Le 25 novembre 2021, l’association Gaia-X a publié son cadre de conformité et de labellisation des services proposés au sein de Gaia-X (Compliance and Labelling framework), résultat d’un important travail consacré au contrôle et à la gouvernance des services qui seront proposés au sein de Gaia-X.
Ce cadre de conformité et de labellisation vise à qualifier avec des critères autosuffisants les offres de services au sein de Gaia-X. Trois niveaux ont été définis. Chaque niveau caractérise différentes normes et attentes en matière de protection des données, de transparence, de sécurité, de portabilité, de flexibilité et d’immunité aux lois extraterritoriales européennes :
Gaia-X Niveau 1 : représente le niveau de base de conformité selon les règles définies par l’Association, cohérentes avec les valeurs européennes. Ce niveau fait également référence à la norme ENISA dans sa définition actuelle et son évolution future.
Gaia-X niveau 2 : représente un niveau intermédiaire de conformité, étendant et améliorant le niveau 1 ci-dessus, avec une option obligatoire de localisation en Europe. Ce niveau fait également référence à la norme ENISA dans sa définition de « conformité substantielle » et son évolution future.
Gaia-X niveau 3 : représente le niveau élevé de conformité, étendant et améliorant le niveau 2 ci-dessus, tout en ajoutant le principe d’immunité aux législations extra-européen. Ce niveau fait référence à la définition de « conformité élevée » de l’ENISA.
Le Cigref se réjouit de la parution de ce cadre de conformité et de labellisation qui répond aux besoins de confiance et de sécurité des producteurs de données et des utilisateurs de services numériques. Le Cigref remercie par ailleurs ses précieux contributeurs qui ont aidé à développer le cadre de conformité et de labellisation Gaia-X, en particulier Martine Gouriet, leader du GT “Labels” de Gaia-X, Directrice des Usages Numériques chez EDF et membre du Board de l’AISBL Gaia-X.
Un tel cadre de conformité est primordial pour favoriser la libre circulation des données de façon maîtrisée et sécurisée dans l’Union européenne et garantir la confiance des échanges et traitements entre les différents acteurs, cohérente avec les valeurs de notre continent.
Pour les membres du Cigref, Gaia-X doit pouvoir héberger des offres de confiance sur le marché du cloud, répondant à des conditions de sécurité objectives et vérifiables.
Le travail enclenché par Gaia-X sur les labels est en cohérence avec celui engagé par le Cigref sur le cloud de confiance, mené par un groupe de travail dédié réunissant plus d’une trentaine d’entreprises membres. Dans le cadre de ces travaux, le Cigref a publié et partagé, au niveau national et européen, son projet de référentiel cloud de confiance pour appel à commentaire en juin 2021. Le Cigref publiera prochainement une nouvelle version enrichie de ce référentiel.