La Cnil alerte sur les risques que fait courir le projet d’EUCS

Dans un communiqué daté du 19 juillet 2024, la Cnil s’inquiète du projet de certification européenne pour les services de cloud (EUCS), soulignant que, dans son état actuel, il ne “permet plus aux fournisseurs de démontrer qu’ils protègent les données stockées contre tout accès par une puissance étrangère”. Le gendarme français de la protection des données personnelles appelle donc à l’inclusion, à titre optionnel, de critères d’immunité aux lois extra-européennes, qui peuvent s’inspirer de ceux de la qualification SecNumCloud déjà en place en France, pour protéger les données personnelles les plus sensibles.

À noter : Il est extrêmement rare que la Cnil prenne position sur un débat public en cours, ce qui témoigne de l’importance des discussions actuelles autour de la cybersécurité des cloud. Le nouveau référentiel HDS (Hébergeurs de données de santé) ne prévoit pas à date un alignement sur les exigences SecNumCloud en termes d’immunité extraterritoriale, ce que regrette le CEO de Numspot. L’ANS a signalé dans un communiqué du 8 décembre dernier que “ce point sera notamment revu à l’issue des discussions sur l’EUCS) et au plus tard en 2027”.

Romain Bonfillon