Confrontation informationnelle au parlement européen sur la souveraineté des données d'Airbus

La souveraineté numérique européenne est devenue un enjeu central pour les gouvernements et les entreprises européennes, particulièrement face à la montée en puissance des géants technologiques américains. C’est dans ce cadre qu’a émergé le certificat EUCS[i] (European Cyber Security Certification Scheme) comme une réponse aux inquiétudes croissantes concernant la sécurité des données dans un contexte où les entreprises américaines de cloud dominent le marché mondial[ii] : Amazon avec 32%, Microsoft avec ses 23% ainsi que Google qui lui détient environ 10%. Le certificat EUCS a été conçu par l’Agence européenne de cybersécurité (ENISA) pour imposer des standards [iii]de sécurité plus rigoureuse aux services cloud opérant en Europe, avec l’objectif de protéger les données sensibles et de renforcer la souveraineté numérique de l’UE. Cependant, ce projet a rapidement engendré une bataille entre les entreprises européennes, qui cherchent à protéger leurs intérêts, et les entreprises américaines, qui craignent de perdre leur accès privilégié au marché européen.

 

Image
image1

La « time line » de la figure1 montre qu’à ce jour, le schéma EUCS est en constance évolution, avec des ajustements. Ces derniers visent à trouver un équilibre entre souveraineté numérique, innovation technologique et intégration des acteurs internationaux pour respecter les règles de l'Organisation Mondiale du Commerce (OMC) [iv]. La mise en œuvre officielle du schéma est toujours en cours de discussion, alors que les débats autour de la localisation des données et des exigences de sécurité se poursuivent.

Le débat sur la souveraineté numérique européenne

Les entreprises européennes ont sonné l’alerte sur la souveraineté numérique et vont l’intensifier en avril 2024, lorsque 18 grandes d’entre elles ont ouvertement exprimé leur opposition au schéma de certification EUCS (European Cyber Security Certification Scheme for Cloud Services). Cette lettre ouverte[v], adressée à l'Union européenne, représente une bataille pour le contrôle de l'accès aux données sensibles des entreprises et des gouvernements européens. 

Cependant, quelques exigences sont perçues par certaines entreprises européennes comme un obstacle aux activités de collaboration internationale, notamment dans le cadre de l'utilisation des services de cloud fournis par les américains Amazon Web Services et Microsoft Azure.

Les entreprises qui ont signé la lettre, parmi lesquelles figurent des poids lourds industriels comme Airbus, ont fait valoir l’importance cruciale de garantir que les données sensibles, notamment celles relatives aux infrastructures critiques et à la défense. 

D’autre part, ces mêmes entreprises craignent que cette certification impose des contraintes trop strictes, limitant ainsi leur flexibilité dans le choix de fournisseurs de services cloud. Elles voient dans cette réglementation une forme de protectionnisme numérique qui pourrait perturber leurs opérations et leur compétitivité sur le marché mondial. Elles soutiennent également que des exigences de localisation des données au sein de l'UE pourraient fragiliser leurs capacités à innover et à bénéficier des technologies avancées offertes par les fournisseurs non européens.

 

Image
image 2


La figure 2 met en lumière les dynamiques complexes qui entourent l'EUCS et la nature du conflit, illustrant les enjeux stratégiques pour les entreprises occidentales, l'Union européenne, et les entreprises américaines dans le domaine de la gestion des données. Les aspects internes et externes, positifs et négatifs de la situation, montrent une situation synthétique globale, la partie négative (interne et externe) permet ensuite de détailler davantage l’analyse de risques associées ce certificat.

Les coulisses du conflit autour de EUCS

Cette confrontation implique de multiples acteurs clés, chacun ayant des intérêts et des objectifs distincts. Cette confrontation entre entreprises européennes, entreprises américaines, lobbies et institutions de l'Union européenne illustre les enjeux complexes de la souveraineté du numérique en Europe.

  • Les entreprises européennes se positionnent en défense exemple, d’Airbus[vi], leaders européens en matière de défense et d'aéronautique, Orange est opérateur majeur dans les télécommunications, et OVHcloud fournisseur de cloud européen Ces entreprises cherchent à limiter la dépendance vis-à-vis des fournisseurs de cloud américains.

