Aller au contenu principal
Drapeau de l'Union européenne
françaisfrançais
Forum de l’initiative citoyenne européenne

Certification de l’UE en matière de contrôle souverain pour les infrastructures numériques critiques

Auteur: Nikitas Bastas |
Mis à jour le: 08 June 2026 |
Nombre de vues: 623

Objectifs de l'initiative

Nous appelons la Commission européenne à proposer ou à soutenir une législation dans le cadre de la certification de cybersécurité de l’UE, y compris le règlement (UE) 2019/881 ou tout acte qui lui succédera, afin de créer un élément facultatif, fondé sur les risques et échelonné de certification du contrôle souverain de l’UE pour les services d’infrastructures numériques critiques.


La composante devrait être distincte et complémentaire de la certification de cybersécurité en nuage uniquement, de la certification de cyberposture de l’entité, des restrictions applicables aux fournisseurs à haut risque et des outils généraux de gestion des risques liés à la chaîne d’approvisionnement. Il devrait fournir un signal volontaire et vérifiable au niveau des services sur la résilience du contrôle souverain.


Il devrait évaluer la propriété effective et le contrôle matériel; la compétence et le contrôle opérationnel de l’UE sur les fonctions critiques; les risques juridiques ou de contrôle des entreprises dans les pays tiers; les dépendances critiques matérielles; des garanties contre l’accès ou l’ingérence illicites de pays tiers; des audits indépendants, des niveaux d’assurance et une réévaluation après des changements importants.


Le statut certifié devrait pouvoir être utilisé comme critère objectif de passation de marchés ou de transparence lorsque la cybersécurité, la résilience, la protection des données, la continuité du service ou le choix licite des utilisateurs le justifient.


Dispositions des traités que vous jugez pertinentes pour l’action proposée

articles 114 et 16 du traité FUE; le cas échéant, l’article 53, paragraphe 1, l’article 62 et l’article 173 du TFUE, pour l’harmonisation du marché intérieur, la protection des données, la certification de cybersécurité, le commerce des services, la résilience et la compétitivité industrielle de l’UE.

Annexe sur le sujet, les objectifs et le contexte de l'initiative

Objet


La présente initiative concerne un élément facultatif, fondé sur les risques et échelonné de certification du contrôle souverain de l’UE pour les services d’infrastructures numériques critiques, dans le cadre de certification de cybersécurité de l’UE au titre du règlement (UE) 2019/881 ou de tout acte qui lui succédera.
 

Il ne demande pas l'interdiction des fournisseurs étrangers, l'utilisation obligatoire uniquement dans l'UE, la censure, la modification des traités ou l'isolement numérique. Il demande la mise en place d’un mécanisme de l’Union légal, volontaire et contrôlable afin que les citoyens, les entreprises, les pouvoirs publics et les institutions de l’Union puissent recenser les services offrant une plus grande résilience face au contrôle exercé par des pays tiers, aux pressions juridiques étrangères, aux dépendances critiques opaques et à l’accès illégal des pays tiers.
 

Cette initiative s’appuie sur le débat sur la certification en nuage de l’EUCS, mais est distincte de celui-ci. L’EUCS concerne la certification de cybersécurité en nuage. Cette initiative demande une base législative plus large pour un profil de contrôle souverain au niveau des services couvrant les infrastructures numériques critiques, y compris l’informatique en nuage, l’hébergement, le DNS, le CDN, l’autorité de certification, l’identité et l’authentification, la cybersécurité gérée et d’autres services TIC critiques.
 

Besoins et lacunes juridiques


Le droit de l’Union traite déjà d’importantes parties du problème. Le RGPD protège les données personnelles. La SRI 2 renforce les obligations en matière de cybersécurité pour les entités essentielles et importantes. La loi sur les données traite de l’accès illégal de gouvernements de pays tiers à des données à caractère non personnel détenues dans l’Union par des prestataires de services de traitement de données. Le règlement sur la cybersécurité crée un cadre de l’UE pour la certification de cybersécurité.
 

