Paris, le 19 mars 2021


Il est temps de garantir l'immunité des fournisseurs de services de cloud en Europe face aux lois extracommunautaires ayant un impact extraterritorial, pour renforcer notre souveraineté européenne en matière de données !

Dans sa récente communication intitulée "La décennie numérique de l'Europe : objectifs numériques pour 2030", la Commission européenne (CE) a souligné à juste titre qu'"aujourd'hui, les données produites en Europe sont généralement stockées et traitées en dehors de l'Europe et leur valeur est également extraite en dehors de l'Europe. Si les entreprises qui génèrent et exploitent des données doivent conserver le libre choix à cet égard, cela peut entraîner des risques en termes de cybersécurité, de vulnérabilité de l'approvisionnement, de possibilités de basculement de fournisseur ainsi que d'accès illégal aux données par des pays tiers. Les fournisseurs de cloud basés dans l'UE ne détiennent qu'une faible part du marché du cloud, ce qui expose l'UE à de tels risques et limite le potentiel d'investissement de l'industrie numérique européenne sur le marché du traitement des données. À notre connaissance, ce serait la première fois que la Commission européenne souligne aussi explicitement dans une publication officielle les risques potentiels en termes de sécurité et de souveraineté pour les données européennes engendrés par des lois non-européennes ayant des impacts extraterritoriaux.


En tant que fournisseur de services cloud français et donc européen, possédant et exploitant des datacenters exclusivement sur le territoire de l'UE (ce qui signifie que les données de nos clients restent entièrement sous la juridiction d’un pays membre de l'UE), nous accueillons ce constat très positivement.  Pour compléter cette analyse de la CE, nous aimerions partager avec vous :

1) Notre perspective, entre les besoins et les attentes du marché ainsi que les lacunes identifiées au niveau de l'UE sur ce sujet jusqu'à présent ;

2) Des propositions concrètes pour atténuer, à court et moyen terme, les impacts extraterritoriaux préjudiciables des lois non-européennes sur la sécurité et la souveraineté des données produites en Europe.

1) La perspective de Scaleway

D'après notre expérience et les retours de nos clients, la confiance dans la fourniture de services de cloud dépend largement de considérations liées à la souveraineté des données. En attendant, de nombreuses entreprises européennes semblent ignorer le fait qu'elles peuvent être confrontées à des impacts négatifs provenant de leur exposition (par ailleurs pas nécessairement facile à identifier) à des lois extraterritoriales non-européennes. Par conséquent, il se peut qu’elles naviguent en pleine incertitude juridique.

Nous faisons également face à des situations où les clients des fournisseurs de cloud n'ont aucun moyen de mesurer de manière objective, précise et transparente le niveau d'exposition de leurs données aux lois extraterritoriales non-européennes, qu'elles soient stockées et traitées sur le sol européen ou non. Ce manque d'informations transparentes et mesurables est non seulement préjudiciable à la liberté/souveraineté de choix de nos clients (ils sont de ce fait moins facilement en mesure de prendre des décisions stratégiques bien documentées). Cela empêche également les fournisseurs de cloud européens qui proposent des offres souveraines (ce qui peut être le résultat d'investissements conséquents et dédiés) de se différencier de leurs concurrents sur un aspect crucial autour de l’adoption du cloud en Europe, aujourd'hui et dans un futur proche (nous constatons augmentation significative des attentes des clients et des prospects à cet égard, ce qui implique de perspectives de croissance importantes pour l'écosystème européen du cloud).

En accord avec ces observations :

  • Selon nous, il manque encore une étude d'impact faisant autorité à l’échelle de l’UE, détaillant dans quelles conditions les entreprises européennes peuvent être exposées à une juridiction extraterritoriale en fonction des données qu’elles traitent et les conflits juridiques que cela peut entraîner avec les législations de l'UE.
  • Tout en soutenant pleinement le travail des institutions européennes, des États membres et de l'Agence européenne pour la cybersécurité (ENISA) en matière  de la cybersécurité, nous considérons que les approches existantes en la matière, lorsqu'elles sont appliquées aux services cloud, omettent un facteur fondamental : l'évaluation transparente de l'immunité des fournisseurs de services cloud (en ce qui concerne le traitement et le stockage des données) face aux lois non-européennes ayant des impacts extraterritoriaux.

2) Nos propositions concrètes pour améliorer le cadre existant

L'ENISA élabore actuellement un schéma de certification de cybersécurité pour les fournisseurs de services cloud, récemment soumis à une consultation publique : selon nous, l'introduction de dispositions relatives à l'immunité vis-à-vis des lois extraterritoriales en matière de traitement et de stockage des données est absolument nécessaire pour faire de cette approche de certification un véritable succès. Jusqu'à présent, le seul objectif, même à un niveau d'assurance "élevé" de la certification, consiste à fournir des informations transparentes à cet égard.

Concrètement, l'introduction d'une obligation de stockage régional des données, dans un datacenter physiquement situé dans l'UE et dont le propriétaire est une entité ayant elle-même son siège dans l'UE, serait un moyen de générer le niveau de confiance requis dans les services cloud certifiés. En approfondissant les recommandations récentes du Comité européen de la protection des données, nous pensons également que davantage d'obligations légales et d’informations devraient être exigées, sur l'ensemble du spectre des services cloud, depuis la dimension physique/infrastructure jusqu'aux composants logiciels qui constituent le cloud, afin de fournir une transparence totale sur la juridiction applicable en fonction des conditions de stockage, de calcul et de traitement des données. Il s’agit, pour nous, de la seule façon de garantir une certitude raisonnable en ce qui concerne la sécurité et la souveraineté des données vis-à-vis de législations à portée extraterritoriale pour les fournisseurs de services cloud certifiés.

Une telle évolution pourrait véritablement changer la donne en Europe. Par conséquent, nous appelons toutes les institutions et agences concernées à placer cette question au plus haut des priorités politiques, en vue de leurs prochaines discussions dédiées. Nous estimons qu’il y a une véritable opportunité pour utiliser ce schéma européen de certification de cybersécurité, en cours d’élaboration, comme un levier pour servir les ambitions plus larges des institutions de l'UE visant à renforcer notre souveraineté numérique européenne.