L’avenir pour le cloud européen est peut-être en train de changer. L’Union européenne, en pleine discussion sur le schéma de certification européenne de cybersécurité dans le cloud (EUCS), tendrait à supprimer le critère de souveraineté de cette norme.
Le 10 avril, 18 grandes entreprises (Orange, Airbus, EDF, etc) opérant dans les États membres de l’UE se sont opposées à cette nouvelle version de la future EUCS dans le cadre d’une lettre ouverte adressée à l’UE : ”Nous demandons aux décideurs politiques de prendre le temps nécessaire pour prendre pleinement en compte les implications d'une suppression potentielle des dispositions relatives à la souveraineté dans le corps principal du système EUCS”.
Philippe Miltin, PDG d’Outscale (marque de Dassault Systèmes) affirme que c’est “une décision aux conséquences regrettables, non seulement sur la souveraineté numérique européenne mais également sur notre compétitivité économique, notre autonomie stratégique et sur la vie des citoyens européens”. Selon lui, cette démarche est “à contre-courant des besoins réels des entreprises et des citoyens européens”.
Un objectif clair pour le cloud européen
Pour l’ensemble des acteurs de la lettre ouverte, “l'inclusion d'exigences de souveraineté est nécessaire pour surmonter la fragmentation du marché, protéger les données les plus sensibles des organisations européennes et encourager le développement de solutions de cloud souverain en Europe”.
Pour accompagner leur demande envers l’UE, les entreprises exposent les principales raisons de leur contestation concernant la suppression de la souveraineté :
- le traitement du risque d'accès illégal aux données ;
- assurer la cohérence sur le marché de l'UE ;
- fournir une clarté et une transparence pour les utilisateurs.
Pour les entreprises, le constat est clair : “la suppression de ces exigences du système compromettrait gravement la viabilité des solutions de cloud souverain en Europe, dont beaucoup sont en cours de développement ou déjà disponibles sur le marché. Cela empêcherait également les clients européens d'identifier avec certitude des solutions suffisamment sûres pour leurs applications sensibles.
De leur côté, les responsables de la cybersécurité de l’UE se retrouveront le 15 avril 2024 pour discuter de cette nouvelle version de l’EUCS.