Géants de la Tech

Électrochoc : Les États-Unis font pression sur les ambitions souveraines du projet européen de certification des services cloud (EUCS)

L’Europe tente d’instaurer sa souveraineté cloud avec l’EUCS, un projet ambitieux mais entravé par les GAFAM et les pressions politiques américaines qui ralentissent son adoption.

Nicolas CHAUDHARY
Par
Nicolas CHAUDHARY
ParNicolas CHAUDHARY
Nicolas est passionné par le SEO depuis plus de 10 ans. Son objectif : rendre le référencement naturel accessible à tous grâce à des conseils simples...
Suivre :
15 min de lecture
Eucs bataille entre lue et les usa pour le cloud
EUCS : l’Europe vise un cloud souverain, mais les USA et les GAFAM freinent ses ambitions. Découvrez les enjeux de cette bataille stratégique.
Points forts à retenir
  • Un projet ambitieux mais fragile : L’EUCS vise un cloud européen souverain et sécurisé, mais souffre de divisions internes et d’un manque de consensus au sein des États membres.
  • Pressions américaines et des GAFAM : Les États-Unis et les géants du numérique (Amazon, Google, Microsoft) contestent le projet, craignant un impact sur leurs intérêts commerciaux.
  • Enjeu de souveraineté numérique : L’EUCS représente une étape clé pour protéger les données européennes, mais les tensions internes et externes menacent sa mise en œuvre.

Le projet de certification EUCS patine depuis 5 ans. Pourtant, le besoin d’unification et de fortification des normes européennes de sécurité numérique face aux diverses menaces de cybersécurité devient intolérable. 

Déjà grevé de l’intérieur, le projet de certification EUCS doit également se confronter à la riposte des GAFAM et du pays de l’Oncle Sam. 

L’heure tourne, tandis que le parlement européen a lancé les débats. Alors que 70% des européens utilisent les clouds américains abordables, complets – et peu confidentiels -, le projet EUCS ne tiendra pas l’échéance initiale de fin 2024. 

L’ambitieux projet EUCS 

Le projet de système EUCS (European Union Cybersecurity Scheme for Cloud Services) vise un cloud sécurisé européen dans un environnement numérique qui évolue constamment, se diversifie et se complexifie rapidement. Avec deux autres certifications européennes, il constitue le bouclier de cybersécurité du vieux continent. 

Malheureusement, le continent européen s’est montré mauvais élève, en se laissant distancer par les GAFAM dont il dépend lourdement à ce jour. Au fil du temps, les prestataires continentaux ont été confronté à des pratiques de position dominante, notamment : 

  • La substitution des licences définitives par des licences renouvelables 
  • La hausse insolente des coûts 
  • L’absence d’alternatives locales fiables et viables 

Pour endiguer ce phénomène, le projet de certification EUCS tend à uniformiser les bonnes pratiques continentales, qui seront validées sous forme de certificats de sécurité. Dans ce sens, il nourrit plusieurs objectifs : 

  • Faire migrer et héberger les données sensibles et souveraines vers un prestataire européen 
  • Élever les normes de sécurité des TIC (produits, services et processus) et des solutions cloud en Europe
  • Le remplacement des réglementations nationales par une certification européenne unique et homogène 

Face aux dérives, le projet de système EUCS prône l’implication de tous les acteurs technologiques européens, à travers un système horizontal qui favorise la confiance. En particulier, la France a inspiré la majorité des innovations présentées, littéralement calquées sur ses systèmes de certification existants : 

Niveau de sécurité EUCSSource d’inspiration européenne
BasicNorme ISO 27001 (France)
SubstantialCertification C5 (Allemagne)
HighCertification SecNumCloud “classique” (France)
High+Certification SecNumCloud version 3.2 (France)

Le certificat de sécurité EUCS High+ mentionne l’imperméabilité aux lois extraterritoriales et la souveraineté locale. Et c’en était assez pour constituer une pomme de discorde. 

