Glossaire · Cybersécurité UE

EUCS (European Cybersecurity Certification Scheme for Cloud Services)

Dispositif de certification de cybersécurité pan-UE proposé pour les services cloud, destiné à harmoniser les approches nationales et à définir des niveaux d'assurance communs. Politiquement disputé sur les exigences de souveraineté ; toujours en développement en 2026.

## Ce qu'est réellement l'EUCS L'EUCS — European Cybersecurity Certification Scheme for Cloud Services — est un cadre de certification pan-UE proposé, élaboré au titre de l'**EU Cybersecurity Act (2019)**. Il vise à fournir un moyen unique et harmonisé pour les fournisseurs cloud de démontrer leur assurance en cybersécurité dans toute l'UE, en remplaçant la mosaïque actuelle de dispositifs nationaux ([Cloud de Confiance](/fr/glossary/cloud-de-confiance/), [BSI C5](/fr/glossary/bsi-c5/), ACN italien, ENS espagnol, etc.). L'EUCS est développé par l'**ENISA** (Agence de l'Union européenne pour la cybersécurité) en coordination avec les États membres. Début 2026, le dispositif **n'est pas encore finalisé** — il est politiquement disputé depuis 2022 environ, principalement sur le degré d'exigence en matière de souveraineté pour son plus haut niveau d'assurance. ## Structure proposée L'EUCS définit **trois niveaux d'assurance** : ### Basic Auto-évaluation ou vérification par un organisme d'évaluation de la conformité. Convient aux services cloud à faible risque. Le fournisseur déclare la conformité aux critères EUCS Basic. ### Substantial Audit tiers selon des contrôles plus stricts. Équivalent grossièrement à une base ISO 27001 + 27017. Convient aux charges de travail commerciales générales. ### High Le plus strict. Audit tiers avec surveillance continue. À peu près le niveau requis pour les charges régulées, les données sensibles du secteur public et les opérateurs de services essentiels au titre de [NIS2](/fr/glossary/nis2/). La bataille politique a surtout porté sur ce que « High » devait imposer en matière de souveraineté. ## La controverse sur la souveraineté Le projet original (2022) de l'EUCS High incluait des **exigences de souveraineté** globalement similaires à SecNumCloud / Cloud de Confiance en France : le fournisseur devait être structurellement immunisé contre tout droit hors UE (notamment le CLOUD Act américain et les obligations chinoises de sécurité nationale). La **France, l'Espagne, l'Italie et l'Allemagne** ont initialement soutenu des critères de souveraineté forts au niveau High. L'**Irlande, les Pays-Bas, la Suède, la Pologne et les pays nordiques** s'y sont opposés au motif que : 1. Les critères de souveraineté sont protectionnistes (excluent délibérément les hyperscalers américains) 2. La certification de cybersécurité doit porter sur la *sécurité*, non sur la juridiction juridique 3. Exclure les hyperscalers réduit le choix de l'acheteur Plusieurs projets révisés ont circulé. Certains ont supprimé totalement la souveraineté de High ; d'autres l'ont déplacée vers une couche optionnelle distincte ; d'autres ont conservé des versions allégées. En 2026, le dispositif n'a pas été adopté et la question de la souveraineté demeure le principal blocage. ## Pourquoi l'EUCS compte ### 1. Marché unique européen pour la certification cloud Une fois finalisé, l'EUCS remplacerait les dispositifs nationaux par une qualification unique à l'échelle européenne — réduction substantielle des charges de conformité pour les fournisseurs cloud. ### 2. Base de cybersécurité par défaut au titre de NIS2 Les entités essentielles et importantes de NIS2 considéreront de plus en plus l'EUCS comme le moyen canonique de démontrer la sécurité d'un fournisseur cloud. Jusqu'à la finalisation de l'EUCS, elles s'appuient sur les dispositifs nationaux. ### 