Le projet de certification européenne des services de cloud (EUCS), proposé par l’ENISA, vise à harmoniser les normes de sécurité pour les fournisseurs de services cloud au sein de l’UE. Cependant, des critiques, notamment de la CNIL, soulignent des lacunes, notamment l’absence de protections contre les législations extra-européennes. Cela pose un risque pour les données sensibles, surtout celles issues de secteurs critiques comme la santé. En comparaison, la certification SecNumCloud de l’ANSSI offre des garanties juridiques plus robustes, protégeant les données contre les lois non européennes, ce qui est essentiel pour assurer la souveraineté des données en Europe.. Consulter la source documentaire.

Qu’est-ce que le projet de certification européenne des services de cloud (EUCS) ?

Le projet de certification européenne des services de cloud (EUCS) a été proposé par l’Agence européenne pour la cybersécurité (ENISA) dans le but d’établir des normes de sécurité harmonisées pour les fournisseurs de services cloud au sein de l’Union européenne.

Cette initiative vise à renforcer la confiance des utilisateurs dans les services cloud en garantissant un niveau de sécurité adéquat. Cependant, des critiques ont été émises, notamment par la CNIL, concernant les lacunes de cette certification, en particulier en ce qui concerne la protection des données sensibles contre les législations extra-européennes.

Pourquoi est-il crucial de protéger les données sensibles ?

La protection des données sensibles est essentielle, surtout dans des secteurs comme la santé ou les données relatives aux mineurs, qui nécessitent une attention particulière.

Le risque que des hébergeurs soumis à des lois étrangères, comme le Cloud Act américain, divulguent ces informations aux autorités d’États tiers est préoccupant. Le RGPD et la Loi SREN en France imposent des garanties strictes pour assurer que les données ne soient pas accessibles à des autorités extérieures à l’UE sans un cadre légal européen rigoureux.

En quoi la certification SecNumCloud est-elle supérieure à l’EUCS ?

La certification SecNumCloud, délivrée par l’ANSSI, impose des critères plus stricts en matière d’immunité juridique, garantissant que les données hébergées ne peuvent être soumises à des lois non européennes.

Cela contraste avec l’EUCS, qui, dans sa forme actuelle, ne prévoit pas de telles protections. La CNIL a critiqué cette absence de critères de protection, ce qui expose potentiellement les utilisateurs à des demandes d’accès de la part d’États tiers, augmentant ainsi le risque pour les données sensibles.

Quels sont les problèmes soulevés par l’EUCS ?

L’EUCS, dans son état actuel, ne propose pas de garanties juridiques contre l’accès non autorisé par des législations extra-européennes, ce qui soulève plusieurs enjeux.

Sur le plan juridique, cela pourrait créer des conflits de juridiction, en particulier dans les secteurs sensibles. Économiquement, l’absence de protection pourrait freiner le développement des offres cloud européennes. Technologiquement, cela pourrait désavantager les fournisseurs européens face aux géants américains, qui bénéficient de standards de sécurité plus élevés.

Quels types de données sont les plus concernés par cette problématique ?

Les types de données les plus concernés par cette problématique incluent les données de santé, les informations concernant des mineurs, et les bases de données critiques, telles que celles relatives à la sécurité nationale ou à la recherche.

Ces données nécessitent des protections supplémentaires contre les accès non autorisés par des États tiers, car leur divulgation pourrait avoir des conséquences graves sur la vie privée et la sécurité des individus concernés.

Comment les entreprises peuvent-elles se préparer à la qualification SecNumCloud ?

Pour se préparer à la qualification SecNumCloud, les entreprises doivent mettre en place des politiques de sécurité robustes et documentées.

Il est également conseillé de se préparer à des audits réguliers en interne pour garantir la conformité continue. De plus, former le personnel sur les exigences de sécurité et les bonnes pratiques en matière de protection des données est essentiel pour assurer une bonne gestion des informations sensibles.