Les freins internes à la marche de l’UE vers la souveraineté numérique 

Chacun tire le drap vers soi 

La France, l’Espagne et l’Italie souhaitent des critères exigeants et une sécurisation élevée avec l’interdiction totale de l’extraterritorialité. Le texte initial du projet EUCS incluait uniquement l’admission des entreprises européennes ou co-entreprises créées via des structures européennes, telles que S3NS et Bleu. Le crédo de ce clan s’appuie sur l’exemplarité et rejette les récentes versions, plus conciliantes : 

[Le] véritable enjeu [consiste à] admettre et assumer que certaines données et certains processus sont très sensibles, que leur traitement doit être réalisé dans des conditions de sécurité technique, opérationnelle et juridique particulièrement strictes et qu’une des conséquences est alors de s’assurer que seul le droit européen s’applique, à l’exclusion de tout autre.

Guillaume Poupard, ancien directeur de l’ANSSI et actuel DGA de Docaposte

En face, douze pays, l’Allemagne en tête, optent pour un assouplissement des règles. Ce groupe évoque le Data Privacy Framework comme antécédent de collaboration extraterritoriale entre l’Europe et les États-Unis. Par exemple, la Grèce, l’Irlande, le Danemark ou la Suède sont partisans du libre échange. Pour ce clan, le libéralisme doit régner, laissant la disponibilité aux dirigeants de se préoccuper de problèmes plus graves : 

Force est de reconnaître qu’une majorité d’États Membres de l’Union européenne a clairement d’autres priorités que de développer l’Europe du numérique. Certains ne veulent surtout pas prendre le risque de réduire leurs rentrées fiscales, d’autres sont prêts à tout pour continuer à vendre des voitures de luxe ou importer du GNL, beaucoup ont pour priorité – légitime – leur protection militaire par l’OTAN dans un contexte géopolitique particulièrement tendu. Sans juger, force est de reconnaître que la sécurité du cloud et de nos données pèse malheureusement bien peu.

Guillaume Poupard

Le récent lancement de European Sovereign Cloud, une offre localisée en Europe par Amazon, remet les dissensions à la lumière du jour. 

Le besoin de confidentialité 

La sécurité implique la confidentialité. Une valeur que la récente version allégée du projet EUCS semble avoir renvoyée aux calendes grecques. 

Certaines puissances étrangères disposent aujourd’hui d’une capacité inégalée dans l’histoire du renseignement pour mener sans entrave particulière leurs activités d’intelligence économique dans l’espace numérique européen. La mise en place d’un tel niveau de certification au sein de l’EUCS serait une réponse directe à la menace que représentent ces pratiques de surveillance et constituerait un signal fort quant à l’ambition de notre continent de protéger son patrimoine informationnel stratégique, bien au-delà des seules données personnelles.

Jean-Claude Laroche, président du Cigref

Un laxisme estimé aussi dangereux qu’inacceptable : 

Nous sommes particulièrement inquiets de constater que la dernière version du projet EUCS semble s’éloigner de son objectif essentiel qui est de garantir un haut niveau de sécurité et d’immunité contre les législations extraterritoriales non européennes. Les pressions exercées par l’industrie technologique américaine et certaines interventions diplomatiques suggèrent que l’EUCS pourrait être déclassé, privant ainsi les entreprises et les administrations publiques européennes d’un outil essentiel pour protéger leurs données contre les acteurs extraterritoriaux.

Jean-Claude Laroche

En l’absence de confidentialité certifiée, les institutions politiques ont saisi au vol l’occasion de prendre position, notamment la CNIL en France : 

Dans son état actuel, le système européen de certification des services cloud ne permet plus aux fournisseurs de démontrer qu’ils protègent les données stockées contre l’accès d’une puissance étrangère (…) La CNIL demande que le niveau de protection des données personnelles dans cette certification soit renforcé en réintroduisant de telles garanties.