  • Entreprises américaines identifiées, Amazon Web Services (AWS) [vii]est actuellement leader mondial du cloud, Google Cloud, comme ses concurrents milite pour des normes de cyber sécurité plus flexibles il en est de même pour Microsoft Azure.

  • Institutions de l'Union Européenne (UE),Commission européenne est responsable de la réglementation, ENISA est chargé de mettre en œuvre et de superviser le certificat EUCS, garantissant des normes élevées de cyber sécurité pour les services cloud.
  • Lobbies et Think Tanks comme, US Chamber of Commerceun des plus influents groupes de pression américain et Think tanks comme le SIIA (Software & Information Industry Association) qui milite contre les exigences trop restrictives du certificat.

La cartographie de ces acteurs laisse un cadre, stratégique pour modéliser les implications dans la nature de la confrontation et comprendre les dynamiques du conflit.

 

Image
image 3

 

D'un côté, l'Union européenne cherche à réduire sa dépendance vis-à-vis des acteurs américains en matière de cyber sécurité et de stockage des données. De l'autre, les entreprises s'inquiètent des coûts et des implications technologiques liées à cette souveraineté renforcée. Le lobbying des firmes américaines, qui soutiennent indirectement ces entreprises européennes, alimente également ce débat en coulisses. La question centrale est donc de savoir comment l'Europe peut naviguer dans ce champ de bataille informationnel pour établir une souveraineté numérique tout en répondant aux pressions géopolitiques et économiques externes.

 

Grille de lecture des enjeux 

Elle permet de scinder les stratégies des acteurs en 4 parties chacune des parties prenantes dans au moins deux grilles (cf figure 3).

 

La pression psychologique est utilisée pour promouvoir des intérêts spécifiques, plus d'une douzaine d'associations industrielles, dont la Chambre de Commerce américaine, ont publié une déclaration[viii] commune mettant en garde l'UE contre l'adoption de règles qui excluraient effectivement les fournisseurs de cloud américains comme Amazon, Google et Microsoft d'une grande partie du marché européen. Les Lobbies mettent également en avant dans le même document le risque de forcer les clients ayant des engagements cloud existants à investir du temps et des ressources considérables pour migrer leurs charges de travail et données vers des cloud européens potentiellement mal équipés pour les supporter. AWS et ses concurrentes américaines mènent une diplomatie active pour tenter de diluer ces efforts mener par parlement de UE comme on peut contacter dans le [ix]rapport de l’IFRI (Institut Français des Internationales).

La SIIA (Software & Information Industry Association) et la Chambre de Commerce américaine, demandent que l'EUCS reste volontaire et que son champ d'application soit limité aux normes techniques, sans inclure de considérations politiques comme la promotion de la souveraineté numérique, une demande ouverte et publier sur le site officiel [x]et dans le rapport publié en décembre 2022 destiné exclusivement à l’UE. Les entreprises occidentales ne sont pas en reste sur l’échiquier de l’influence, la technique utilisée comme la promotion du programme Digital Europe[xi].

Stratégies de riposte des entreprises européennes 

Elles se traduisent par la signature[xii] d’une lettre ouverte adressée à l'Union européenne le 10 avril 2024 pour contester la suppression des dispositions relatives à la souveraineté dans l'EUCS, le choix tactique est l’adoption de transparence pour contrer les narratifs négatifs. Le Parlement de l’UE opte pour la mise en place de normes rigoureuses et de la publication du schéma.

Les attaques identifiées provenant de la mouvance des Géants de Tech américaine se lisent sur l’échiquier publique et juridique. Microsoft et Google ont déjà envisagé la possibilité d'engager des recours juridiques contre l'UE, notamment en invoquant des violations[xiii] des accords commerciaux internationaux ou des règles de concurrence déloyale imposées par l'Organisation mondiale du commerce.

