Le schéma européen de certification de cybersécurité (EUCS) est en cours de discussion au sein de l'Union européenne. Ce schéma vise à harmoniser les standards de sécurité des produits et services numériques en définissant les règles pour les gouvernements, mais également les lignes directrices pour les entreprises en vue de choisir un fournisseur approprié pour traiter ou stocker leurs données.
Il s'agit ainsi de renforcer la confiance des utilisateurs et de garantir un niveau élevé de protection de leurs données. Cependant, les récentes modifications apportées au texte ont suscité des inquiétudes, notamment de la part de la France, quant à leur conformité aux objectifs initiaux de l'EUCS.
Des modifications remises en question
Le 11 avril dernier, la France a envoyé une lettre aux services juridiques du Conseil de l'UE afin de vérifier la conformité des récentes modifications apportées au texte de l'EUCS. En effet, la nouvelle version du texte, datée du 22 mars dernier, a supprimé le critère de sécurité juridique qui obligeait les fournisseurs étrangers à coopérer avec une entreprise européenne pour obtenir le niveau de sécurité le plus élevé du schéma. Son objectif était de lutter contre le transfert des données sensibles hors d'Europe, afin de prévenir tout risque de fuite vers des gouvernements ou des géants du numérique étrangers.
La France demandait ainsi dans sa lettre des clarifications écrites et juridiques sur l'interaction entre le droit de l'UE et le droit national, dans le cadre de l'Acte sur la cybersécurité (CSA) et du système EUCS en cours de discussion. En laissant aux États membres la possibilité de recréer, au niveau national, un critère équivalent à celui qui a été supprimé, la proposition de la Commission européenne est accusée par la France de contrevenir au principe même de l'EUCS, qui vise à harmoniser les systèmes et à éviter toute fragmentation entre les Vingt-Sept.
Une version plus stricte prônée par la France mais aussi le secteur privé
Face à ces modifications jugées insatisfaisantes, la France a décidé de prendre position et de prôner une version plus stricte des garanties de sécurité et de souveraineté, équivalentes à son propre système "SecNumCloud".
En outre, la position française a soulevé des interrogations quant à la transparence des discussions et au manque de consultation de l'industrie de la part des délégations européennes. En effet, selon plusieurs sources, les acteurs privés du secteur de la cybersécurité critiquent l'opacité des discussions, ce qui a conduit à la publication d'une lettre du Cigref, l'association regroupant les directions numériques des grandes entreprises françaises, ainsi qu'à une lettre ouverte de 18 société européennes parmi lesquelles Airbus, Capgemini, Dassault Systèmes, EDF et OVHcloud, les deux critiquant durement la dernière version du schéma de certification. Le Cigref a ainsi dénoncé une « situation inacceptable », qui va à l’encontre « de l’ambition d’autonomie stratégique et technologique de l’Union européenne ».
Prochaine étapes
Alors que les négociations se poursuivent, il s'agira de trouver un équilibre entre la volonté d'harmoniser les standards de sécurité et la nécessité de garantir la souveraineté et la sécurité des données des États membres. Si le vote sur la dernière version du texte de l'EUCS, prévu initialement pour le 16 avril, a été repoussé en mai en raison de l'opposition française, il reste impératif pour les dirigeants européens que l'EUCS soit finalisé avant la fin de la mandature actuelle.
