L’Europe se prépare à un nouveau chapitre de sa cybersécurité, avec des réglementations renforcées destinées à protéger les données sensibles contre l’intrusion des géants du cloud. Les acteurs majeurs tels qu’Amazon Web Services, Google Cloud et Microsoft Azure sont directement concernés.
Une nouvelle réglementation européenne bientôt adoptée ?
Dans une démarche protectionniste, l’Europe cherche à mettre en place des règles de cybersécurité pour protéger les données sensibles hébergées dans le cloud. Si vous êtes un prestataire de services cloud hors Europe et que vous voulez obtenir une certification de cybersécurité pour stocker et traiter des données sensibles, vous devrez peut-être désormais envisager de vous associer avec un partenaire européen.
Pour clarifier, par « données sensibles », le texte fait allusion à toute information dont la divulgation pourrait avoir des conséquences négatives sur des domaines aussi variés que la santé publique, la sécurité ou la protection de la propriété intellectuelle. Oui, vous avez bien lu, il ne s’agit pas seulement de données personnelles.
Les GAFAM dans le viseur de l’Europe
Pour faire simple, si vous êtes Amazon Web Services, Google Cloud ou Microsoft Azure (pour ne citer que quelques mastodontes du cloud), selon cette proposition, vous devrez vous associer à une entreprise européenne. Et attention, on ne parle pas d’un partenariat où vous pourrez être le grand patron – vous ne pourrez détenir qu’une part minoritaire dans cette coentreprise.
De plus, il faudra que les salariés ayant accès à ces données sensibles soient basés dans l’Union Européenne. Ils feront l’objet d’un contrôle particulier pour garantir la sécurité des données. « Les entreprises dont le siège social ou l’administration centrale n’est pas établi dans un État membre de l’UE ne doivent pas, directement ou indirectement, seules ou conjointement, détenir un contrôle effectif positif ou négatif sur le fournisseur de services cloud qui demande la certification d’un service cloud« , explique le document.
Et ce n’est pas tout, le service cloud doit être opéré depuis l’UE, et toutes les données doivent être stockées et traitées en UE. Le texte souligne que les lois européennes l’emporteront sur celles du pays du fournisseur. Autant dire que c’est un changement de cap qui pourrait chambouler la donne pour les géants du cloud.
Empêcher les ingérences extérieures à l’UE
Ces mesures pourraient sembler quelque peu draconiennes, mais elles ont une raison d’être. Le projet de règlement de l’UE, bien que susceptible de faire froncer les sourcils aux géants de la technologie américains, est conçu pour contrecarrer toute tentative d’interférence de la part d’États non membres de l’UE. Il est clair que l’UE veut s’assurer que ses réglementations, normes et valeurs ne soient pas compromises par des entités extérieures.
Selon le texte, « Les services cloud certifiés sont exploités uniquement par des entreprises basées dans l’UE, sans qu’aucune entité extérieure à l’UE ne puisse exercer un contrôle effectif sur le fournisseur de services cloud, afin d’atténuer le risque que des pouvoirs d’ingérence extérieurs à l’UE ne portent atteinte aux réglementations, normes et valeurs de l’UE. » En d’autres termes, l’UE veut garder le contrôle de ses propres affaires en matière de cybersécurité.
Quid de la position américaine ?
La chambre de commerce américaine a déjà exprimé son inquiétude, affirmant que ces plans mettent les entreprises américaines dans une position défavorable. Cependant, l’UE maintient que ces mesures sont nécessaires pour protéger les droits et la vie privée des données du bloc. Des dispositions qui sont susceptibles de susciter des critiques de la part des géants de la technologie américains, craignant d’être écartés du marché européen.
Les pays de l’UE examineront le projet dans les prochaines semaines. Il se pourrait donc que le paysage de la cybersécurité en Europe change drastiquement dans un futur proche.
Et le gâteau de la cybersécurité alors ?
Et qu’en est-il de l’appétit des géants du cloud pour les contrats avec les organes gouvernementaux, les établissements de santé ou financiers européens, souvent au détriment d’acteurs locaux ? Eh bien, si l’UE adopte ce texte, elle pourrait changer les règles du jeu et forcer un partage plus équitable du gâteau. Un gâteau qui, jusqu’à présent, était largement dévoré par les acteurs non-européens.
La balle est désormais dans le camp des géants du cloud. Faudra-t-il qu’ils s’adaptent à cette nouvelle donne ou tenteront-ils de résister à cette vague réglementaire ? Seul l’avenir nous le dira. Mais une chose est sûre : le Vieux Continent ne semble pas prêt à faire des concessions quand il s’agit de protéger ses données.
Chez Synexie, on suit de très près ces évolutions qui impacteront, à n’en pas douter, la cybersécurité en Europe. On vous tient au courant dès que cela bouge ! En attendant, si vous souhaitez échanger sur vos besoins cyber et être accompagnés par nos experts, c’est par ici.