Le projet actuel de certification européenne pour les services de cloud (EUCS) ne permet plus aux fournisseurs de démontrer qu’ils protègent les données stockées contre tout accès par une puissance étrangère dénonce la CNIL.
« Une protection renforcée s’impose pour les traitements de données les plus sensibles, comme les grandes bases de données de santé, les données d’infractions ou les données relatives à des mineurs. Les données hébergées dans l’Union européenne ne devraient pas être soumises au risque d’accès non autorisé par des autorités d’États tiers« , plaide la CNIL.
Selon l’autorité : « la possibilité de s’assurer que l’hébergeur des données pour ces traitements les plus sensibles n’est pas soumis à une législation extra-européenne ne figure plus dans le projet de certification européenne de cybersécurité du cloud EUCS piloté par l’Agence de l’Union européenne pour la cybersécurité (ENISA), même dans les niveaux de certification les plus élevés, et même à titre optionnel« .
Ce texte « prive les acteurs d’un cadre concret pour garantir la protection des droits et libertés fondamentaux des citoyens européens dans le cadre de tels traitements« . En effet, les acteurs publics et privés ne pourraient pas avoir recours au cloud externalisé à cause de la loi SREN ou de la doctrine de l’État « le cloud au Centre ».
Ces textes demandent aux autorités publiques de s’assurer que les données « d’une sensibilité particulière » hébergées dans le cloud ne soient pas soumises à des lois extra-européennes pouvant impliquer des injonctions de communication ou d’empêcher tout accès aux données par des autorités publiques d’États tiers non autorisés par le droit de l’Union européenne ou d’un État membre de l’UE.
« Pour toutes ces raisons, la CNIL appelle à l’inclusion, à titre optionnel, de critères ‘d’immunité’ aux lois extra-européennes, qui peuvent s’inspirer de ceux de la qualification SecNumCloud déjà en place en France, dans le schéma de certification européen EUCS afin d’assurer la plus haute protection des traitements de données personnelles les plus sensibles pour les acteurs industriels européens« . Dès que la Commission européenne aura été constituée, une re discussion du projet sera possible.
Patrice Remeur