Toutefois, les outils existants et proposés ne fournissent pas nécessairement un signal de certification clair, volontaire, public et de service au niveau de l’UE pour la résilience du contrôle souverain. La certification technique de cybersécurité, la certification de cyberposture de l’entité, les outils de gestion des risques liés à la chaîne d’approvisionnement, les restrictions à l’égard des fournisseurs à haut risque et les systèmes exclusivement en nuage ne donnent pas, à eux seuls, aux utilisateurs et aux acheteurs ordinaires un moyen comparable d’évaluer qui contrôle un service critique, quelle loi peut atteindre ses fonctions critiques et quelles dépendances peuvent affecter la continuité, la confidentialité, l’intégrité ou l’accès légal.
 

Un service peut être techniquement sûr et conforme sur le plan juridique tout en continuant à dépendre d’avions de contrôle de pays tiers, de l’influence de la société mère, d’obligations légales de pays tiers, de l’administration à distance, de l’enregistrement, de la télémétrie, du DNS, du CDN, des services d’autorité de certification, des systèmes d’identité, des services en nuage, des chaînes d’approvisionnement logicielles ou des sous-traitants que les utilisateurs ne peuvent pas inspecter de manière réaliste.
 

Objectifs

La Commission devrait proposer ou soutenir une législation visant à:
 

1. Créer un volet facultatif, fondé sur les risques et échelonné de certification du contrôle souverain de l’UE pour les services d’infrastructures numériques critiques.
 

2. Exiger une évaluation de la propriété effective et du contrôle matériel, y compris la propriété effective, le contrôle de la société mère, les droits de vote, l’influence du conseil d’administration, le contrôle contractuel et toute autre influence matérielle sur les décisions ou opérations critiques en matière de sécurité.
 

3. Exiger une évaluation de la compétence et du contrôle opérationnel de l’UE sur les fonctions critiques, y compris le traitement des données, la gestion des clés, l’enregistrement, l’authentification, la réponse aux incidents, l’administration de l’infrastructure, les mécanismes de mise à jour et l’administration à distance.
 

4. Exiger une évaluation des obligations juridiques des pays tiers ou des dispositifs de contrôle d’entreprise susceptibles d’imposer l’accès, le secret, la divulgation, l’ingérence opérationnelle ou le transfert de contrôle sur les données à caractère personnel, les métadonnées, les données opérationnelles à caractère non personnel, les journaux de sécurité, les systèmes administratifs ou d’autres fonctions critiques.
 

5. Exiger la divulgation des dépendances critiques importantes, le cas échéant pour le service certifié, y compris les dépendances en matière d’hébergement, d’informatique en nuage, de logiciels, de micrologiciels, de DNS, de CDN, d’autorité de certification, d’identité, de télémétrie, de sous-traitants et d’administration à distance susceptibles d’affecter la confidentialité, l’intégrité, la disponibilité, le contrôle administratif, l’accès légal ou la continuité.
 

6. Exiger des garanties techniques, organisationnelles et juridiques contre l’accès ou l’ingérence illicites de pays tiers, y compris le traitement documenté des demandes d’accès, la contestation judiciaire si possible, les contrôles à accès privilégié, les journaux d’audit, la séparation des tâches, les rapports de transparence et la gestion des clés contrôlée par l’UE, le cas échéant.
 

7. Exiger des audits périodiques indépendants, des résumés d'audits publics, des niveaux d'assurance mesurables, une réévaluation après des changements importants et la protection des secrets commerciaux, des détails de sécurité sensibles et des informations classifiées.
 

8. Autoriser l’utilisation du statut certifié comme critère objectif de passation de marchés et de transparence du marché lorsque la cybersécurité, la résilience, la protection des données, la continuité des services essentiels, les besoins du secteur public ou le choix licite des utilisateurs le justifient.
 

