Les géants américains de la technologie et les autres parties impliquées dans la coentreprise ne peuvent détenir qu'une participation minoritaire, et les employés qui ont accès aux données de l'UE doivent faire l'objet d'un contrôle spécifique et être situés dans l'Union des 27 pays, selon le document.

Le document ajoute que le service en nuage doit être exploité et entretenu depuis l'UE, que toutes les données des clients du service en nuage doivent être stockées et traitées dans l'UE et que les lois de l'UE prévalent sur les lois des pays tiers en ce qui concerne le fournisseur de services en nuage.

Le dernier projet de proposition de l'ENISA, l'agence européenne chargée de la cybersécurité, concerne un système de certification européen (EUCS) qui garantirait la cybersécurité des services en nuage et déterminerait la manière dont les gouvernements et les entreprises de l'Union européenne choisissent un fournisseur pour leurs activités.

Si les nouvelles dispositions soulignent les inquiétudes de l'UE quant à l'ingérence d'États tiers, elles risquent de susciter des critiques de la part des géants américains de la technologie, inquiets d'être exclus du marché européen.

Les grandes entreprises technologiques comptent sur le marché de l'informatique dématérialisée pour stimuler la croissance dans les années à venir, tandis que l'essor potentiel de l'IA après le succès viral du ChatGPT d'OpenAI pourrait également stimuler la demande de services d'informatique dématérialisée.

"Les services en nuage certifiés sont exploités uniquement par des entreprises basées dans l'UE, sans qu'aucune entité extérieure à l'UE ne puisse exercer un contrôle effectif sur le CSP (fournisseur de services en nuage), afin d'atténuer le risque que des pouvoirs d'ingérence non européens ne sapent les réglementations, les normes et les valeurs de l'UE", indique le document.

"Les entreprises dont le siège social ou l'administration centrale n'est pas établi dans un État membre de l'UE ne doivent pas, directement ou indirectement, uniquement ou conjointement, détenir un contrôle effectif positif ou négatif sur le CSP qui demande la certification d'un service en nuage", précise le document.

Le document précise que les règles plus strictes s'appliqueront aux données personnelles et non personnelles particulièrement sensibles, lorsqu'une violation peut avoir un impact négatif sur l'ordre public, la sécurité publique, la vie ou la santé humaine, ou la protection de la propriété intellectuelle.

Selon une source industrielle, le dernier projet pourrait fragmenter le marché unique de l'UE, car chaque pays a toute latitude pour imposer les exigences comme il l'entend.

La Chambre de commerce des États-Unis a déjà déclaré que ce projet mettait les entreprises américaines sur un pied d'inégalité. L'Union européenne affirme que ces mesures sont nécessaires pour protéger les droits des citoyens en matière de données et de respect de la vie privée.

Les pays de l'UE examineront le projet dans le courant du mois, après quoi la Commission européenne adoptera un plan définitif.