Dans un avis publié vendredi, la CNIL alerte sur les dangers de la version actuelle de la future directive EUCS. La Commission fustige l’absence de protection contre l’extraterritorialité de certaines lois, notamment américaines. Elle milite pour un retour à une base SecNumCloud.
L’European Union Cybersecurity Scheme for Cloud Services, ou EUCS, est un projet de directive en cours d’élaboration en Europe. Ses ambitions sont grandes. Le futur cadre doit se substituer aux réglementations nationales comme SecNumCloud en France ou C5 en Allemagne. Ses objectifs sont clairs : élever le niveau de sécurité général du stockage cloud en Europe.
Pour y parvenir, le projet de directive propose quatre niveaux de sécurité : Basic, Substantial, High et High+. Plus on grimpe dans ces niveaux, plus les obligations sont nombreuses. Jusqu’au printemps, High correspondait à peu près à la certification SecNumCloud « classiques ». High+, lui, reprenait la dernière version de la certification française (3.2). Celle-ci inclut un volet sur la souveraineté et est imperméable aux lois extraterritoriales.
Seulement voilà, dans une nouvelle version parue en avril, le projet ne contenait plus rien sur la question de souveraineté. Une situation qu’avait dénoncé l’ancien directeur de l’ANSSI, Guillaume Poupard : « Force est de reconnaître qu’une majorité d’États Membres de l’Union européenne a clairement d’autres priorités que de développer l’Europe du numérique ».
Il indiquait alors que certains pays membres de l’Union pouvaient avoir d’autres priorités, notamment « leurs rentrées fiscales ». Et pour cause : en High+, l’ancienne version interdisait tout simplement le stockage des données les plus sensibles dans des solutions non européennes. « Exit » donc les GAFAM.
La CNIL prend position pour SecNumCloud
« Les données stockées par une entreprise soumise à un droit extra-européen, comme c’est le cas des hébergeurs dont les sociétés mères sont situées aux États-Unis, peuvent être exposées à un risque de devoir communiquer des données aux autorités publiques de ce pays », pointe la CNIL dans un communiqué publié le 19 juillet.
La Commission rappelle que ce n’est en général pas un problème. Dans le cadre du Data Privacy Framework, les données peuvent être stockées chez des prestataires situés dans des pays « adéquats ». C’est le cas des États-Unis. Mais qu’en est-il des données les plus sensibles ? La position de la CNIL est claire : « les données hébergées dans l’Union européenne ne devraient pas être sujettes à un risque d’accès non autorisé par des autorités d’États tiers ». Le Cloud Act américain, s’il n’est pas directement cité, est clairement dans la ligne de mire.
La recommandation est donc de « recourir à un prestataire exclusivement soumis au droit européen et offrant le niveau de protection adéquat ». En France, cette recommandation se traduit par la certification SecNumCloud. Elle « comprend ce critère et permet ainsi une protection des données contre les accès par des autorités étrangères ».
EUCS : des « lacunes et des risques »
La CNIL confirme dans son communiqué que cette disposition « ne figure plus dans le projet de certification européenne de cybersécurité du cloud EUCS piloté par l’Agence de l’Union européenne pour la cybersécurité (ENISA) ». Et, même dans les niveaux les plus élevés de la certification. Pas même en option.
La CNIL rappelle qu’elle recommande « depuis longtemps » d’assurer une protection contre les lois extraterritoriales pour les données les plus sensibles. De plus, EUCS, dans son état actuel, « ne permet pas de stimuler l’offre européenne en matière de cloud ». Or, cette offre est essentielle pour répondre « aux besoins de développement et déploiement » des systèmes d’IA. Autre problème pointé par la CNIL, l’accès à la commande publique pour les acteurs européens. Ce, alors que les États-Unis ont eux-mêmes un programme (FedRAMP) pour les acteurs américains.
Surtout, EUCS ne peut pas être utilisé par les acteurs publics et privés pour « externaliser dans le cloud leurs projets les plus sensibles ». La CNIL cite en bon exemple le gouvernement et sa doctrine « cloud au centre », qui réclame des autorités publiques qu’elles stockent les données « d’une sensibilité particulière » dans un cloud non soumis à des lois extra-européennes qui pourraient « impliquer des injonctions de communication ».
Le projet EUCS est actuellement en stand-by, conséquence logique du renouvellement du Parlement européen. Ursula von der Leyen vient d’être réélue à la tête de la Commission européenne, mais cette dernière doit être constituée. C’est seulement une fois cette étape franchie que les discussions – et négociations – reprendront.
Notez qu’en l’état, la directive EUCS permettrait a priori à des offres comme Bleu et S3NS d’être certifiées en niveau High+. La question de la certification SecNumCloud reste entière, même si S3NS vient de se lancer dans le processus.
Une position surprenante ? Pas vraiment
La position de la CNIL pourrait faire se soulever quelques sourcils. Dans son communiqué, elle cite en effet le système national des données de santé (SNDS) comme exemple de données personnelles très sensibles. Pourtant, on se souvient de la polémique autour de l’avis positif rendu sur le stockage de ces mêmes données dans Azure. Pour rappel, elle autorisait ainsi le Health Data Hub (Plateforme des données de santé) à stocker chez Microsoft les données du projet européen EMC2.
Le député Philippe Latombe, commissaire à la CNIL, nous avait indiqué que la décision de la CNIL avait été faite en droit. En l'occurrence, celui du Data Privacy Framework qui établit une adéquation entre les cadres réglementaires européen et états-unien.
La CNIL « juge en droit. Elle est obligée de l’appliquer. Il n’y a rien qui interdit le projet EMC2 d’être stocké chez Microsoft », avait appuyé le député. Il avait ajouté que la décision de la CNIL laissait « suffisamment de prise pour que tout le monde puisse la contester ». En outre, la position de la Commission était clairement perceptible entre les lignes.
La position de la CNIL n’est donc pas surprenante, car il s’agit justement de donner son avis. Avis qui tombe d’ailleurs quelques jours seulement après les recommandations de l’ANSSI sur le stockage des données sensibles dans le cloud. Elles pouvaient se résumer aisément : SecNumCloud.
Commentaires (0)