En outre, l’institution recommande le recours à un prestataire exclusivement soumis au droit européen pour la protection adéquate des données les plus sensibles, concernant surtout : 

  • La santé 
  • Les infractions 
  • Les mineurs 
  • Les systèmes critiques 

Des délais stricts… ou pas assez

Sans consensus, le vote des députés a été fréquemment reporté. Alors qu’octobre 2024 pointait son nez, personne ne semblait se déranger plus de combler la faille technologique et juridique européenne. Chaque clan géopolitique prêche avec détermination pour sa chapelle. 

L’équité commerciale en discussion

L’examen des textes de l’Accord sur les marchés publics (AMP) et de l’Accord général sur le commerce des services (AGCS) pose problème. Le premier traite spécialement les acquisitions gouvernementales, tandis que le second est plus général. 

Les nouvelles exigences sont susceptibles de contrevenir aux exigences de traitement équitable et non discriminatoire entre les participants aux appels d’offres.  

Un frein potentiel au développement numérique européen 

Un doute raisonnable persiste, qui se décline comme suit : 

  1. En cas d’adoption du projet de certification EUCS, les fournisseurs de services extraterritoriaux ne pourront pas accéder aux certifications les plus puissantes high et high+ 
  2. De volontaire, la certification peut rapidement glisser par roulements pour devenir obligatoire pour collaborer avec les entités européennes critiques 
  3. Une fois ces fournisseurs exclus, les infrastructures critiques européennes devront se tourner vers des prestataires certes locaux, mais moins performants, moins résilients, moins compétitifs et plus onéreux 

Si ce schéma se réalisait, l’Europe numérique pourrait tout aussi bien retourner à l’âge de pierre.

Les GAFAM protestent

Les principaux fournisseurs de services cloud (Amazon, Microsoft et Google) s’opposent fermement au projet de certification EUCS. 

Ils sont rejoints par le centre européen pour l’économie politique internationale qui a appelé depuis 2023, la Commission Européenne et l’agence de l’Union Européenne pour la cybersécurité (ENISA) à abandonner le projet. 

Entretemps, l’arrêt Schrems II (Novembre 2021) qui requiert des garanties concernant le transfert des données personnelles de l’Europe vers les États-Unis est mis à mal. En effet, la Commission Européenne pour les États-Unis a pris en juillet 2023 une décision Data Privacy Framework avantageant les États-Unis. 

Diviser pour mieux régner ? 

Apparemment, les GAFAM n’en ont pas même eu besoin face aux européens préoccupés chacun de leurs intérêts. 

Habillé de gants de velours, le chantage est également au menu. 

La riposte des États-Unis 

Pendant que les politiques et les parlementaires s’occupaient de couper les cheveux en quatre, le gouvernement américain a choisi d’assurer ses arrières. 

Début avril 2024, la Chambre des représentants a voté pour la prorogation pendant deux ans de la section 702 de la loi sur la surveillance du renseignement étranger. En pratique, cette loi d’espionnage dite FISA autorise le gouvernement américain à surveiller les ressortissants étrangers résidant hors des États-Unis sans mandat. 

Une manne pour le protectionnisme américain, qui a encore de beaux jours devant lui. Et l’un des scénarios d’ingérence étrangère pour lesquels le projet de certification EUCS a été initié

Alors que l’Allemagne, la Pologne et les Pays-Bas semblaient craindre les représailles américaines, le robinet numérique international a, semble-t-il, d’ores et déjà changé de mains : 

Qu’est-ce qui se passe l’année prochaine si on a un Trump qui arrive à la tête de l’administration américaine et qui décide de mettre en tension les Européens en utilisant le robinet de l’énergie numérique ? Si Trump décide de cibler une entreprise, comme cela a été le cas par le passé avec d’autres types de mise en tension, comme Alstom, BNP Paribas ou d’autres. Si vous ne vendez pas telle filiale, si vous ne nous livrez pas telles données, on vous ferme le robinet de l’énergie numérique (…) C’est une arme absolument redoutable.

