFME), la Fédération européenne des institutions de paiement (EPIF) et Insurance Europe ont critiqué les exigences de souveraineté.
