CLOUD / cybersecurité / Transfert de données de santé / Transfert de données hors UE

Cybersécurité dans le Cloud : Loi SREN vs EUCS ?

Posted by

La Certification SecNumCloud menacée par la nouvelle version du Schéma Européen de Certification de Cybersécurité des Services Cloud ?

 

Protection des données de santé vs disparition des éléments de souveraineté dans la dernière version de l’EUCS

Par Eléonore Scaramozzino, Avocat, Constellation Avocats

L’autorisation de la Cnil pour la création de l’entrepôt de données EMC2 dont les données du SNDS seront hébergées par Microsoft[i], se trouverait-elle confirmée par la dernière version du schéma européen de certification des services cloud,  EUCS (European Union Cybersecurity Certification Scheme for Cloud Services) ? La version discutée le 15 et 16 avril par le groupe d’experts européen, dans son niveau d’exigences les plus élevé, a supprimé la sécurité juridique visant à protéger contre l’extraterritorialité des législations non européennes pour les données sensibles et stratégiques et leurs traitements associés. Cette suppression des éléments de souveraineté, qui n’a pas fait l’objet d’une communication officielle, intervient dans un contexte de prolongation du programme d’espionnage de la section 702 de la loi sur la surveillance du renseignement étranger (FISA). Comme l’avait jugé la Cour de Justice de l’Union européenne dans ses arrêts Schrems I[ii] et Schrems II[iii], cette section 702 permet à l’administration américaine d’accéder aux données des ressortissants européens sans mandat, hébergées chez les hyperscalers américains (Microsoft, Amazon, Google).

 Afin d’éviter une fragmentation du marché intérieur, l’EUCS a pour vocation de se substituer aux certifications nationales (SecNumCloud pour la France, C5 en Allemagne) au sein de l’UE. En voulant harmoniser la certification de la sécurité des services du Cloud, au nom du marché intérieur, et éviter la multiplication de souveraineté étatique pour le Cloud, qui conduirait à une fragmentation du marché intérieur, l’UE ne semble pas prendre la mesure des réels enjeux pour la souveraineté numérique européenne, pour la sécurité de ses data et le marché du cloud

 Si la section 702 de la FISA reste pour les américains un outil efficace en matière de sécurité nationale, la souveraineté numérique doit rester pour l’Union Européenne, un instrument de protection pour ses données sensibles et stratégiques.

La discussion sur EUCS intervient en parallèle à l’adoption par le Parlement de la loi sur la Sécurité et la Régulation de l’Espace Numérique (SRNE). Les articles 31 et 32 (ex articles 10 Bis A et 10 Bis B) de cette loi introduisent la certification SecNumCloud. Après la décision du conseil constitutionnel, la loi sera notifiée à la Commission européenne qui devra se prononcer sur sa conformité avec la certification EUCS. La Commission avait déjà émis, au cours du débat parlementaire, des critiques sur sa compatibilité avec le droit européen, et tout particulièrement le Digital Service Act (DSA) [iv].

  1. La loi SREN introduit des mesures protégeant les acteurs européens du Cloud

Le Parlement a adopté la loi SREN, qui anticipe certaines règles du règlement européen sur les données (Data Act)[v], entré en vigueur en janvier 2024 et applicable à partir de septembre 2025. Cette loi vise à  renforcer la protection en ligne des citoyens et adapter le droit national aux récentes évolutions de la régulation européenne du domaine numérique, le DSA (Data Service Act[vi]) et le DMA (Digital Market Act ou règlement sur les marchés numériques[vii]). Sur le marché du cloud, elle ambitionne de restaurer l’équité commerciale et assurer l’interopérabilité des services sur ce marché. En effet, cette loi intègre notamment des dispositions concernant les fournisseurs de cloud et les entreprises de services cloud afin de limiter les pratiques anticoncurrentielles dans le secteur du cloud. Au cours du débat parlementaire, la loi SREN a été renforcée sur la sécurité de l’hébergement des données sensibles, dont les données de santé. Cependant, cette protection contre  toute application extraterritoriale des lois extra-européennes, permettant l’accès des puissances étrangères, telles que les Etats-Unis avec la loi FISA, et la Chine, est menacée par les discussions sur le projet de certification EUCS, pour European Union Cybersecurity Scheme for Cloud Services, élaboré par l’ENISA, l’agence européenne pour la cybersécurité. La loi SNREM a fait l’objet d’une saisine du Conseil Constitutionnel.

Mesures pour la protection des acteurs européens du Cloud

Le titre 3 de la SREN, “installe des mesures importantes pour la protection des acteurs européens du Cloud, en s’attaquant à plusieurs pratiques déloyales des grands acteurs américains du Cloud. Ces mesures permettent de réduire la dépendance des organisations aux hyperscalers (Amazon, Micorsoft, Google). L’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) est chargée de l’application de ces mesures.

La Loi SREN prévoit en effet de :

Mesures de sécurité complémentaires pour les données de santé

Le texte a été amendé par le Sénat et l’Assemblée nationale sur la question de l’hébergement des données sensibles. L’activité des Sénateurs et des députés a permis d’adopter, au chapitre III relatif à la protection des données stratégiques et sensibles sur le marché de l’informatique en nuage », deux articles additionnels (article 10 bis A et article 10 bis B, devenu dans le texte final les articles 31 et 32) visant à renforcer les exigences de sécurité relatives à l’hébergement des données de santé.

