Protection des données européennes les plus stratégiques et sensibles contre les lois étrangères extraterritoriales

Objet: Protection des données européennes les plus stratégiques et sensibles contre les lois étrangères extraterritoriales

Le dispositif européen de certification de l’informatique en nuage vise à harmoniser les exigences européennes en matière de sécurité des données à caractère personnel.

L’Agence de l’Union européenne pour la cybersécurité (ENISA) a proposé initialement trois niveaux de risque pour le stockage des données: «bas», «substantiel» et «élevé». Le niveau de risque «élevé» s’applique aux données les plus sensibles (défense, santé, etc.) et implique que les données doivent être stockées en Europe. Le niveau de risque «élevé» exige également des entreprises non européennes (Amazon, Apple, Google, etc.) qu’elles mettent en place des coentreprises avec des fournisseurs européens (OVH, Thalès, etc.).

Cela permettrait de garantir que nos données soient correctement protégées contre les lois extraterritoriales des États-Unis (le Cloud Act) et de la Chine (loi chinoise sur le renseignement national), qui autorisent leurs gouvernements à copier ces données, où qu’elles se trouvent, pour des motifs de «sécurité nationale».

Toutefois, la presse spécialisée a révélé au début du mois d'avril 2024 que ces recommandations avaient disparu du dernier programme de travail de l’ENISA. Les grands acteurs numériques européens ont à juste titre fait part de leur préoccupation dans une lettre adressée à la Commission.

1. La Commission est-elle favorable à la suppression de ces recommandations?

2. Comment compte-t-elle protéger les données les plus sensibles contre les lois étrangères extraterritoriales?

Dépôt:25.4.2024

Réponse donnée par M. Breton au nom de la Commission européenne

(3 juillet 2024)

La Commission est chargée de veiller au respect du règlement sur la cybersécurité (1) au cours du processus d'élaboration des schémas européens de certification de cybersécurité. Le projet candidat de schéma européen de certification de cybersécurité pour les services en nuage en est encore à sa phase préparatoire, est en cours d'élaboration par l'Agence de l'Union européenne pour la cybersécurité (ENISA) et fera l'objet de discussions plus approfondies entre les experts des États membres au sein du groupe européen de certification de cybersécurité (GECC). La Commission, qui assure la présidence et le secrétariat du GECC, soutient les discussions entre les États membres. Une fois qu'un avis formel aura été rendu par le GECC, l'ENISA transmettra le projet candidat de schéma à la Commission, qui élaborera ensuite un acte d'exécution à adopter en conformité avec la procédure d'examen (2).

Conformément au règlement sur la cybersécurité, l'objectif de la Commission est que le futur schéma européen de certification de cybersécurité soit un schéma volontaire fondé sur les risques, qui apportera sécurité, transparence et confiance au marché européen de l'informatique en nuage et permettra aux clients de choisir le niveau de protection approprié, sur la base de leur propre analyse des risques et de leur propre estimation des coûts.

Plus précisément, l'objectif de ce futur schéma volontaire serait d'harmoniser les exigences de sécurité et les méthodes d'évaluation de la conformité pour le traitement tant des données à caractère non personnel que des données à caractère personnel par un large éventail de services en nuage et les capacités en nuage que ces services mettent en œuvre, notamment des applications, des infrastructures et des plateformes. Cela devrait favoriser l'adoption des technologies en nuage et permettre d'améliorer la situation européenne en matière de cybersécurité afin de garantir la cybersécurité des données européennes, quel que soit le lieu où elles sont traitées.

1 ∙ ⸱ Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l'ENISA (Agence de l'Union européenne pour la cybersécurité) et à

la certification de cybersécurité des technologies de l'information et des communications, et abrogeant le règlement (UE) no 526/2013 (règlement sur la cybersécurité).

2 ∙ ⸱ Article 49, paragraphes 6 et 7 du règlement sur la cybersécurité.