Les entreprises américaines utilisent ces techniques d’attaques, pour préserver l’avantage technologique il, l’accessibilité à Bruxelles, la porosité des gouvernements et parlements des états d’Europe constituent une faille d’accès pour ces grandes firmes et leurs alliées. Les acteurs impliqués, notamment l'Union européenne, les entreprises de l’UE, les entreprises américaines du cloud et les lobbies, utilisent divers moyens pour influencer l'issue de cette certification, en jouant sur la désinformation, l'influence, les stratégies de réponse et les attaques. A ce jeu et au regard des situations actuelles, les géants de la Tech Américains tirent leurs épingles du lot.

 

Les interactions dans le jeu des parties prenantes

L'amélioration des stratégies dans cette confrontation informationnelle peut être envisagée selon une matrice socio-dynamique. Cette approche permet d'identifier et d'optimiser les interactions entre les différents acteurs, leurs motivations et les dynamiques en jeu dans ce conflit numérique.

 

Image
image4

La matrice offre en cinq axes une autre grille permettant d’apaiser les tensions en renforçant la transparence des processus et prendre en compte de manière inclusive les parties prenantes. L’avantage est que cette action réduirait les spéculations sur les intentions de l’UE sur les coûts et les obstacles technologiques, particulièrement ceux évoqués par les entreprises américaines.

Faciliter un dialogue neutre et  les échanges entre instances, USA, UE et OMS pour réduire la polarisation et trouver des compromis sur des normes communes tout en protégeant les intérêts de chaque partie. Ces deux mesures permettront de déplacer les diviser et les hésitants vers la gauche. Ces recommandations permettraient de naviguer dans cette guerre informationnelle en atténuant les tensions et en favorisant un cadre réglementaire équilibré pour la cybersécurité et la certification EUCS, tout en préservant les intérêts européens et globaux.

 

Une confrontation informationnelle qui est loin d’être terminée

 

Le certificat EUCS et la guerre qu’il suscite est loin d'être terminée. Cette guerre illustre parfaitement la manière dont la souveraineté numérique est devenue un enjeu stratégique mondial, où se croisent des intérêts économiques, politiques et sécuritaires. L'Europe, en cherchant à reprendre le contrôle de ses données, a ouvert une bataille qui continuera de façonner l'avenir du cloud computing et de la cyber sécurité.

Les entreprises européennes, bien qu’ayant remporté une bataille avec l’adoption du certificat EUCS, devront continuer à innover pour rester compétitives face aux géants américains. De leur côté, les entreprises américaines poursuivront leurs efforts pour influencer la législation européenne et préserver leur accès à l'un des marchés les plus lucratifs du monde.

Cette confrontation informationnelle entre l’Europe et les États-Unis dans le domaine du cloud est le reflet d’un conflit plus vaste, celui de la course au contrôle de l’infrastructure numérique mondiale, une course qui ne fait que commencer.

 

Indrigs Ngoma 

étudiant de la 45ème promotion Management stratégique et intelligence économique (MSIE)

 

 Références 


[i] European union cyber Security certification : https://certification.enisa.europa.eu/index_en

[ii] Global Market Share of Leading Cloud infrastructure Providers, Q2 2023 disponible sur : https://www.csis.org/analysis/european-cybersecurity-certification-scheme-cloud-services

[iii] CNIL : Coud, les risques d’une certification européenne permettant l’accès des autorités étrangères aux données sensibles.  https://www.cnil.fr/fr/cloud-les-risques-dune-certification-europeenne-permettant-lacces-des-autorites-etrangeres

[v] Archimag le 12/04/2024 : 18 entreprises européennes s’opposent à l’Union européenne autour d’une lettre ouverte, article : https://www.archimag.com/demat-cloud/2024/04/12/eucs-18-entreprises-europeennes-opposent-union-europeenne-autour-lettre

[vi] Assurer l’échange sécurisé de données sensibles : sur https://www.cyber.airbus.com/fr/products/secure-gateways/

[viii] Rapport position de la AmCham EU : chrome-extension://mhnlakgilnojmhinhkckjpncpbhabphi/pages/pdf/web/viewer.html?file=https%3A%2F%2Fwww.amchameu.eu%2Fsystem%2Ffiles%2Fposition_papers%2Famchameu_eucs_pop.pdf