Alain d’Agrain, secrétaire général du Cigref

Pour rappel, Donald Trump vient de remporter les présidentielles aux États-Unis.  

Le projet EUCS : Faut-il reculer pour mieux sauter ?

Dans le fond, le projet de certification EUCS nourrit de nobles ambitions. Cependant, l’écosystème numérique européen semble manquer de préparation pour la réalisation de ses objectifs. 

Notre crainte principale, ce sont les différentiels d’application de ces régulations. On l’avait vu avec le RGPD, avec l’Irlande qui était devenue un pavillon de complaisance de la mise en œuvre du RGPD. Et cela a eu des effets assez délétères en Europe. Lutter contre les pavillons de complaisance de la régulation, cela va être un enjeu absolument essentiel de la prochaine mandature [européenne]

Alain d’Agrain

Malgré la pression financière et les risques sécuritaires, le manque d’engagement, de cohésion, de financement et les insuffisances légales appellent à une refonte locale avant la pleine adoption du projet. Et c’est également la recommandation finale d’Henri d’Agrain : 

Il y a eu une efflorescence législative ces dernières années. Ce que nous recommandons, c’est de stabiliser la réglementation et de faire en sorte qu’on puisse l’absorber. On est encore très loin des trois quarts des réglementations qui sont à implémenter dans les entreprises. Je pense à la transposition de NIS 2 [continuité d’activité], à l’AI Act [régulation de l’IA], au Cyber Resilience Act. On ne sait pas aujourd’hui, par exemple, sur l’AI Act qui va réguler en France. Donc, cela arrive très vite et les dispositifs de régulation ne sont pas aujourd’hui en place.

Alain d’Agrain

EUCS : Le projet sans fin trouvera-t-il un dénouement ? 

Aperçu : Telle l’épopée antique de David contre Goliath, les escouades européennes pour un cloud sécurisé encourent la peine capitale face à un Zeus Américain particulièrement gourmand.

Quel métier que celui de diplomate ! Il faut savoir défendre les valeurs de la patrie, se salir les mains si nécessaire avec élégance, et garder la tête haute en toutes circonstances…

… Mais par-dessus tout, réserver ses meilleurs atouts pour frapper au moment opportun. Les paris sont ouverts pour prédire l’issue du énième ballet numérique Europe – Amérique de cette décennie. Bernard Charlès, de Dassault Systèmes, a vite fait de mettre les pieds dans le plat : 

La souveraineté, c’est politique et non technologique.

Entre l’obstination nationaliste, le chantage extérieur et les défections internes, sommes-nous en train d’assister à l’avènement d’un futur Waterloo digital ? 

Youpi Blue® > Transformez votre site en app mobile Youpi Blue® > Transformez votre site en app mobile Youpi Blue® > Transformez votre site en app mobile

avatar d’auteur/autrice
Nicolas CHAUDHARY Nicolas est passionné par le SEO
Expert SEO depuis 10 ans, Nicolas rend le référencement accessible à tous. Il booste la visibilité web avec une approche humaine et axée sur l'IA.
Voir la biographie complète
Fin des 12 jours d’annonces d’OpenAI : Le récap’ complet que tu attendais
AI Overviews répond à des requêtes de plus en plus complexes, tel un super-héros
Des extensions d’appel supplémentaires pour les annonces de Google
La fonctionnalité Google Quick View en test : Déjà la controverse
Google a ajouté 11 pages à ses Quality Raters Guidelines
ENTREPRENEURS CITÉS :

Restez connecté

En avant-première

Créer une formation qualiopi sans se noyer
Non, créer une formation Qualiopi n’est pas si compliqué
eCommerce
Crée des sondages impactants sans coder
SurveyMonkey et Canva : outils de sondage marketing
Engagement live la méthode anti zapping
Réussir ses lives : plan, teasing, impact
Réseaux sociaux
Digitalise tes services booste ton business
Digitaliser services : optimisez processus & client
eCommerce