Una dintre opțiunile europene în materie de cloud suveran ridică semne de întrebare privind independența sa reală

Comisia Europeană dorește să consolideze suveranitatea digitală a Uniunii Europene prin atribuirea unei licitații care permite instituțiilor, organismelor, oficiilor și agențiilor UE (entitățile Uniunii) să achiziționeze servicii de cloud suveran în valoare de până la 180 de milioane de euro pe o perioadă de 6 ani.

Această licitație susține eforturile mai ample ale Comisiei de a-și consolida propria suveranitate, întărind controlul strategic asupra tehnologiilor și infrastructurii-cheie.

Comisia Europeană a atribuit patru contracte menite să promoveze suveranitatea cloud în UE, dar unul dintre acestea utilizează serviciile S3NS, o asociere între Thales și Google Cloud, ceea ce ridică semne de întrebare cu privire la independența sa reală, potrivit The Register.

Comisia afirmă că a atribuit patru contracte pentru a asigura diversificarea și reziliența, cu scopul de a evita o potențială dependență care ar putea rezulta din achiziționarea de servicii IT de la un singur furnizor.

Acești patru furnizori sunt parteneriatul franco-luxemburghez condus de Post Telecom, împreună cu OVHcloud și CleverCloud, compania germană STACKIT, compania franceză Scaleway și un parteneriat belgiano-franco-luxemburghez condus de Proximus, care utilizează serviciile S3NS, împreună cu Clarence și Mistral.

Criticile CISPE aduse criteriilor largi și neclare ale Cadrului de suveranitate în cloud

Comisia insistă că suveranitatea furnizorilor a fost evaluată utilizând Cadrul de suveranitate în cloud pe care l-a elaborat anul trecut în scopul evaluării serviciilor în raport cu opt obiective de suveranitate.

Dar acest lucru a fost criticat anul trecut de CISPE (Furnizorii de servicii de infrastructură cloud din Europa), o asociație profesională a 38 de firme furnizoare de servicii cloud din regiune.

Aceasta a susținut că criteriile Cadrului sunt redactate atât de vag, încât favorizează operatorii tradiționali, adică marii operatori americani care domină deja piața europeană de servicii cloud.

„Preocuparea CISPE este că criteriile Cadrului sunt atât de largi și ponderate, încât ar putea permite unui furnizor să bifeze suficiente casete pentru a obține un scor ridicat fără a respecta cu adevărat spiritul suveranității europene”, a declarat un purtător de cuvânt la momentul respectiv.

Acest lucru s-ar putea întâmpla acum, întrucât S3NS este o societate mixtă între multinaționala franceză de tehnologie Thales și Google Cloud, aceasta din urmă fiind o corporație cu sediul în SUA.

Cloud Act din SUA și legislația altor țări afectează suveranitatea datelor cetățenilor europeni

În conformitate cu Legea CLOUD din SUA, autoritățile americane pot obliga companiile americane de cloud să ofere acces la anumite date pe care le dețin, inclusiv date stocate în afara Statelor Unite, sub rezerva procedurilor legale aplicabile.

Anul trecut, un director Microsoft a recunoscut sub jurământ în fața Senatului francez că, din această cauză, compania nu poate garanta că datele clienților francezi nu vor fi niciodată divulgate în urma unor ordine judiciare americane.

În noiembrie 2025, o instanță canadiană a dispus ca OVHcloud, furnizor francez de servicii cloud, să predea datele clienților stocate pe servere din Franța, Regatul Unit și Australia.

OVH s-a confruntat cu o alegere imposibilă: să se conformeze și să încalce legea franceză (sancțiunile includ amenzi de 90.000 de euro și șase luni de închisoare) sau să refuze și să se confrunte cu acuzații de sfidare a instanței în Canada.

Serviciul SISSE (Service de l’information stratégique et de la sécurité économiques) al guvernului francez a trimis două scrisori oficiale prin care avertiza că orice divulgare directă către RCMP ar fi ilegală și ar constitui o încălcare a suveranității franceze.

De ce a atribuit Comisia Europeană un contract pentru servicii de cloud suveran unui parteneriat care include Google Cloud?

În anunțul privind atribuirea contractelor, Comisia precizează că Cadrul de suveranitate a cloud-ului specifică Nivelurile de asigurare a eficacității suveranității (SEAL), care variază de la SEAL-0, care indică faptul că furnizorii nu au deloc suveranitate, până la SEAL-4, care impune un lanț de aprovizionare complet din UE, de la cipuri la software.

Pentru ca furnizorii să fie considerați eligibili, aceștia trebuiau să poată demonstra nivelul SEAL-2, sau nivelul de suveranitate a datelor.

Acest lucru înseamnă că respectă legile și reglementările UE fără a necesita măsuri tehnice suplimentare din partea clientului pentru a-și proteja datele, afirmă Comisia.

Ceilalți trei furnizori au putut demonstra nivelul SEAL-3, sau nivelul de reziliență digitală, ceea ce implică faptul că sunt imuni la întreruperile lanțului de aprovizionare cauzate de terți din afara UE. S3NS nu a reușit acest lucru.

Răspunsul CISPE la această ultimă evoluție

Cadrul Comisiei nu oferă răspunsuri clare și de încredere la două întrebări vitale: ce se întâmplă cu infrastructura cloud dacă un guvern străin dorește să o oprească și ce se întâmplă dacă un guvern străin dorește acces la datele din acel cloud.

„Recunoașterea S3NS, care utilizează tehnologia cloud a Google, ca fiind «suverană» este în mod clar un autogol și amenință să instituționalizeze «spălarea suveranității» la cele mai înalte niveluri”, a declarat secretarul general al CISPE, Francisco Mingorance.

Declarația S3NS despre cum poate fi considerat parteneriatul cu Google un furnizor suveran

Un purtător de cuvânt al S3NS a declarat pentru The Register: „S3NS este o entitate franceză controlată în totalitate de Thales. Angajații săi sunt cetățeni europeni cu sediul în Franța, iar contractele cu clienții sunt încheiate direct cu S3NS, fără ca Google Cloud să acționeze ca parte contractuală. Oferta de cloud de încredere se bazează pe centre de date separate fizic, care funcționează pe rețele dedicate și izolate. Acest lucru este consolidat de o separare logică și operațională strictă: toate operațiunile sunt efectuate exclusiv de personalul S3NS, asistența fiind gestionată direct de S3NS (și doar o asistență limitată și supravegheată din partea Google, fără acces la sistem). Gestionarea identității este, de asemenea, controlată în totalitate de S3NS.”