AWS, Azure, GCP et d'autres fournisseurs de services cloud pourraient bientôt exiger un label de cybersécurité européen pour gérer les données sensibles.
Les fournisseurs de services cloud (CSP) tels que Google, Amazon et Microsoft pourraient être confrontés à de nouveaux défis réglementaires dans l'Union européenne (UE) en tant que région. travaillerait sur un projet de règle qui obligerait les CSP non européens à s'associer à des entreprises européennes s'ils souhaitent traiter des données sensibles sur le marché. nuage. Un label de cybersécurité de l'UE sera délivré aux CSP s'ils envisagent de traiter des données sensibles, et il sera subordonné à l'exigence que une coentreprise est formée entre un fournisseur de cloud non européen et une entreprise européenne, cette dernière détenant une participation majoritaire dans cette entreprise Partenariat.
Le projet de document, vu par Reuters, a également d'autres restrictions notables. Le personnel ayant accès à des données sensibles doit résider dans l'UE et doit passer un processus de sélection afin d'être éligible à ce rôle. De plus, les services cloud hébergeant ces données devraient être exploités et entretenus depuis l’UE, et tout traitement de données devrait également avoir lieu à l’intérieur de cette frontière géographique. De plus, des sanctions plus strictes s’appliqueront à un CSP si une violation de données entraîne des impacts négatifs sur la sécurité publique, la santé humaine ou la propriété intellectuelle. Un autre extrait du document dit également :
« Les services cloud certifiés sont exploités uniquement par des sociétés basées dans l'UE, sans qu'aucune entité extérieure à l'UE n'ait un contrôle effectif. via le CSP (fournisseur de services cloud), pour atténuer le risque d’interférences de puissances non européennes portant atteinte aux réglementations, normes et valeurs de l’UE.
Les entreprises dont le siège social ou le siège social n'est pas établi dans un État membre de l'UE ne peuvent, directement ou détenir indirectement, uniquement ou conjointement, un contrôle effectif positif ou négatif sur le CSP candidat à la certification d'un cloud service.'
Si le projet de règle devient loi, il aura des implications majeures tant pour les CSP non européens que pour leurs clients européens. Afin de respecter la loi, les deux parties devront veiller à ce que le label de cybersécurité de l'UE soit présent sur les services cloud utilisés. Cette exigence pourrait même avoir un impact sur les entreprises qui utilisent déjà des plateformes telles que Microsoft Azure, Amazon Web Services (AWS) et Google Cloud. Platform (GCP) pour leurs processus impliquant des données sensibles, car ils devront disposer du label de cybersécurité afin de continuer.
Le calendrier de déploiement de ces nouvelles règles est actuellement inconnu, ce qui est logique étant donné qu'il est actuellement au stade de projet. Les pays du bloc européen devraient examiner ce document plus tard ce mois-ci.