 Certification SecNumCloud pour l’hébergement des données sensibles par les administrations de l’Etat et leurs opérateurs

Apport de la CMP

Alors que le périmètre initial de cette disposition se limitait aux administrations de l’Etat et à leurs opérateurs, figurant dans la liste annexée au projet de loi de finances. Le texte de compromis élaboré lors de la Commission mixte paritaire étend désormais ce périmètre aux groupements d’intérêt public (GIP), qui exercent une mission d’intérêt général et dont beaucoup manipulent des données sensibles. Le contenu de cette liste sera établi par un décret en Conseil d’Etat.

Dérogation temporaire

Le texte issu de la Commission Mixte Paritaire limite la capacité de dérogation temporaire. En effet, il est prévu que cette dérogation devra toutefois être rendue publique. Elle devra faire l’objet d’un avis motivé du Parlement et ne pourra excéder un délai de 18 mois[i] après qu’une offre « considérée comme acceptable » a été rendue disponible en France. Les modalités pour les projets déjà engagés seront définies dans un décret en Conseil d’Etat. Ainsi, le HDH, en qualité de GIP, devra sélectionner un acteur certifié SecNumCloud, et non pas seulement HDS, cependant, comme le GIP plateforme de données de santé s’est déjà engagé avec Microsoft, il peut solliciter une dérogation temporaire.

Le décret en Conseil d’Etat précisera notamment :

  • les critères de sécurité et de protection, y compris en termes de détention du capital, des données (d’une sensibilité particulière).
  • les conditions dans lesquelles une dérogation motivée et rendue publique peut être accordée sous la responsabilité du ministre dont relève le projet déjà engagé et après validation par le Premier ministre, et fixe éventuellement les critères selon lesquels une telle offre peut être considérée comme acceptable.

Protection supplémentaire pour l’archivage des données de santé 

Cet article apporte des modifications à l’article L.1111-8 du Code de la Santé Publique ( CSP) qui impose le recours à un hébergeur certifié ou agréé en cas d’externalisation de l’hébergement de données de santé recueillies à l’occasion d’activité de prévention, de diagnostic, de soin ou de suivi social et médico-social, dans des conditions propres à garantir leur confidentialité et leur sécurité.

Lors des discussions du projet de loi à l’Assemblée nationale, il était proposé d’imposer aux fournisseurs de services de cloud d’être certifiés SecNumCloud, à compter du 1er juillet 2024, pour l’hébergement des données de santé. Le texte finalement adopté à l’issue de la Commission Mixte Paritaire (CMP) inscrit dans la loi les évolutions prochaines du référentiel « hébergeur de données personnelles de santé » ( « HDS ») introduites par le ministère de la santé et de la prévention.

Le référentiel doit préciser « les obligations de l’hébergeur en matière de stockage de ces données sur le territoire » d’un État membre de l’Union européenne ou de l’espace économique européen ainsi que, dans le contrat entre le prestataire et le client, « les mesures prises face aux risques de transfert ou d’accès non autorisé de ces données par des États tiers » à l’Union européenne ou l’EEE.

Extension du référentiel HDS aux Services d’Archivage numérique

Le référentiel HDS est applicable aux services d’archivage numérique des données de santé à l’issue de leur durée de conservation, au sens du Règlement de protection des données personnelles. Jusqu’à présent, l’archivage est soumis à une procédure d’agrément spécifique par le ministère de la culture.

Le texte prévoit enfin que ces dispositions deviendront applicables au plus tard le 1er juillet 2025, la date doit être précisée par un décret.

II-Certification SecNumCloud vs Certification EUCS

Cadre européen de certification de cybersécurité

Le règlement (UE) 2019/881 du Parlement européen et du conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) no 526/2013 (règlement sur la cybersécurité) donne mandat à l’ENISA pour contribuer à réduire la fragmentation du marché intérieur et parvenir à un niveau commun élevé de cybersécurité dans l’ensemble de l’Union, y compris en aidant activement les États membres et les institutions, organes et organismes de l’Union à améliorer la cybersécurité.

Le cadre européen de certification de cybersécurité (Titre III, Cadre de certification de cybersécurité) est établi

« afin d’améliorer les conditions de fonctionnement du marché intérieur en renforçant le niveau de cybersécurité au sein de l’Union et en permettant de disposer, au niveau de l’Union, d’une approche harmonisée en ce qui concerne les schémas européens de certification de cybersécurité, en vue de créer un marché unique numérique pour les produits TIC, services TIC et processus TIC .

 2. Le cadre européen de certification de cybersécurité prévoit un mécanisme visant à établir des schémas européens de certification de cybersécurité et à attester que les produits TIC, services TIC et processus TIC qui ont été évalués conformément à ces schémas satisfont à des exigences de sécurité définies, dans le but de protéger la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou traitées ou des fonctions ou services qui sont offerts par ces produits, services et processus ou accessibles par leur intermédiaire tout au long de leur cycle de vie. » (art 46)

Lire la suite

Constellation-Avocats-EScaramozzino-loiSRENvsEUCS-1Télécharger

.

Laisser un commentaire