Depuis 2015, la Commission européenne a signé à trois reprises des accords régissant le transfert de données vers les États-Unis : le Safe Harbor, le Privacy Shield et le Data Privacy Framework. A travers ces textes, la Commission a validé un niveau suffisant de protection des données et la possibilité pour les entreprises de l’Union européenne (UE) de transférer leurs données vers les États-Unis sans mesures supplémentaires.
Les deux premiers accords ont été rejetés en 2015 et 2020 par la Cour de justice de l’Union européenne (CJUE) en raison du danger représenté par les lois extraterritoriales américaines. La Cour a estimé que ces lois violaient le droit à la vie privée des Européens. Quoi qu’il en soit, la Commission a publié un troisième accord en 2023, le Data Privacy Framework, qui est à son tour actuellement examiné par la CJUE.
Norme SecNumCloud
Entre temps, les lois extraterritoriales américaines se sont durcies. À titre d’exemple, le 24 avril, le président Biden a signé une extension et un élargissement de l’article 702 de la Foreign Intelligence Surveillance Act (FISA). Il permet aux agences de renseignement américaines de collecter massivement et sans mandat préalable les données numériques d’individus non américains, un enjeu de sécurité nationale considéré comme comparable à la lutte contre le terrorisme. Avec ce texte et un marché européen du cloud dominé à plus de 70% par les Gafam (Google, Amazon, Facebook, Apple, Microsoft)les États-Unis ont ainsi renforcé leur capacité à accéder aux données sensibles et stratégiques des entreprises et administrations européennes.
Dans ce climat, la sécurité des fournisseurs de services de cloud computing est devenue un enjeu crucial. C’est pourquoi l’Agence nationale de sécurité des systèmes d’information (Anssi), l’autorité nationale de sécurité et de défense des systèmes d’information en France, a développé en 2016 le standard SecNumCloud, dont la dernière version contient des exigences de souveraineté et des critères de protection à l’égard des non-intrusions. Lois européennes.
Ces exigences garantissent que le fournisseur de services cloud et les données qu’il traite ne pourront pas être soumis à des lois non européennes, permettant ainsi à l’État de promulguer sa doctrine et de limiter les recours des administrations aux Gafam.
De là est née l’idée de transposer ce SecNumCloud français au niveau européen, dans une norme européenne appelée European Union Cybersecurity Certification Scheme for Cloud Services (EUCS) : une opportunité pour façonner l’avenir de la sécurité du cloud en Europe et standardiser les données. exigences de sécurité entre ses pays membres.
Il vous reste 59,21% de cet article à lire. Le reste est réservé aux abonnés.