EUCS et CADA : l’Europe abandonne la souveraineté dans son label cloud et la réintroduit dans la commande publique
Introduction : Fixer un label européen équivalent à SecNumCloud n’est pas un long fleuve tranquille. L’EUCS devait porter une certification de sécurité des services cloud jusqu’à un niveau écartant les fournisseurs soumis à un droit extraeuropéen, mais ce critère de souveraineté a été retiré sous la pression de plusieurs États membres et de l’industrie, et l’adoption du schéma reste gelée. Un service pourra donc afficher une certification européenne tout en reposant sur un hyperscaler exposé au Cloud Act.
Extrait : Pour un responsable de la sécurité ou un directeur des systèmes d’information, la première précaution consiste à ne jamais lire une certification EUCS comme une garantie de souveraineté. Le label, même au niveau d’assurance élevé, renseigne sur la robustesse cyber, pas sur l’immunité juridique. Un service certifié peut parfaitement reposer sur un fournisseur soumis au Cloud Act, et c’est à l’acheteur d’établir ce point en posant la question de la structure capitalistique et du droit applicable au contrat.