Une étude parrainée par un lobby américain de la technologie critique le projet de l'UE d'exclure les fournisseurs de services cloud non européens

Et met en garde contre des mesures de rétorsion

Un rapport sponsorisé par un lobby défendant les intérêts des entreprises technologiques américaines rejette la proposition de réglementation européenne sur le "cloud". Le groupe de pression affirme que la proposition de l'UE d'introduire un label de sécurité pour l'informatique dématérialisée est nuisible et discriminatoire, et pourrait conduire à des mesures de rétorsion. Le rapport reflète les préoccupations privées croissantes que suscite le projet de label auprès des géants américains de la technologie. Les critiques américains affirment que le projet pourrait exclure des acteurs du cloud comme Amazon (AWS) et Google (GCP) et Microsoft (Azure).

Le système européen de certification de la cybersécurité pour les services cloud (European Cybersecurity Certification Scheme for Cloud Services - EUCS) vise à mettre en place un cadre de certification des services informatiques à l'échelle européenne. Le système EUCS est un système de certification créé dans le cadre de la loi sur la cybersécurité (Cybersecurity Act - CSA) de l'UE. Selon les régulateurs de l'UE, la CSA vise à améliorer la cybersécurité dans un large éventail de produits, services et processus numériques. Elle établit également une approche unifiée de la certification en matière de cybersécurité dans le marché intérieur européen.

L'EUCS a été conçu à l'origine comme un système de certification volontaire en matière de cybersécurité que les entreprises pouvaient utiliser pour démontrer leur fiabilité et l'efficacité de leurs défenses en matière de cybersécurité. Toutefois, à la demande de la Commission européenne et d'une poignée d'États membres de l'UE, l'Agence européenne pour la cybersécurité (ENISA) a été chargée d'ajouter des exigences de souveraineté au système de certification proposé. Selon les analystes, ces exigences obligeraient les fournisseurs de services cloud (CSP) à héberger les services destinés aux clients de l'UE sur une infrastructure située dans l'UE.


Ils seraient également tenus de démontrer leur "immunité" face aux autorités étrangères chargées de l'application des lois qui demandent l'accès aux données. Jusqu'à présent, les géants américains de la technologie n'ont formulé aucun commentaire public sur le projet de l'UE. Mais le rapport du Centre européen d'économie politique internationale (ECIPE), commandé par la Computer and Communications Industry Association (CCIA), laisse entrevoir la façon dont les Américains perçoivent l'initiative de l'UE. Ils affirment que la volonté politique du projet consiste à exclure les entreprises américaines et autres entreprises internationales du marché de l'UE.

Le rapport, intitulé "Building Resilience ? The Cybersecurity, Economic & Trade Impacts of Cloud Immunity Requirements", demandes à l'Agence européenne pour pour la cybersécurité et à la Commission européenne d'abandonner les exigences d'immunité de l'EUCS, en avertissant qu'elles pourraient "ouvrir une boîte de Pandore" en permettant à la Commission européenne et aux États membres d'exclure les entreprises étrangères des marchés nationaux des services cloud. Le rapport de l'ECIPE présente plusieurs raisons pour lesquelles ENISA et la Commission européenne devraient abonner le projet, ainsi que de nombreuses affirmations sur le sujet.

Par exemple, les auteurs affirment que la législation européenne proposée pourrait accroître l'exposition des adoptants du cloud aux risques de cybersécurité ; que "les fournisseurs de l'UE ne sont pas en mesure de gérer une transition à grande échelle vers le cloud" ; et que "les nouvelles règles retarderaient les gains d'efficacité et de sécurité importants que les fournisseurs étrangers actuels pourraient offrir". Il est important de rappeler que le rapport a été parrainé par la CCIA, une organisation internationale de défense à but non lucratif basée à Washington DC pour représenter les intérêts des industries de l'informatique et des communications.

Et l'ECIPE précise qu'il est un organisme indépendant et à but non lucratif, et que les opinions exprimées sont "purement celles de l'auteur", mais les lecteurs seraient surpris de voir combien de rapports indépendants de ce type s'alignent souvent sur les opinions de l'organisation qui les a commandés. Par exemple, le rapport affirme que "les exigences en matière d'immunité de l'EUCS sont discriminatoires à dessein et pourraient provoquer des mesures de rétorsion contre l'Union de la part de ses partenaires commerciaux (c'est-à-dire les États-Unis)". Ces mesures pourraient consister à défavoriser les entreprises européennes sur le marché américain.

Selon le rapport, elles pourraient prendre la forme de droits de douane de 25 % sur des exportations de biens de l'UE d'une valeur de 12 milliards de dollars, en partant du principe qu'une disposition d'immunité interdirait effectivement les services des trois plus grands fournisseurs américains de services cloud, pour une valeur de 2,9 milliards de dollars. Par ailleurs, les restrictions équivalentes pourraient être appliquées aux exportations de services de l'UE vers les États-Unis. L'ENISA attend l'avis des pays de l'UE. Elle finalisera ensuite le projet de loi en tenant le plus grand compte de cet avis et soumettra la version définitive à la Commission européenne.

Rappelons que les propositions de l'UE ont déjà rencontré l'opposition des États-Unis, avec un certain nombre d'associations industrielles qui ont publié une déclaration en décembre affirmant que ces règles empêcheraient les grands fournisseurs américains de services cloud tels qu'Amazon, Google et Microsoft de faire des affaires en Europe. Le rapport de l'ECIPE affirme que les fournisseurs européens ne sont actuellement pas en mesure de gérer l'objectif de l'UE d'un taux d'adoption de 75 % des services de cloud fournis par des entreprises européennes, et ce parce que les géants américains desservent actuellement plus de 75 % du marché européen.

L'année dernière, les chiffres de Synergy Research Group ont révélé que les trois grands fournisseurs américains de cloud représentaient à eux seuls 72 % du marché européen du cloud. Mais les entreprises européennes se sont elles-mêmes plaintes des pratiques anticoncurrentielles des grands fournisseurs américains de services cloud, en particulier Microsoft, qui a fait des concessions l'année dernière pour tenter d'apaiser les régulateurs. En novembre, un groupe industriel européen a affirmé que Microsoft porte un "préjudice irréparable" à l'écosystème du cloud de l'UE. Le groupe accuse la firme de Redmond de pratiques anticoncurrentielles.

Le groupe de défense Cloud Infrastructure Service Providers in Europe (CISPE), qui défend les intérêts de 24 fournisseurs d'infrastructures cloud en Europe, a déposé une plainte à la direction générale de la concurrence de la Commission européenne. Cette plainte fait suite à une plainte distincte déposée par deux de ses membres, OVHcloud et l'entreprise d'hébergement italienne Aruba, alléguant également que le comportement de Microsoft est anticoncurrentiel. Le CISPE demande une enquête sur les pratiques de Microsoft. Mais un porte-parole de Microsoft a défendu les changements de licence comme élargissant les options pour les clients.

« Les récentes annonces, blogues et documents FAQ publiés par Microsoft dans le but d'éviter les enquêtes de marché n'ont pas fourni les détails, la clarté ou l'assurance qu'il a réellement l'intention de mettre rapidement fin à ses pratiques de licence anticoncurrentielles. Au contraire,...