Pertinence et conformité
 

L’initiative n’est pas une liste noire ni une règle rigide de localisation des données. Il s'agit d'un mécanisme de transparence et d'assurance. Elle devrait compléter l’EUCS, la NIS2, le règlement sur les données, les mesures relatives à la chaîne d’approvisionnement en cybersécurité et la future politique en matière d’informatique en nuage sans les remplacer.
 

Il soutient le marché intérieur, la protection des données, la cybersécurité, la résilience et la souveraineté technologique de l’UE tout en restant volontaire, proportionné, fondé sur les risques et compatible avec des marchés ouverts. Elle respecte les compétences des États membres, y compris la sécurité nationale, ainsi que la liberté des citoyens et des entités de maintenir des liens numériques avec des pays tiers.

Catégories
1
Vote

Laisser un commentaire

Pour pouvoir ajouter des commentaires, vous devez vous authentifier ou vous enregistrer.

Commentaires

Utilisateur du forum de l’ICE  | 21 May 2026

Bonjour Nikitas,

Je ne suis certainement pas expérimenté dans ce sujet ou même dans les ICE dans leur ensemble, mais j'ai quelques idées si vous pensez qu'elles vous aideront.

1. Bien qu'il s'agisse d'un excellent sujet, il s'agit plutôt d'une terminologie lourde. Il serait difficile de ne pas rendre la terminologie lourde parce que c'est vraiment le sujet ici. Donc, je ne sais pas comment aider. La CE serait d'accord avec cela, mais obtenir 1 million de signatures pourrait être trop difficile si les gens ne comprennent pas le sujet.

2. Je pense qu'il y avait une proposition similaire avec le système européen de certification de cybersécurité pour les services en nuage (EUCS). Je ne sais pas s'il est réussi ou s'il s'agit d'une proposition active, mais il serait bon d'en faire mention, de sorte que la Commission ne réponde pas qu'au moins certains de vos objectifs sont déjà couverts par l'EUCS. Donc, fondamentalement, vous ne serez pas fermé. Mais je ne suis pas un gars de la technologie, donc peut-être que les propositions sont assez différentes et je ne l'ai pas réalisé en un coup d'œil.

Néanmoins, pensez qu'il s'agit d'une bonne initiative qui peut fonctionner, mais peut-être que quelques petits ajustements et une aide extérieure supplémentaire pourraient être nécessaires.

Meilleurs voeux et bonne chance

Nikitas Bastas | 22 May 2026

Oui, vous avez raison! Il se chevauche à peu près non seulement avec la proposition EUCS, mais aussi avec les lois et règlements existants, les débats en cours, les plans futurs de l'UE vers l'autonomie numérique, etc. 

En particulier dans certaines circonstances géopolitiques, il a finalement été réalisé que l'autonomie de l'UE, non seulement sur la partie numérique, mais dans un sens plus large, n'est plus un «bon à avoir», mais une nécessité absolue.

Une raison qui pourrait rendre cette proposition distinguable et précieuse en tant que contribution/idée modeste est qu’elle demande «un profil de certification volontaire, fondé sur les risques et contrôlé de manière indépendante et couvrant l’ensemble des services d’infrastructure numérique critiques», mais pas limité aux services en nuage (EUCS).

Une deuxième raison pourrait être que cette proposition est demandée par les citoyens européens - pas les instruments de l'UE, les décideurs politiques, les individus micropolitiquement biaisés. De ce point de vue, il peut envoyer un message clair à la Commission européenne, de l'inquiétude, du scepticisme, que de nombreux citoyens de l'UE ont déjà à l'égard de la forte dépendance numérique et de l'exposition aux données sur les biens numériques non européens.

banner
Vous êtes prêt(e) à enregistrer votre initiative?

Vous voulez soutenir une initiative? Vous voulez en savoir plus sur les initiatives actuelles ou passées?

Rendez-vous sur le site web de l’initiative citoyenne européenne