3. Le débat sur la souveraineté est en lui-même l'histoire Le combat pluriannuel révèle la politique cloud de l'UE. Les défenseurs de la souveraineté veulent des outils réglementaires pour rendre l'exposition aux hyperscalers visible et choisie. Les États favorables aux hyperscalers veulent des marchés concurrentiels sans protectionnisme juridique. Le résultat final façonnera le paysage cloud de l'UE pour une décennie. ### 4. Effet d'entraînement sur d'autres réglementations La réflexion EUCS influence le [Cyber Resilience Act](/fr/glossary/cyber-resilience-act/), les dispositions de sécurité de l'AI Act et les exigences de sécurité du Data Act. ## État actuel (en 2026) - **Plusieurs projets ont circulé** depuis 2022 - **Aucune adoption finale** - **Les dispositifs nationaux restent** la réalité opérationnelle - **Le Cloud de Confiance et le BSI C5 conservent leur primauté** sur leurs marchés respectifs - **Négociation politique en cours** au niveau de l'UE Le dispositif n'est pas officiellement abandonné, mais les progrès sont lents. ## Ce que la finalisation de l'EUCS signifierait en pratique ### Si High inclut une souveraineté forte - Les hyperscalers devront opérer via des coentreprises sous contrôle européen (schéma S3NS / Bleu) pour atteindre High - Les enveloppes de souveraineté à la française deviennent l'attente à l'échelle de l'UE pour les charges régulées - De véritables fournisseurs cloud européens (OVHcloud, Hetzner, Scaleway, Open Telekom Cloud) gagnent un avantage concurrentiel dans les appels d'offres classés High ### Si High abandonne la souveraineté - Les hyperscalers (AWS, Azure, Google) peuvent se qualifier directement pour High - Les dispositifs nationaux de souveraineté (Cloud de Confiance) restent *plus* stricts que l'EUCS High - Les acheteurs en quête de souveraineté regardent au-delà de l'EUCS vers les dispositifs nationaux ### Si High exige la souveraineté en couche optionnelle - Le High par défaut est accessible aux hyperscalers - « EUCS High + souveraineté » devient le palier marketé pour les charges sensibles - Un compromis que personne n'aime mais que tout le monde tolère Le troisième scénario apparaît le plus probable en 2026. ## EUCS vs dispositifs associés | Dispositif | Portée | Souveraineté | |--------|-------|-------------| | EUCS (proposé) | Cybersécurité cloud pan-UE | Disputée | | Cloud de Confiance | Cloud souverain français | Stricte | | BSI C5 | Base allemande de sécurité cloud | Souple (documente l'exposition) | | SOC 2 | International généraliste | Aucune | | ISO 27001/27017/27018 | Cloud international | Aucune | ## Implications pratiques Pour les acheteurs européens de technologie en 2026 : - **L'EUCS n'est pas encore opérationnel** ; appuyez-vous sur les dispositifs nationaux - **Surveillez le règlement de la souveraineté au niveau High** — il indiquera l'orientation du cloud de l'UE - **Les coentreprises cloud UE des hyperscalers** (S3NS, Bleu, Numspot) parient sur une souveraineté stricte - **Pour les charges très sensibles aujourd'hui**, utilisez des dispositifs nationaux qui offrent déjà la souveraineté (Cloud de Confiance) - **Pour les charges générales**, ISO 27001/27017 + C5 est la base de travail en attendant l'EUCS ## Ce que 2026-2027 apporte - **Négociation politique continue** au niveau du Conseil et de la Commission - **Finalisation possible** de l'EUCS en 2026 ou 2027 - **Les États membres préparent l'implémentation** quelle que soit la forme finale - **Positionnement des hyperscalers** via des structures de coentreprises européennes en cours L'EUCS reste l'élément non résolu à plus forts enjeux de la régulation cloud de l'UE.

Cela vous a-t-il été utile ?

← Retour au glossaire

Alternatives UE associées sur BetterInEurope

Termes associés