Avec sa révision du Cybersecurity Act, la Commission européenne entend enfin débloquer la certification des services cloud en Europe. Mais le dispositif proposé se concentre exclusivement sur la sécurité opérationnelle du service, sans intégrer des critères liés au contrôle juridique des fournisseurs et à leur exposition aux lois étrangères. Sous couvert de pragmatisme technique, Bruxelles entérine un nouvel abandon de souveraineté.
Dans un contexte international explosif, marqué par les menaces de Donald Trump envers les partenaires historiques des Etats-Unis, la Commission européenne vient de baisser les bras sur un dossier hautement sensible : le schéma de certification des services cloud, communément désigné sous le nom d’EUCS.
Exit les questions de souveraineté
Avec sa proposition de révision du Cybersecurity ActBruxelles acte un choix clair : plutôt que de transformer la certification européenne en un outil de souveraineté numérique, elle se limite à encadrer la sécurité technique et opérationnelle des services, laissant volontairement de côté les questions juridiques et de dépendances extraterritoriales.
Il faut revenir quelques années en arrière pour comprendre les enjeux autour de ce dossier. C’est en 2019 que la première version du Cybersecurity Act voit le jour. Il crée un mécanisme de certification pour les produits et services numériques. L’objectif initial était de remplacer la mosaïque de labels nationaux, tels que le visa de sécurité SecNumCloud en France ou C5 en Allemagne, par des certifications européennes harmonisées.
Dans ce cadre, un schéma dédié aux services de cloud devait voir le jour, dont les critères devaient être définis par l’Agence de l’Union européenne pour la cybersécurité (Enisa). Mais il est rapidement devenu l’un des dossiers les plus conflictuels de ces dernières années dans le numérique.
La France face à l’Allemagne
Derrière des discussions techniques sur les niveaux de sécurité se sont greffés des enjeux politiques majeurs, liés à la dépendance européenne aux hyperscalers américains et à la question des lois extraterritoriales. Faute de consensus entre États membres, notamment entre ceux qui voulaient intégrer des critères de souveraineté comme la France et ceux qui refusaient toute approche jugée discriminatoire ou protectionniste, tels que l’Allemagne, le projet est resté bloqué pendant plusieurs années.
Avec cette proposition de révision, la Commission européenne ambitionne de sortir de cette impasse. Tout d’abord, le texte redéfinit clairement le rôle de chacun. Il conforte la Commission dans un rôle de pilotage politique du cadre de certification, confie à l’ENISA la rédaction des schémas techniques et encadre plus strictement les modalités selon lesquelles ces schémas sont adoptés et appliqués dans les États membres.
Confidentialité, résilience des services…
Le texte précise ensuite ce que peut couvrir le schéma de certification. Il doit porter sur des objectifs de cybersécurité clairement identifiés, comme la confidentialité, l’intégrité, la disponibilité des données et la résilience des services (article 80). Il peut inclure des exigences techniques et organisationnelles, des procédures d’audit, des obligations de gestion des incidents et des règles de surveillance dans le temps (article 81).
La révision consacre également le principe de niveaux de certification gradués. Les schémas peuvent proposer plusieurs niveaux d’assurance, destinés à refléter des exigences croissantes en fonction de la criticité des usages. Le niveau le plus élevé, dit high, correspond à des contrôles renforcés et à des évaluations plus poussées, notamment face à des attaques sophistiquées.
En revanche, le texte ne crée aucun fondement juridique pour intégrer des critères liés au contrôle capitalistique des fournisseurs, à leur nationalité ou à leur exposition à des lois extraterritoriales.
Un boulevard pour AWS, Azure et GCP
En clair, les services cloud d’Amazon, Google et Microsoft pourront être certifiés en Europe sans que leur dépendance juridique aux États-Unis ne soit un critère bloquant. Alors que le cadre s’y prêtait, Bruxelles renonce ainsi à faire de la certification cloud un outil de préférence européenne et laisse intact l’avantage structurel des acteurs américains, dont les trois hyperscalers qui captent près de 70% du marché européen.
Egalement, pour les entreprises et les administrations utilisatrices, cette certification garantit un niveau de sécurité technique du service, mais ne protège ni contre une dépendance juridique à un État tiers ni contre une interruption décidée hors du cadre européen.
La Commission européenne justifie ce choix dans l’Impact Assessment. Ce document, juridiquement non contraignant mais politiquement central, sert à expliciter les objectifs du texte, les options envisagées et les arbitrages retenus.
Eviter les risques de blocage
L’exécutif européen opère une distinction entre les risques dits techniques et les risques non techniques. Les premiers relèvent de la cybersécurité au sens strict et peuvent être traités par des mécanismes de certification harmonisés, tandis que les seconds recouvrent des enjeux juridiques et géopolitiques, comme l’influence d’un État tiers sur un fournisseur, l’application de lois extraterritoriales ou les dépendances stratégiques des chaînes d’approvisionnement.
Ces risques non techniques sont explicitement reconnus comme pouvant conduire à des accès arbitraires ou extraterritoriaux aux données, mais la Commission estime qu’ils ne relèvent pas du cadre de la certification de cybersécurité et doivent être traités par d’autres instruments, notamment les politiques de sécurité des chaînes d’approvisionnement. Ce choix est présenté comme destiné à éviter de nouveaux blocages et à préserver l’harmonisation du marché intérieur.
Un discours antagoniste
Cette approche entre en contradiction directe avec le discours européen sur l’autonomie stratégique. En reconnaissant que l’exposition juridique des fournisseurs et l’influence d’États tiers constituent des risques réels, tout en refusant de les intégrer à la certification cloud, la Commission compartimente artificiellement des enjeux pourtant indissociables. La sécurité est traitée comme un problème technique, la souveraineté comme une variable extérieure, au risque de vider de sa portée concrète l’ambition européenne de réduire ses dépendances numériques.
Cette dissociation est d’autant plus problématique qu’elle intervient dans un contexte où la question n’est plus théorique. Les menaces répétées de Donald Trump, jusqu’à ses ambitions sur le Groenland, ont brutalement rappelé que les dépendances technologiques peuvent devenir des leviers de coercitionet que le contrôle votre matériel et vos logiciels conditionne désormais la continuité même de l’économie européenne.
Berlin proche d’AWS
Derrière cette situation se cachent aussi des divergences profondes entre États membres, qui expliquent en partie l’incapacité de l’Union à faire émerger une position commune sur la souveraineté du cloud. Alors que des Etats plaident pour une souveraineté stricte, d’autres comme l’Allemagne ont défendu une approche plus inclusive.
Berlin a ainsi fait le choix de nouer des partenariats structurants avec des acteurs comme Amazon Web Services, en soutenant le développement d’offres de cloud qualifiées de souveraines sur son territoire. Dans ce contexte, l’introduction de critères européens trop stricts aurait mécaniquement fragilisé ces stratégies nationales, rendant politiquement improbable un consensus en faveur d’une certification excluante.
